Los metadatos son los “datos sobre los datos”, es decir, se trata de información que describe el contenido. En informática, la función de los metadatos es la de proporcionar detalles de los recursos a través de etiquetas, por lo que a su vez, los metadatos facilitan la búsqueda y almacenamiento de los datos.

Los recursos que contienen metadatos son archivos digitales de todo tipo: una foto, un vídeo, un audio, un archivo en PDF, un documento Word…

Incluso un enlace contiene metadatos. Estos también son conocidos como “metadatos sociales”: al compartir un enlace en redes sociales, se visualiza contenido como el título, la imagen y descripción, que han sido previamente definidos en el código fuente de la página web.

En definitiva, cualquier archivo contiene metadatos desde el momento de su creación, a no ser que estos se manipulen o eliminen tal y como explicamos en su momento en el caso de los metadatos de las fotografías.

A pesar de que lo más valioso en Internet es la información, los metadatos no han gozado de la popularidad que merecen. Por un lado, la mayoría de usuarios que generan contenido y lo comparten en Internet desconocen la existencia de los metadatos. Y de eso se aprovechan los data brokers, que sacan tajada de la actividad de los usuarios en la red.

¿Sospecha que ha sido hackeado? Confírmelo aquí

Por otro lado, y en consecuencia de lo anterior, los metadatos suponen un peligro para la seguridad de las empresas y organizaciones, así como para los trabajadores de cualquier tipo de entidad, ya que las llamadas y los correos electrónicos también contienen metadatos en sí.

Han trascendido pocos casos de violación de la privacidad por metadatos de archivos, aunque los hay a un nivel muy técnico. El artículo que nos ocupa es una introducción al tema, por lo que a continuación veremos los casos más conocidos sobre vulneración de la privacidad por metadatos que tienen que ver con las llamadas.

Metadatos en las llamadas telefónicas

Era octubre de 2013 cuando el concepto “metadatos” empezó a resonar en todo el mundo.

Los llamados “Papeles de Snowden” hicieron que muchos se preguntaran cómo era posible que la intimidad de ciudadanos de medio mundo se violara de forma masiva a través de llamadas telefónicas.

Tal y como relató el diario El Mundo, España fue uno de los objetivos de la actividad de la Agencia Nacional de Seguridad estadounidense (NSA). En tan solo un mes, la NSA había espiado 60 millones de llamadas a través de los sistemas de Inteligencia de Señales (SIGINT) para interceptar las comunicaciones, y del software Boundless Informant para organizar y comprender la información recabada.

El entonces Presidente de Estados Unidos, Barack Obama, trató de justificar la actividad de los servicios de inteligencia amparándose en el artículo 215 del Patriot Act que “permite al gobierno obtener información de terceros” para registrar información relativa al terrorismo.

Por eso, Obama explicó que “cuando se trata de llamadas telefónica, nadie las está escuchando, ya que el programa no funciona así”, sino que se hace una selección de llamadas a través de los metadatos.

Supuestamente, nadie podía saber los nombres de las personas que hacían o recibían las llamadas espiadas, ni el contenido de éstas, pero sí se extraían números de teléfono y duración de las llamadas.

Aparentemente, se le quiso quitar peso al asunto haciendo referencia a los metadatos como si se tratase de información de menor importancia, pero lo cierto es que son datos que a veces, pueden revelar mucha más información que el contenido en sí.

Metadatos de los correos electrónicos

En medio del estallido de los “Papeles de Snowden” y el descubrimiento del programa PRISM de la NSA, el MIT publicó una aplicación llamada Immersion. Se trata de una herramienta en la que el usuario se puede loguear con su correo electrónico de Gmail o Yahoo y obtener un mapa y varios gráficos que muestran con qué contactos está más o menos conectado; la cantidad de correos entrantes y salientes durante un determinado periodo; así como el incremento de nuevos contactos a lo largo del tiempo.

Captura de la demo de Immersion. En ella se pueden ver los metadatos que la herramienta extrae a partir de una cuenta de correo.

Captura de la demo de Immersion. En ella se pueden ver los metadatos que la herramienta extrae a partir de una cuenta de correo.

Dicho de otra manera, lo que demuestra Immersión es que, con el análisis de los metadatos, se puede desvelar información privada y relevante del usuario, a pesar de que la herramienta no analiza el contenido de los correos.

De hecho, hay quien señala que los metadatos proporcionan información mucho más importante que el contenido en sí. “Dicen que solo son metadatos” (…) pero los metadatos indican “con quién hablas, a qué hora lo haces o dónde viajas”. Esto fue lo que el mismo Edward Snowden explicó en una charla TED que tuvo que dar a través de un monitor por su exilio tras ser acusado de alta traición a su país:

Aunque este tema llegó a España, muchos lo sintieron como algo lejano e incluso inevitable por haberlo llevado a cabo un gobierno sin que aparentemente lo consintieran el resto de naciones. Entonces, ¿hasta qué punto merece la pena preocuparse por el registro de metadatos? Que se conozca, ¿quién más registra y almacena metadatos de forma masiva? ¿Puede afectar a la cabeza visible de una organización?

¿Qué pueden hacer con el registro de metadatos de un ciudadano?

Nos remontamos a la Alemania de 2009, momento en el que el político alemán, Malte Spitz, pide a su proveedor de telecomunicaciones, Deutsche Telekom, los datos que la compañía había recopilado de él como cliente.

Para hacer esto, Spitz apeló a la Directiva Europea de Conservación de Datos que había sido promulgada como respuesta a los problemas de seguridad surgidos tras los atentados del 11M en Madrid y los del 7J en Londres. La normativa obligaba a los teleoperadores a conservar metadatos de sus usuarios de un mínimo de seis meses hasta los dos años. Posteriormente, en 2014, el Tribunal de Justicia de la Union Europea anuló esta Directiva al considerarla una injerencia a los derechos fundamentales de privacidad y protección de datos.

Spitz también tuvo que recurrir varias veces a los tribunales alemanes para que Deutsche Telekom le proporcionara los datos que tenía sobre él y que la compañía había recogido a través de su teléfono móvil. Cuando la justicia le dio la razón a Spitz, Deutsche Telekom le facilitó información suya del mínimo periodo de tiempo que contemplaba la ley: seis meses.

Como era una cantidad de datos muy grande, pidió ayuda a periodistas del diario Zeit Online y con esos metadatos consiguieron generar una mapa interactivo al detalle de todos los movimientos de Spitz: a dónde va; dónde vive y trabaja; qué llamadas recibe y realiza; la duración de estas y los números de sus contactos; qué líneas de tren coge y a dónde viaja. Todo esto con “solo” registrar los metadatos.

En la web, se puede ver los movimientos y actividad de Spitz durante seis meses de su vida gracias a los metadatos registrados por Deutsche Telekom.

En la web, se puede ver los movimientos y actividad de Spitz durante seis meses de su vida gracias a los metadatos registrados por Deutsche Telekom.

Con esto, Spitz demostró lo que el Tribunal de Justicia Europeo dictaminó años más tarde con respecto al registro de metadatos de las teleoperadoras: que es una intromisión en la privacidad de los ciudadanos.

Lo que no hemos dicho aún es que Spitz es un político del Partido Verde de Alemania; y dependiendo de en qué manos caigan esos metadatos, podían utilizarse para favorecer ciertos intereses ajenos al político.

Al fin y al cabo, toda organización está compuesta por personas y la mayoría de ellas, por no decir todas, tienen en el bolsillo un smartphone que registra toda la actividad.

Cuando la transparencia supone un problema

La publicación de datos (que recordemos, contienen metadatos) combinada con el incremento del número de gestiones que los ciudadanos pueden hacer por Internet ha dado lugar a un reciente caso de identidad hackeada.

A mediados de julio, el Tribunal de Estocolmo declaró en bancarota al director ejecutivo de Securitas: Alf Goransson. Un proceso que, supuestamente, el propio Goransson desconocía hasta que le llegó la notificación.

Todo empezó con un hacker que, aprovechando la transparencia y la digitalización de la documentación pública en Suecia, robó la identidad online de Goransson para pedir un préstamo. La cantidad del préstamo no ha trascendido, pero ha sido suficiente para que la justicia sueca tomara dicha decisión, la cual ha sido apelada por el directivo.

Por el momento, Goransson se encuentra apartado de varios organismos de los que era miembro a la espera de que se levante el embargo. Una situación que ha podido afectar directamente a la empresa, a nivel financiero como de imagen.

Según Bloomberg, en lo que va de año, 12.800 identidades han sido hackeadas en Suecia; un país pionero en temas de transparencia. Sin embargo, ya hemos visto que con un poco de suspicacia e ingeniería social, la transparencia puede ser un arma de doble filo.

Cuando una empresa revela más de la cuenta

A la hora de ponerse delante de un dispositivo, se dan dos situaciones por las que surgen los problemas de seguridad:

  1. Se infravalora la información que producimos tanto empresas como particulares.
  2. Se piensa que hacen falta enemigos para preocuparse.

A la hora de preguntarse por qué una organización ha de preocuparse por los metadatos de la información que generan, el argumento del espionaje industrial es el más obvio: empresas que buscan el más mínimo detalle de los empleados de su competencia para saber en qué están trabajando; o saber qué decisiones va a tomar una organización frente a una situación que concierne a todos los actores.

Y como hemos visto, la información y los metadatos de los ejemplos pertenecían a miembros de organizaciones y empresas. Probablemente, parte de la actividad profesional de estas personas se llevaba a cabo a través de sus dispositivos personales.

En Open Data Security estamos desarrollando una herramienta específica para borrar los metadatos de los contenidos que, inevitablemente, una organización o empresa comparte con terceros e incluso publica. En breve hablaremos en profundidad sobre este nuevo recurso pensado para empresas que quieran proteger su privacidad y la de sus clientes. Y es que la información es la moneda de cambio en Internet, y es una asignatura pendiente darle el valor que merece al contenido que generamos, pues dicen más de nosotros de lo que creemos.[:]