Posiblemente le sea familiar la historia de John McAfee, el fundador del antivirus que lleva su nombre. A finales de 2012, McAfee era buscado por el asesinato de su vecino, Gregory Viant Faull. El suceso cogió un cariz muy mediático desde el primer minuto, ya que al ser perseguido por las autoridades estadounidenses, el magnate de Sillicon Valley huyó a Guatemala y entró en el país de manera ilegal.
Durante su fuga, McAfee defendió su inocencia por su cuenta de Twitter y su blog. Sin embargo, antes de que descubrieran su paradero y le deportaran a Belice, tuvo lugar un despropósito.
El 3 de diciembre de 2012, la web Vice publicó una exclusiva con un provocador titular “We are with John McAfee right now, suckers”. En la publicación había una fotografía del informático junto al editor jefe, Rocco Castoro. No se tardó mucho en descubrir dónde había sido tomada cuando un tuitero publicó: “Revisad los metadatos de la foto. Upss…”:
Qué son los metadatos de una fotografía
Cada vez que se toma una foto con un dispositivo digital (ya sea un smartphone, una tablet o una cámara digital) el archivo de la imagen contiene unos datos (metadatos) que revelan información como: fecha y hora en la que fue tomada la fotografía, el modelo del dispositivo y versión del sistema operativo, los parámetros utilizados para sacar la foto (tiempo de exposición, apertura de diafragma, distancia focal…).
En caso de no tener desactivada la localización en el smartphone o tablet, o si la cámara digital incorpora GPS, también se desvelará el lugar en donde se hizo la imagen.
Toda esta información está organizada según un estándar de metadatos multimedia llamado EXIF (Exchangeable Image Format), que es el que permite dotar de información enriquecida a los formatos de imágenes JPG, TIFF, RIFF y WAVE. Así sería como se verían los datos de una fotografía como la de Vice:
Para conocer los metadatos de una fotografía solo hay que recurrir a herramientas como EXIFtool, una de las más utilizadas tanto para que esta información se muestre, como para eliminarla de la fotografía.
Está claro que una herramienta como la de EXIFtool es la que deberían haber utilizado el equipo de Vice o incluso el propio McAfee, que paradójicamente su empresa revolucionó la industria de la seguridad informática. Sin embargo, no todos los días se deben de poner en marcha mecanismos de seguridad porque se entrevista a un fugitivo. Por ello, muchos se preguntarán hasta qué punto las fotos que se publican en otros sitios web pueden comprometer los datos privados de una empresa.
Metadatos y redes sociales
No cabe duda de que a la hora de publicar una imagen, las redes sociales son los sitios de Internet más utilizados. Al tratarse de un tema de privacidad, cada red social tienen su propia gestión de los metadatos: algunas los eliminan y otras las mantienen. Repasemos el tratamiento de los metadatos y la privacidad en las redes sociales más populares: Facebook, Twitter e Instagram.
Basta con subir una fotografía a los servidores de Facebook, copiar el enlace de la imagen en el portapapeles y pegarlo en esta herramienta online para saber que Facebook no almacena los metadatos de las fotografías que se publican en la red social.
En la siguiente imagen se pueden ver los únicos metadatos que se pueden sacar de una fotografía subida a Facebook:
Sin embargo, desde la Política de Privacidad, se advierte al usuario de que Facebook recolecta información en base al contenido que compartimos como puede ser dónde ha sido tomada una fotografía o cuándo ha sido creado un archivo que se haya subido. En la misma página cuenta que esa información la utilizan para mejorar sus servicios y desarrollar otros.
Con la misma herramienta que hemos utilizado en el caso anterior, comprobamos que Twitter también borra los metadatos de las imágenes que se suben a esta red social. Esto ocurre tanto si la imagen se publica desde la aplicación web como desde el móvil.
Esto es un punto a favor de esta plataforma a la hora de preservar la privacidad del usuario, sin embargo, desde su Política de Privacidad también explican la cantidad de formas que tienen de obtener datos del usuario, teniendo un apartado dedicado a su localización.
Otras de las redes sociales que funcionan bajo el ala de Mark Zuckerberg es Instagram. En este caso, no podremos consultar los metadatos de las imágenes, ya que actualmente no da la opción de descargar las imágenes ni de copiar el enlace de estas en la versión de escritorio.
En conclusión, las redes sociales mencionadas sí que protegen al usuario de la fuga de información, aunque no todas lo hacen (es el caso de Google+, Flickr o Tumblr). Tampoco ocurre lo mismo cuando se suben las fotografías a servicios en la nube como Google Drive o Dropbox, ya que los archivos no se alteran, cualquiera con acceso a esos servicios podrá leer los metadatos de las imágenes.
¿Podrían los metadatos poner en peligro la seguridad de una empresa?
Llegados a este punto, cabe decir que los metadatos están presentes en todo tipo de archivos digitales, no solo en la fotografía digital. Documentos de texto, PDFs o vídeos contienen metadatos que también puede ser revelados o alterados con herramientas que se pueden encontrar en la red.
Muchas empresas no tienen problemas en exponer el lugar en donde se encuentran o incluso los equipos con los que trabajan (recordemos que en los metadatos aparece el modelo con el que se ha realizado la foto).
Otras compañías o incluso autónomos, prefieren controlar todo lo que se publica entorno a su actividad profesional en la red, y lo cierto es que esto es lo más recomendable dado que las técnicas de hackeo están cambiando constantemente.
Resulta difícil precisar la manera en la que podrían utilizar los metadatos de una inocente fotografía para dañar la imagen corporativa o la de un profesional. Por ejemplo, un metadato puede ser revelador para que un hacker utilice ingeniería social con un trabajador o con autónomo. Le puede sacar información relevante como una dirección de correo electrónico para mandarle un e-mail haciéndose pasar por el servicio técnico del equipo de su cámara digital, y pidiéndole que haga click en un enlace con malware .
Porque casos así ocurren a diario, la formación en seguridad informática debe ser clave tanto para las empresas como para nómadas digitales. Desde ODS, personalizamos la formación acorde a su actividad de negocio para que su seguridad no se vea comprometida por los miles de ataques que se producen a diario.[:]