Investigación de un PDF manipulado

 (mjg59.dreamwidth.org)
2 puntos por GN⁺ 2025-09-28 | 1 comentarios | Compartir por WhatsApp
  • En California surgió una disputa porque no se cumplió la obligación de devolver el depósito dentro de 21 días y notificar una inspección previa, y como el contrato de arrendamiento no incluía información del propietario, la situación derivó primero en comunicación con la agencia (International Executive Rentals)
  • La agencia afirmó que ellos no guardaban el depósito y envió una copia del contrato, pero en ese documento surgieron dudas porque el texto principal decía “el depósito se guarda en la cuenta fiduciaria de IER” y eso entraba en conflicto con un anexo (Addendum)
  • La página de certificación añadida por la plataforma de firma RightSignature tenía el mismo checksum, pero el análisis de metadatos del PDF confirmó diferencias en la hora de modificación y las etiquetas ID (ID0/ID1), además de una inconsistencia de zona horaria, lo que reveló indicios de edición posterior
  • Al desmontar y comparar la estructura interna del PDF, se encontraron la etiqueta touchUp_TextEdit en la página 3 y un cambio en la convención de nombres de fuentes, además de un cambio de nombre de la fuente Courier usada al insertar la firma, con lo que se obtuvieron indicios que prueban una edición posterior a la firma
  • Al verificar con herramientas de desarrollador que el original base.pdf coincidía con el “Original checksum”, se confirmó que el anexo adicional no existía, y aun durante una pantalla compartida también quedaron expuestos la fecha de subida y la doble entrada Draft/Completed, lo que sugiere fuertemente la posibilidad de manipulación

Contexto del caso y marco legal

  • Aunque era un arrendamiento de corta duración, aplicaban las normas de protección a inquilinos de California, por lo que existían la obligación de devolver el depósito en un plazo de 21 días y la de notificar una inspección previa a la mudanza
    • El arrendador es la parte responsable de custodiar y devolver el depósito, y la agencia no tiene esa responsabilidad legal
    • Como en el contrato faltaban el nombre y la dirección del arrendador, se produjo una situación en la que solo era posible notificar a través de la agencia
  • El representante de la agencia envió un correo diciendo “nosotros no guardamos el depósito”, pero el contrato adjunto incluía tanto una cláusula que decía que IER lo custodia como un Addendum que decía que lo custodia el arrendador, generando una contradicción

El documento cuestionado y las cláusulas en conflicto

  • Cláusula del texto principal: aparece una redacción de custodia institucional que dice “depósito de seguridad... guardado en la IER Trust Account
  • Área de casillas al pie de la página: en Addendum 1 está marcada la frase “el depósito es guardado por el arrendador
    • En la copia que conservaba el autor, Addendum 1 estaba vacío, mientras que en la copia de la agencia aparecía marcado y completado

Forense 1: comparación de metadatos del PDF

  • Herramienta: extracción de CreationDate/ModDate e ID0/ID1 con pdftk dump_data
    • Copia del autor: la hora de creación y modificación es la misma, en UTC, con ID0=ID1
    • Copia de la agencia: la hora de creación es la misma, pero hay una hora de modificación correspondiente al lunes más reciente, con zona PDT, y ID0 igual pero ID1 distinto
  • Interpretación: ID0 se asigna al momento de la creación inicial y normalmente no cambia, mientras que ID1 suele cambiar al modificarse el archivo, lo que respalda la hipótesis de que se trata del mismo original con una edición posterior

Forense 2: comparación estructural por página

  • Herramienta: descomposición en objetos y diff con pdfalyzer
    • Las diferencias se concentran solo en la página 3; el resto de las páginas tienen la misma estructura
    • La presencia de la etiqueta touchUp_TextEdit en la página 3 permitió identificar rastros de edición con Acrobat
  • Posible contraargumento: podría tratarse de una edición previa a la firma, por ejemplo para insertar el nombre del arrendador, así que hacía falta una prueba adicional y decisiva

Forense 3: convención de nombres de fuentes y rastreo del momento de la firma

  • Las fuentes de la mayoría de las páginas siguen una convención de nombres consistente, pero solo la página 3 fue renombrada al estilo de Acrobat
  • La fuente Courier insertada por RightSignature al completar la firma tenía el mismo nombre en todo el documento, pero solo en la página 3 aparecía con una convención distinta
    • Como Courier solo existe después de la firma, el renombrado de la fuente en la página 3 indica una edición posterior a la firma

Forense 4: obtención del archivo original antes de la firma

  • En la pestaña de red del visor de RightSignature (F12) se localizó y descargó base.pdf
    • Su sha256sum coincidía exactamente con el Original checksum de la página de certificación, y era el original sin Addendum
  • Evidencia concluyente: pese a que la página de certificación estaba diseñada de forma que dificultaba la verificación, la coincidencia entre el original interno de la plataforma y el checksum demostró que el anexo adicional no estaba en el original

Postura de la agencia y otros indicios

  • La agencia sostuvo que “RightSignature vuelve a sellar el archivo cada vez que se descarga”, por eso supuestamente parecía modificado
    • Pero los cambios en zona horaria e ID1 de los metadatos, las diferencias estructurales limitadas a la página 3 y el cambio de nombres de fuentes posterior a la firma no son consistentes con esa explicación
  • Lo mostrado durante la pantalla compartida: “Uploaded: 09/22/25”, el botón Send for signature y la existencia de dos elementos, Draft y Completed
    • Se observó que el documento Completed no tenía Addendum, mientras que el documento Draft sí lo incluía

Motivo hipotético y riesgo

  • Hipótesis: después de reconocer que la cláusula de “custodia por IER” podía implicar responsabilidad por la devolución del depósito, la agencia pudo haber intentado insertar el Addendum a posteriori
    • Como resultado, al intentar evitar una posible responsabilidad civil menor, se habría expuesto al riesgo de crear indicios de falsificación documental
    • Aunque la responsabilidad legal final recaiga en el arrendador, una manipulación de documentos puede generar un riesgo legal independiente

Implicaciones prácticas y consejos de respuesta

  • Al usar una plataforma de firma electrónica, aumenta la necesidad de guardar offline el original (base.pdf) y su checksum justo después de firmar
  • Puntos clave de forense en PDF
    • Verificar la zona horaria y sincronización de los timestamps de creación/modificación
    • Comparar ID0/ID1 para inferir historial de modificaciones
    • Detectar diff de objetos por página, etiquetas de edición (touchUp_TextEdit) y cambios en la convención de nombres de fuentes
  • Frente a la afirmación de que “la plataforma vuelve a sellar el archivo”, se puede responder con una validación cruzada entre el original de la plataforma y el checksum de certificación
    • Obtener el original previo a la firma desde la pestaña de red de las herramientas de desarrollador puede ser la prueba decisiva

Lecturas relacionadas

1 comentarios

 
GN⁺ 2025-09-28
Comentarios de Hacker News

  • Recomiendan consultar con el High Technology Theft Apprehension and Prosecution Program de California, el Internet Crime Complaint Center del FBI y la Financial Crimes Unit de San Francisco; como RightSignature fue adquirida por Citrix, también valdría la pena avisarles a ellos. Como los hechos parecen claramente a tu favor, es muy probable que puedas tener éxito incluso sin pagar honorarios legales, y también podrías reclamar daños y perjuicios (High Technology Theft Apprehension and Prosecution Program, Internet Crime Complaint Center, Financial Crimes Unit, artículo sobre la adquisición por Citrix, información del GC de Citrix)

    • Es muy probable que esto sea un caso penal; el Estado llevaría directamente el proceso de castigo, y además se podría presentar una demanda civil. Si contratas a un abogado, puede tomar algo de tiempo, pero igual podrías obtener una compensación razonable sin costo adicional, y además tendría un valor importante como castigo.

    • Si esto le pasó a una persona, probablemente también les pasó a muchas más. Si se investiga lo suficiente, creo que incluso podría dar lugar a una demanda colectiva.

  • Por eso los documentos importantes deben hacerse en tres copias: una para cada parte y una tercera que conserva el notario. Ese es el papel que cumple un servicio de firma de documentos, y en casos muy raros alguien tiene que testificar sobre quién posee la copia auténtica. Cuando trabajé en una empresa parecida, solo escuché de 1 caso de disputa sobre una firma, y no hubo disputa sobre el contenido. Aunque para mí esté claro cómo funcionan los hashes, un juez puede no entender los aspectos técnicos, así que al final la empresa tendría que fijar una postura oficial.

    • La práctica de las tres copias existe al menos desde los contratos de indenture del siglo XIV. La palabra “indenture” viene del corte con forma de dientes irregulares; el documento se escribía a mano tres veces, se firmaba completo y luego se cortaba. Eso dificultaba la reproducción, y además se usaba latín en mayúsculas en medio del texto para complicar la falsificación. Si dos copias no coincidían, alguien estaba mintiendo. La tercera copia se guardaba en la notaría para determinar quién decía la verdad. Los contratos de servidumbre por contrato también funcionaban así.

    • Precisamente por eso RightSignature no es un servicio barato autohospedado, sino un SaaS caro: su esencia es ofrecer un tercero que pueda testificar sobre quién firmó qué versión.

    • Apenas ahora escucho la explicación de las tres copias y por fin se me aclaró esa duda; había querido investigarlo, pero siempre había estado demasiado ocupado.

  • Me recordó una publicación vieja donde Gwern se preguntaba por qué la gente no intentaba esto más seguido (blog de Gwern: reflexiones sobre la falsificación de PDF)

    • Creo que el caso del OP demuestra precisamente esa pregunta. Que la falsificación haya ocurrido a través de un servicio de autenticación es impactante, y para investigar y demostrar correctamente esta situación haría falta alguien muy experto en software y forense, pasando por muchísimas verificaciones, y aun así todavía no ha terminado en acuerdo ni condena. Como en el caso de Craig Wright, incluso una simple edición o backdating requiere un trabajo forense enorme por parte de expertos, mientras que modificar el PDF original lo puede hacer un principiante en 5 minutos.

    • Parece que Gwern se enfocaba en falsificar documentos públicos, como PDFs de artículos. En ese caso, sería mejor crear un PDF completamente nuevo para impedir cualquier comparación con el original, pero en documentos oficiales usados como evidencia legal hay que falsificarlos de la forma más idéntica posible al original para no ser descubierto. Aun así, este tipo de documentos normalmente no se publica en internet.

    • Como respuesta a “¿por qué no existe un Photoshop para PDF?”, está Xournal++.

  • Yo también pasé por algo parecido hace poco. Estuve 1 año en Portugal y una agente inmobiliaria manipuló las facturas de electricidad y agua para entregarme PDFs falsificados. Descubrí la falsificación por los metadatos del PDF, pero no hice nada más y solo recuperé mi dinero. También aprendí que los metadatos se pueden sobrescribir fácilmente. Me pregunto cómo podría uno protegerse de forma segura en problemas así.

    • Una solución es la factura electrónica con firma digital aplicada. Por ejemplo, Factur-X de Francia (llamado ZUGFeRD en Alemania) incrusta datos XML firmados dentro del PDF, así que es fácil verificar si el emisor de la factura es auténtico. Varios países de Europa están adoptando este sistema para el tratamiento del IVA, y los datos de firma legibles por máquina son mucho más confiables que los documentos en papel. Otra medida es denunciar estos casos para que los implicados sean castigados por fraude.

    • Los abogados ya tenían la respuesta desde hace siglos: todos los documentos deben existir en varias copias y guardarse por cada parte en el momento de la firma. Yo también recibo dos copias de un contrato, ambas partes las firman y cada una se queda con una. Lo mismo cuando hay modificaciones. Cada quien guarda su propia copia con responsabilidad, y este proceso también debería aplicarse en digital.

  • En un caso así, siento que habría que demandar por fraude mediante el uso de documentos falsificados. Aunque contigo no les haya funcionado, puede que haya muchas otras víctimas afectadas del mismo modo.

    • Si no quieres pelear por otros inquilinos, al menos puedes solo “amenazar” con demandar. Eso podría hacer que la agente inmobiliaria revele los datos del propietario o impulse la devolución del depósito.

    • El objetivo final sería recuperar el depósito que te deben, o una indemnización civil por wire-fraud (fraude penal).

  • Parece que en el sitio de RightSignature queda evidencia clara, pero incluso si el sitio desaparece debería existir una forma de verificar la autenticidad del documento. La página de autenticación que ofrecen hoy no sirve de nada si el sitio deja de existir.

    • La razón por la que esto parece difícil es que, aunque la página de autenticación está incluida dentro del PDF, no puede contener su propio hash ni su propia firma. Tampoco basta con usar solo el hash, porque al alterar el archivo también se puede cambiar el hash. Hace falta una manera de extraer una carga útil firmada de forma clara, pero RightSignature no está diseñado con base criptográfica, así que habría que rediseñarlo por completo.

    • El propio PDF sí admite verificación de firmas, y Adobe Reader lo reconoce. DocuSign usa ese método, y en Reader se puede ver directamente la versión firmada (guía de documentos firmados de Adobe, ejemplo de vista previa de firma: ejemplo en Adobe Reader)

  • Me da muchísima curiosidad saber si ya hubo una conclusión sobre la inmobiliaria de alquiler.

    • Todavía no ha pasado nada. Estoy presentando una queja formal ante la autoridad correspondiente en temas inmobiliarios, y no he recibido más respuesta de la inmobiliaria.

  • Creo que producir intencionalmente una colisión de sha256 es, en la práctica, imposible. Incluso SHAttered necesitó 110 años de rendimiento de GPU para SHA-1. Más bien me pregunto si del lado de RightSignature no habrán subido por error el documento equivocado; da la impresión de que quizá eligieron mal el archivo o subieron una versión distinta por accidente y luego se confundieron.

    • El OP aclara en su publicación que ese borrador fue subido mucho después, así que no puede ser una simple confusión. Y si hubieran subido deliberadamente una nueva versión, no veo qué intención razonable habría en volver a subir una versión modificada después de que el contrato de arrendamiento ya estaba firmado y cerrado.

    • De hecho, el hash usado para la firma coincide con el documento original, la versión sin la firma del inquilino ni la cláusula fraudulenta agregada. No coincide con ninguna otra versión.

  • A estas alturas, la inmobiliaria tiene dos opciones: (A) devolver por su cuenta el depósito de inmediato y, si la agente fue solo intermediaria, luego cobrárselo al propietario; (B) proporcionar toda la información del propietario y exigirle claramente la devolución por la vía legal. El tema de la falsificación del PDF y el tira y afloja con la empresa es interesante, pero el objetivo es recuperar el depósito.

  • Intenté entrar, pero me da error 403 (enlace de Web Archive)

    • A mí no me pasó