¿Qué es ExifTool?
ExifTool, creado por Phil Harvey, es una herramienta gratuita y multiplataforma para leer, editar y eliminar metadatos en archivos de imagen, vídeo, audio y documentos. Se considera una herramienta de OSINT muy útil durante la Fase de Reconocimiento en la Cyber Kill Chain y en la Fase de Obtención del Ciclo de Inteligencia.
Permite pivotar hacia nuevas fuentes de datos, construir cronologías y llegar a identificar personas reales a través de nombres de usuario o identificadores de software y dispositivo. Si te quedas hasta el final del artículo, te enseñaremos a como puedes explotar vulnerabilidades humanas con esta herramienta.
¿Qué son los Metadatos?
Los metadatos son “datos sobre los datos”: información que describe un archivo y aporta contexto acerca de su creación y modificación. Entre otros muchos, pueden indicar quién lo creó, con qué dispositivo o software, en qué fecha y, cuando existe, en qué lugar.
¿Cómo instalar ExifTool?
ExifTool se instala rápido en cualquier sistema. En macOS puedes descargarlo desde terminal con
brew install exiftoolEn Linux, dependiendo de la distribución, con
sudo apt install libimage-exiftool-perl / exiftool o sudo pacman -SSi no estuviera en tus repositorios, puedes instalarlo manualmente desde el sitio oficial.
En Windows, la vía más sencilla es la versión ejecutable: se descarga el ZIP oficial, se extrae y queda lista para usar; alternativamente, se puede instalar con Chocolatey o Scoop.
choco install exiftool / scoop install exiftoolLos detalles paso a paso están explicados con más detalle en la documentación oficial.
¿Qué metadatos son accesibles con ExifTool?
En imágenes, ExifTool puede mostrar numerosos metadatos como la hora exacta de capturación el modelo y número de serie de la cámara, modelo de lente, ajustes de toma, el software de edición o el nombre del autor. También lee datos de ubicación como coordenadas GPS, altitud y la orientación de la cámara.
En vídeo informa, entre otros, sobre el códec, el bitrate, la resolución, las fechas de grabación, las pistas de audio o subtítulos o posibles etiquetas de ubicación. En audio expone campos como el artista y álbum. En documentos PDF u Office puede mostrar autor, organización, fechas de creación y modificación, software utilizado y restricciones de seguridad.
Además, algunas plataformas de edición o almacenamiento añaden sus propios metadatos.
¿Todas las imágenes tienen metadatos?
Su presencia depende de cómo se creó y procesó el archivo. Una foto hecha con la cámara puede llevar EXIF completo, pero si luego se edita y se exporta para web, muchos programas eliminarán campos para aligerar su tamaño.
Si se hace una captura de pantalla, se perderán todos los EXIF de cámara y quedan, como mucho, marcas propias del sistema. Además, la mayoría de redes sociales y aplicaciones de mensajería recomprimen los documentos como fotos, audios y videos y eliminan gran parte de los metadatos por privacidad y gestión de espacio.
En cambio, plataformas de subida de archivos (p. ej., Drive, Dropbox, WeTransfer) y el envío “como archivo/documento” en apps de mensajería (p. ej., enviar una imagen por WhatsApp como Documento en lugar de Foto) suelen conservar los metadatos.
Comandos mas utilizados en Exiftool
El principal comando es exiftool (ruta archivo), que muestra todos los metadatos. Existen además modificadores que permiten inspeccionar, organizar, exportar o limpiar metadatos.
Por ejemplo, el modificador -s resume la salida con nombres compactos; -G, -G:1 y -G:2 indican los grupos de cada etiqueta; -H incorpora IDs hexadecimales; -L traduce las etiquetas a idioma local; -E convierte caracteres especiales en entidades HTML; -json exporta resultados en formato estructurado; y -all= elimina los metadatos del fichero.
Laboratorio con ExifTool
Con motivos educativos, desarrollaremos un caso práctico de ExifTool aplicado a la fase de reconocimiento en ciberseguridad. Recordamos que todo el mundo tiene derecho a la privacidad y que este ejercicio solo tiene la intención de concienciar.
Para ello, se ha escogido como target a «Josefina Nadie», una responsable que abusa de nosotros en el trabajo y que nos ha pedido «por favor» terminemos su trabajo, un póster sobre concienciación sobre ciberseguridad en la empresa. Su perfil es el de mujer senior, cuarenta años. Se considera alguien muy respetable, suele salir mucho en los medios de comunicación y es una figura clave de la empresa.
Desde hace tiempo nos gustaría escarmentarla. Un día. recibimos dicho póster, un simple JPG que en un principio no tiene nada sospechoso. Utilizamos el comando exiftool (ruta de la imagen) e inspecciónamos los metadados.
Nosotros, un trabajador enfadado, comprobamos que la imagen ha sido diseñada con Canva y tiene por autor a «kittykyakya». Con simples herramientas como Mr.Sherlock, averiguamos que existe un perfil de LinkTree que podría encajar con la descripción de Josefina.
Al clicar el enlace, nos lleva a este perfil que tiene una imagen obscena de animación japonesa de perfil y un link que redirige a un sitio llamado myanimesite.es.
Una vez hecho el reconocimiento, elaboraremos la información:
Hemos conseguido un nombre de usuario, kittykyakya, acompañado de una imagen de perfil de estética japonesa y una descripción personal (Sugar mommy | 2 Lifes | I hate my work).
A continuación estudiamos los elementos disponibles: el alias, la foto con connotaciones eróticas de la imagen y el mensaje que expresa rechazo hacia su trabajo. Estos rasgos podrían revelar facetas personales representadas en el personaje. ¿Cómo se llama el personaje? ¿Cuál es su personalidad?
El informe constata una disonancia entre el objetivo inicial (Josefina Nadie, figura respetable de la empresa) y la huella digital encontrada (kittykyakya, con identidad online alejada de esa imagen).
No obstante, al integrar la información y somterla a un proceso de inteligencia surgen dos posibles hipótesis: (a) que realmente sea el target, mostrando afinidad con subculturas digitales y cierto descontento laboral; (b) que sea una cuenta prestada, adquirida o relacionada con alguien de su entorno (amiga, hija, tercero).
Si fuese el segundo caso, el movimiento podría ser perjudicial para nosotros, perdiendo nuestro trabajo al acusar falsamente de indecencia a una persona.
Interpretación final
El caso nos enseña que los hallazgos en OSINT no siempre confirman el supuesto target o conclusión. El producto de inteligencia debe contemplar todos los escenarios probables antes de llegar a hacer un movimiento.
El valor principal está en mostrar cómo un simple metadato hallado con ExifTool conduce a contextos imprevisibles y potencialmente sensibles. Se recomienda no repetir nombres de usuario para evitar situaciones similares.
