Introducción

Los archivos PDF son omnipresentes en el mundo digital actual. Confiamos en ellos para documentos, contratos y registros importantes. Pero ¿Qué pasaría si el PDF aparentemente oficial no fuera lo que parecía?

La realidad es que los archivos PDF pueden manipularse y la falsificación es más común de lo que se cree.

Descubrimientos clave en el blog

• Manipulación de PDF firmados digitalmente
• Descubriendo las anotaciones
• Los metadatos pueden ser engañosos
• Limitaciones del análisis

¿A quién le puede interesar este blog?

• Analistas de ciberseguridad y equipos de seguridad corporativa
• investigadores cibernéticos
• Especialistas en análisis forense digital

De válido a nulo: señales de que su archivo fue alterado después de firmarlo

Una firma digital proporciona tres garantías clave a un documento: integridad, autoría y autenticidad. Herramientas como Adobe Acrobat Pro permiten a los usuarios inspeccionar los detalles de las firmas digitales y evaluar si un documento ha sido modificado desde su firma.

Cuando se modifica un PDF firmado digitalmente (por ejemplo, al abrirlo en Firefox y guardar una nueva copia), la firma original se invalida. En estos casos, al validar la firma con Adobe Acrobat se indicará que se han realizado cambios posteriores al documento .

La Figura 1 a continuación ilustra un documento firmado con DocuSign, con una advertencia que indica que se realizaron cambios después de aplicar la firma.

Dependiendo de la naturaleza de las ediciones, la sección de anotaciones de la firma digital puede contener detalles adicionales, como qué tipos de cambios se introdujeron o qué elementos se modificaron.

En muchos casos, aún se puede acceder a una versión anterior del documento (anterior a la modificación). Adobe Acrobat ofrece un enlace “Haga clic para ver esta versión” en el panel de firma digital, que permite a los usuarios ver el documento tal como estaba al momento de la firma. En el ejemplo que se muestra en la siguiente figura, la firma confirma que “El documento no se ha modificado desde que se aplicó esta firma”, lo que indica la integridad del documento de esa versión anterior.

Dado que el archivo anterior no mostraba modificaciones, mientras que la versión de la Figura 1 revela ediciones posteriores a la firma, la evidencia indica que el documento fue alterado después de la firma.

Anotaciones oscuras

Los archivos PDF se componen de varios objetos, como texto e imágenes. Con las herramientas de edición de PDF, se pueden insertar imágenes como superposiciones sobre el contenido existente. Para extraer estos objetos, se suelen utilizar herramientas como PDF-Processing y Adobe Acrobat Pro .

La herramienta de procesamiento, en particular, está diseñada para recuperar versiones anteriores de un PDF y extraer automáticamente objetos de imagen (anotaciones de sello) de cada versión mediante el comando: ” ./pdfprocessing.sh -f “/path/to/file.pdf” -p true “. Esta herramienta es especialmente útil cuando el archivo no se puede abrir en modo de edición con Adobe Acrobat o cuando es necesario analizar varias versiones históricas para compararlas.

En el ejemplo a continuación, PDF-Processing recuperó correctamente tres versiones anteriores del archivo, además de la actual. El análisis reveló que dos imágenes presentes en la última versión no se encontraron en las versiones anteriores, lo que indica que se añadieron más recientemente.

La herramienta pdfimages proporciona los números de página donde se encuentra cada imagen extraída. En este caso, al revisar las imágenes extraídas, se encontraron dos rectángulos blancos, probablemente utilizados para ocultar el contenido de las páginas 1 y 2 del PDF.

Si el archivo no está firmado, se puede abrir en el modo de edición de Adobe Acrobat Pro, lo que permite examinar individualmente los objetos de cada página. En este caso, uno de los rectángulos blancos parecía tener otro objeto debajo. Al mover objetos dentro de la vista editable, es posible revelar contenido oculto que podría haber quedado oculto por las superposiciones.

Cuando se oculta contenido con una anotación de tinta blanca (Scribble) y luego se sobrescribe con una anotación de texto , ambos elementos se tratan como objetos separados dentro del archivo. En Adobe Acrobat DC, al cambiar al modo de edición, estos objetos se pueden seleccionar y mover individualmente. Esto puede revelar el contenido subyacente que originalmente estaba oculto por las anotaciones.

Añadir texto con un editor de archivos también puede generar inconsistencias en el estilo, tamaño o espaciado de la fuente, lo que puede indicar manipulación. Sin embargo, las discrepancias solo se pueden identificar si se dispone de una versión anterior del PDF para comparar. Una diferencia notable en las fuentes entre el contenido original y el modificado puede indicar que se insertó texto adicional posteriormente en el documento.

Metadatos: ¿Una pista engañosa?

Los metadatos por sí solos no suelen ser un indicador fiable de si un PDF ha sido editado o manipulado. Por ejemplo, cuando un usuario simplemente descarga un PDF, la marca de tiempo de modificación del archivo se actualiza automáticamente para reflejar la hora de descarga, independientemente de si se realizaron cambios. Si bien las ediciones reales también alteran la hora de modificación, esta superposición convierte la marca de tiempo en una prueba poco fiable por sí sola.

Además, editar un PDF con herramientas comunes no siempre modifica los campos de creador o productor en los metadatos. En algunos casos, se ha observado que, incluso después de realizar modificaciones con diferentes editores de PDF, los valores originales de los metadatos permanecen inalterados.

Si los campos de autor o productor cambian, podría sugerir una posible manipulación, pero sin acceso a la versión original, sin modificaciones para comparar, es difícil sacar conclusiones definitivas.

Limitaciones: Cuando la falsificación es difícil de detectar

A pesar de la disponibilidad de diversas herramientas y técnicas para detectar manipulaciones en documentos digitales, aún existen limitaciones significativas, especialmente cuando no se implementan ciertas medidas de seguridad. Uno de los problemas más comunes ocurre cuando un PDF no está firmado y se ha editado directamente con aplicaciones como Microsoft Word o Adobe Acrobat.

En tales casos, si el archivo carece de historial de versiones integrado o no se dispone de la versión original para comparar, resulta extremadamente difícil determinar si se han realizado modificaciones. Sin una base fiable, identificar discrepancias, contenido eliminado o modificaciones sutiles es prácticamente imposible.

Esto resalta la importancia de las firmas digitales y los sistemas de gestión de documentos , que no sólo establecen confianza y responsabilidad sino que también proporcionan evidencia verificable de la integridad de un documento a lo largo del tiempo.

Conclusión

Cuando un archivo PDF no está protegido con contraseña ni firmado digitalmente, ofrece poca garantía de autenticidad o integridad . En esencia, un archivo de este tipo es simplemente una colección de objetos digitales (fuentes, imágenes, metadatos y texto), cualquiera de los cuales puede alterarse sin dejar rastros visibles.

Desde un punto de vista técnico, el elemento más crítico para garantizar la integridad del documento es la firma digital. Una firma digital válida no solo verifica la autenticidad y autoría del documento, sino que también proporciona evidencia sólida de que su contenido no ha sido alterado.

En caso de duda, y si es factible, verifique siempre el documento directamente con la fuente o el autor para confirmar su exactitud y legitimidad. Este simple paso a menudo puede aclarar incertidumbres que el análisis técnico por sí solo no puede resolver.

Afortunadamente, el formato PDF admite tanto firmas digitales como mecanismos básicos de integridad o confidencialidad, como el bloqueo de PDF para evitar alteraciones y la protección con contraseña contra accesos no autorizados. Sin embargo, sin estas protecciones, un PDF sigue siendo un archivo mutable y fácilmente manipulable, con escaso o nulo valor probatorio.

Recomendaciones

Para garantizar la autenticidad y seguridad de documentos PDF importantes, tenga en cuenta las siguientes prácticas recomendadas:

1. Utilice firmas digitales en todos los archivos PDF importantes para garantizar su validez e integridad. Desactive los permisos de edición del PDF para evitar modificaciones posteriores después de firmarlo.
2. Proteja los archivos PDF con contraseña y compártala a través de un canal de comunicación separado (por ejemplo, una llamada telefónica, un mensaje de texto o un correo electrónico diferente).
3. En caso de duda , contacte siempre con la fuente para verificar la autenticidad del documento antes de confiar o actuar en función de su contenido.