Foro de elhacker.net

Buenas tardes!

Querría preguntar si es posible saber si los metadatos de un archivo/imagen/lo que sea han sido modificados.

Tanto de manera manual como con herramientas.

Gracias!!

No soy experto en análisis forense de archivos multimedia pero teniendo en cuenta que también se puede modificar los atributos de último acceso y última modificación de un archivo, la respuesta a tu pregunta me parece evidente: no creo que se puede asegurar al 100% que los metadatos de un archivo de imágen o de música hayan sido modificados a menos que conserves una copia del archivo original (o de la sección de metadatos) sin modificar y realices una comparación de contenido mediante hashing o una comparación byte-a-byte, lo cual sería más seguro para verificar que dos archivos sean idénticos.

Si hablamos de archivos multimedia con firma digital, como algunos documentos PDF o algunos executables, y en el caso de esos executables siempre que dicha firma proteja / se haya generado mediante todas las secciones del executable, entonces al modificar un byte del archivo en teoría se invalidaría la firma digital y eso evidenciaría que se ha realizado un cambio en el archivo. Pero bueno, esto de los executables ya se que no tiene que ver con los metadatos de un archivo multimedia.

Aparte de lo que ya he comentado, y en lo que respecta al sistema operativo MS Windows, los archivos pueden contener un flujo de datos alternativo (Alternate Data Stream o ADS) que no alteran el archivo y que se pueden utilizar para almacenar cualquier cosa (desde simple información adicional del archivo en cuestión, hasta un virus si se utiliza con ese tipo de fines), por si lo quieres tener en cuenta aunque de nuevo esto no tenga que ver con los metadatos de un archivo multimedia, pero si con la forénsica de archivos en general.

Saludos.