Nueva información revelada por el análisis de versiones de metadatos PDF en los documentos de Snowden

 (libroot.org)
1 puntos por GN⁺ 2026-01-12 | 1 comentarios | Compartir por WhatsApp
  • El análisis del historial de versiones en los metadatos PDF de los documentos de Snowden publicados confirmó que las secciones relacionadas con estaciones terrestres de agencias de inteligencia dentro de EE. UU. fueron eliminadas intencionalmente
  • El contenido eliminado incluía la estructura de nombres operativos y nombres de cobertura de Potomac Mission Ground Station (PMGS) y Consolidated Denver Mission Ground Station (CDMGS)
  • En ambos documentos, esa información estaba presente en las versiones iniciales, pero fue removida por completo en las versiones finales publicadas, dejando rastros solo en el historial interno de versiones del PDF
  • En cambio, la información sobre instalaciones en el extranjero, como Menwith Hill en el Reino Unido y Pine Gap en Australia, se mantuvo intacta, lo que revela un patrón de edición sistemática solo de instalaciones nacionales
  • Este hallazgo es importante como un caso que demuestra que es posible rastrear técnicamente los procesos de edición y censura durante la publicación de los documentos de Snowden

Contenido eliminado sobre instalaciones de inteligencia dentro de EE. UU.

  • El análisis de metadatos de ambos documentos confirmó que la sección sobre instalaciones de inteligencia nacionales fue eliminada por completo
    • En Menwith satellite classification guide, publicado en 2016, se eliminó la sección relacionada con PMGS (Washington DC)
    • En NRO SIGINT Guide for Pine Gap, publicado en 2017, se eliminó la sección relacionada con CDMGS (área de Denver)
  • Las partes eliminadas incluían el nombre oficial, nombre de cobertura, ubicación e información para visitantes de las instalaciones
  • Ambos sitios estaban identificados como Mission Ground Station de la National Reconnaissance Office (NRO), y
    • el nombre de cobertura de PMGS aparecía como “Classic Wizard Reporting and Testing Center(CWRTC)
    • el nombre de cobertura de CDMGS aparecía como “Aerospace Data Facility(ADF)

Potomac Mission Ground Station (PMGS)

  • Ubicación: edificios 259 y 260 dentro del Naval Research Laboratory en Washington DC
  • Nombre público: “Classic Wizard Reporting and Testing Center(CWRTC)
  • Función real: estación terrestre de la red de inteligencia satelital de la NRO
  • El documento especifica el nivel de clasificación de cada denominación
    • “CWRTC” = no clasificado (UNCLASSIFIED)
    • “PMGS” = secreto (S//TK)
    • “CWRTC es el nombre de cobertura de PMGS” = secreto (S//TK)
    • “La relación de CWRTC con personal de la NRO, CIA y NSA” = secreto (S//TK)
  • Se explica que este sistema de clasificación en múltiples capas está diseñado para separar el nombre público de la misión real

Consolidated Denver Mission Ground Station (CDMGS)

  • Ubicación: Buckley Space Force Base en Aurora, Colorado
  • Nombre público: “Aerospace Data Facility (ADF)
  • Nombre real: “Consolidated Denver Mission Ground Station (CDMGS)
  • Públicamente, ADF-C es conocido como una instalación de mando y control de satélites de reconocimiento, pero
    • el hecho de que “ADF es el nombre de cobertura de CDMGS” se confirma por primera vez en el documento
  • En una tabla del documento, el nombre real y el nombre de cobertura de cada instalación aparecen en paralelo, organizados como
    • CDMGS–ADF–FSD(Field Station Denver)
    • PMGS–MSF–CWRTC
    • HMGS–RAF MHS, AMGS–JDFPG, entre otros

Resultados del análisis de edición y metadatos

  • Los metadatos PDF registran el momento de edición y la herramienta utilizada
    • El documento de Pine Gap generó dos versiones con diferencia de unos minutos el 31 de julio de 2017, usando Nitro Pro 8
    • La primera versión incluía la sección de CDMGS, pero en la segunda fue eliminada
    • Se confirmó que The Intercept y ABC publicaron el contenido compartiendo el mismo archivo
  • El documento de Menwith Hill también muestra el mismo patrón, con solo la sección de instalaciones nacionales eliminada
  • Estos metadatos funcionan como evidencia forense del proceso de edición y censura

Investigación posterior y herramientas

  • En análisis futuros, mediante el seguimiento de versiones en los metadatos PDF en general, se planea verificar técnicamente
    • nombres de agentes eliminados, capturas de pantalla editadas y rastros de modificaciones en múltiples etapas
  • Para extraer versiones de PDF puede usarse la herramienta pdfresurrect
    • Ejemplo: pdfresurrect -w filename.pdf
  • Libroot.org permite descargar directamente los archivos de las versiones 1 y 2 de cada documento
    • Están publicadas ambas versiones de los documentos de Menwith Hill y Pine Gap

Lecturas relacionadas

1 comentarios

 
GN⁺ 2026-01-12
Comentarios en Hacker News

  • Estos PDF parecen haber usado la función de "incremental update"
    es decir, al modificar un documento solo se agregan los cambios al archivo original
    En términos simples, si buscas la línea "%%EOF" con un editor de texto y cortas todo lo que viene después, puedes restaurar la versión anterior del PDF
    Eso sí, en un linearized PDF el primer %%EOF es una revisión falsa que existe por razones técnicas, no una versión real

    • Se siente como haber adquirido una nueva habilidad OSINT
    • Da risa que Adobe, por intentar alcanzar a MS Word en funciones, haya terminado creando esta herramienta de espionaje

  • Desde la perspectiva de protección de la información, cada vez parece mejor imprimir el documento y luego escanearlo como PDF de imagen

    • Pero todas las impresoras a color llevan un código de puntos amarillos (dotcode) invisible
      Ese código puede incluir el número de serie de la impresora o incluso la dirección IP cuando está conectada a internet
      Por eso conviene evitar impresoras cuyo firmware no puedas controlar
      Algunas herramientas de análisis relacionadas son YellowDotDecode, dotsecrets, y la presentación del CCC 2007
    • Una mejor opción es convertir el PDF a JPEG/PNG → BMP antes de compartirlo o imprimirlo
      O incluso reconstruir el documento con un LLM quitando puntuación y espacios, y luego volver a convertir el resultado en imagen
      Tomarle una foto a la pantalla con una cámara de película, en un proceso analógico, puede ser útil para evitar falsificaciones y preservar evidencia
      Pero, se haga como se haga, siempre quedan rastros, así que hay que evitar por completo compartir información no autorizada
      Al final, parece que vuelve la era en que los espías regresan al microfilm
    • Yo guardaría el PDF como TIFF o PNG y luego volvería a convertirlo en PDF
      Si de verdad estuviera preocupado, incluso aplicaría un filtro de ruido a la imagen para dejarla algo borrosa
    • ¿No sería más simple simplemente tomar una captura de pantalla de cada página?
    • Hacer eso y luego intentar cumplir a gran escala con la normativa de accesibilidad Section 508 sería bastante gracioso

  • Hace falta mejorar el tooling para analizar documentos PDF
    Ahora mismo se puede resolver en parte con el modo QDF de qpdf, pero hace muchísima falta una GUI

    • Vale la pena revisar la página de análisis de PDF de REMNux
      Está pensada para analizar PDF maliciosos, pero muchas de sus herramientas también sirven para entender documentos normales
    • Esa herramienta parece más orientada a edición; me da curiosidad en qué contexto la usan
      Después del caso del PDF de Epstein, este tipo de ideas se volvieron todavía más interesantes

  • Esta investigación es realmente perspicaz
    También me recuerda cuando alguien volvió a analizar los documentos de Snowden y encontró información nueva
    Es una lástima que no haya podido publicar absolutamente todo el material

    • La información realmente nueva más reciente apareció en la tesis doctoral de 2022 de Jacob Appelbaum
      Trata contenido que antes no se había publicado
      Puedes ver más en el blog Electrospaces y en
      Libroot Part 2, Part 3

  • Le pregunté al periodista Ryan Gallagher sobre las decisiones de edición, pero todavía no he recibido respuesta
    Ya terminaron las vacaciones, así que espero que ahora sí haya noticias

    • Me pregunto por qué los periodistas redactaron los documentos
      No sé si fue por presión del gobierno o porque el contenido era demasiado sensible
      Quizá solo los periodistas tengan los archivos originales

  • Me preguntaba cómo era posible que un PDF permitiera algo así
    Quería saber si su estructura guarda todo el historial de versiones o si conserva los diff en los metadatos

    • Un PDF está compuesto por varios objetos (object)
      Cada objeto tiene un ID y, cuando se modifica, no se sobrescribe el anterior sino que se agrega una nueva generación
      Por ejemplo, si descomprimes con mutool clean -d in.pdf out.pdf, puedes ver la estructura
      Así el original se conserva y la versión modificada se va anexando encima
    • Si miras el paquete pdfresurrect al final de la página, explica que los PDF conservan el historial de modificaciones
      Esa herramienta extrae versiones anteriores y ofrece un resumen de cambios
    • Como referencia relacionada está A Typical PDF
    • Al final, un PDF está formado por una tabla de objetos y un árbol de referencias
      Aunque los objetos de versiones anteriores ya no estén referenciados, pueden seguir dentro del archivo

  • En vez de imprimir y escanear, me pregunto si también sería efectivo imprimir a XPS y luego convertirlo otra vez a PDF

  • Sorprende que esto apenas se esté sabiendo ahora

    • Probablemente alguien ya lo sabía
      Simplemente este tipo de información no se había difundido mucho
    • Parece que volvió a salir a flote con la atención sobre el archivo PDF de Epstein

  • ¿Alguien ha probado el comando % pdfresurrect -w epsteinfiles.pdf?

    • Me da curiosidad si alguien realmente lo intentó

  • Esto casi con certeza parece ser resultado de la edición (redaction) de los periodistas
    Es una lástima que no haya ninguna marca de “editado” ni explicación del motivo
    Incluso desde el punto de vista técnico, si lo hubieran publicado como capturas de pantalla habrían evitado la filtración de metadatos

    • Sí, en efecto, fueron los periodistas quienes editaron
      Por las marcas de tiempo en los metadatos, se puede ver que la versión del documento fue creada tres semanas antes de su publicación
      La mayoría de los documentos fueron tratados correctamente, pero en estos dos hubo un error de metadatos que dejó expuesta información importante
      En el próximo artículo se abordará un análisis técnico más profundo sobre forense de PDF y análisis de metadatos