Estamos con los amigos en un bar tomando unas cervezas. Alguien saca el móvil y se lía a sacar selfies. El siguiente paso está claro: lo sube a la red y nos etiqueta.
Esta acción se repite día tras día en millones de lugares y grupos distintos. Los selfies están de moda, y la proliferación de smartphones con cámara aceptable y conexión acompañan la tendencia.
Pero puede conllevar consecuencias, y de eso es justo de lo que vamos a hablar en este artículo de la serie #MundoHacker.
Índice de contenido
¿Qué es una fotografía digital, y qué metadatos y datos personales puedo obtener de ella?
La pregunta parece absurda, pero seguro que a más de uno le acabará sorprendiendo la respuesta. Una fotografía digital (redoble de tambores…) no es únicamente un archivo con información gráfica, sino que lleva asociado una cantidad ingente de información técnica y tangencial a la propia fotografía.
Para que un dispositivo informático sea capaz de reproducir un archivo, es necesario que le demos ya no solo el contenido en bruto, sino la manera que tiene de hacerlo. Desde el formato del archivo, pasando por la compatibilidad con herramientas de visualización de este tipo de archivos, así como sus dimensiones, resolución y un largo etcétera.
Además, y unido a lo anterior, encontraremos información técnica del dispositivo que ha realizado la imagen (marca, modelo, sensor, tiempo de exposición, número F, longitud focal,…) e información ambiental (principalmente, hora y lugar donde se tomaron).
Toda esta información suele ser planteada siguiendo un estándar de metadatos multimedia llamado EXIF, y que permite ya no solo reproducir el contenido, sino dotar de información enriquecida a los reproductores que hacen uso de él, como el sistema de filtrado de herramientas como Flickr. Y por supuesto, sirve tanto a los buenos para realizar auditorías que puedan ser presentadas como prueba ante un juez, como a los malos (malos malísimos o empresas de marketing 🙂) para obtener beneficio de los mismos.
¿Qué datos personales se pueden obtener de un selfie?
Volviendo al tema principal, en la foto que acompaña este artículo tenemos a cuatro sujetos disfrutando de una buena cerveza en un bar. He tapado la cara por proteger su privacidad, pero imaginemos que los cuatro son gemelos y que por tanto la imagen no está retocada (xD).
Como hemos visto, analizando los datos EXIF desde un programa de edición de fotografía como puede ser Photoshop o GIMP, podríamos conocer el móvil o cámara con la que ha realizado la fotografía, así como la hora y el lugar de la toma. Suponiendo, como era el caso, que la fotografía está subida a una red social (Edit a día 6 de Octubre del 2015: Facebook desde hace unos meses borra los metadatos, como se comenta en los comentarios de este artículo) y que ha etiquetado a sus amigos, sabríamos también el nombre de cada uno, pudiendo descubrir cualquier posible parentesco y, por supuesto, cualquier otra información obtenida mediante ingeniería social en la propia red social.
Pero descontando esto último, que daría sin duda para otro artículo, sí podríamos obtener más información de la que aparentemente tenemos. Concretamente, por dos cuestiones: contextualidad y analítica.
- Contextualidad: se basa en compulsar los datos que ya tenemos (obtenidos por EXIF) con el conocimiento que tenemos de la víctima y su entorno. Sabiendo las coordenadas donde se tomó la fotografía, podremos seguramente obtener en Google Maps el nombre del bar donde estaban, que seguramente concuerde con una tipología de cliente concreta (cervecero, amante del buen rock, tranquilo,…). La hora nos da una idea de sus hábitos (somos animales de costumbres). Esto unido al conocimiento del resto de integrantes de la plantilla, y posiblemente, a fotos anteriores.
- Analítica: Atendiendo a lo que se ve en la propia fotografía, podemos conocer más del grupo. Relaciones entre ellos, forma de vestir (asociada a un nivel socio-económico) y su relación con las marcas. Precisamente esto último empieza a ser utilizado ya no solo por malos malísimos, sino por las agencias de marketing, para establecer asociaciones entre marcas (por ejemplo, sudadera de Nike y cerveza Heineken), con el fin de entablar posibles acuerdos publicitarios en conjunto, u obtener un patrón de cliente más exacto (asociaciones que quizás se desconocían, potenciales influencers,…). Para ello utilizan herramientas de analítica multimedia que analizan cada imagen buscando logotipos o marcas, que vuelcan en un dashboard para su explotación. Esto podríamos aplicarlo también a los malos malísimos, que tendrán sus propias herramientas para realizar sus fechorías.
Para terminar, recordar que precisamente los selfies son quizás los mejores botines de un ciberatacante, ya que además de toda la información que se puede obtener de ellos, le servirán para futuras campañas de phishing, bien sean propias o revendiendo sus investigaciones a terceros. Muchos se preguntan cómo alguien puede suplantarnos la identidad, y precisamente los selfies son el Caballo de Troya predilecto para ello.
¿Cómo protegernos de estas técnicas?
La respuesta rápida y sencilla es que si nos preocupa la privacidad, no subamos ni fotos ni vídeos, y mucho menos selfies, a internet. Ahora bien, como somos humanos y la guardia tarde o temprano acaba bajando, lo importante es hacerlo con cabeza, como explico en mi Curso sobre Seguridad y Privacidad Digital.
¿Te preocupa tu Seguridad y Privacidad Online?
He diseñado este curso online en 8 módulos en el que cubriremos todos los fundamentos de la ciberseguridad, ayudándote paso por paso a configurar la seguridad y privacidad de tus cuentas digitales y de tus dispositivos.
Lo correcto, sería que esperáramos a llegar a casa y tranquilamente, con alguna de las herramientas de escritorio, borráramos los datos EXIF. Por ejemplo, en el caso de Photoshop, se puede hacer desde Archivo > Guardar para Web >Metadatos > Ninguno.
Esto además hará que la imagen pese menos (cada imagen puede llegar a contener 50ks de metadatos), por lo que cargará más rápido sin perder por ello calidad, lo que lo transforma además en una herramienta fenomenal para todos aquellos administradores de páginas (truquillo gratuito para cualquier blogger, por cierto).
Por supuesto, existen herramientas específicamente diseñadas para tal fin (que por cierto son más exactas que otras genéricas como el Photoshop, que sí que borra los datos EXIF, pero incluye unos pocos suyos). ExifTool (EN) permite borrar selectivamente uno u otro dato, e incluso modificarlo, motivo por el cual se armó la que se armó cuando el fundador de McAffee subió fotos suyas para reírse del anuncio de Busca y Captura que había sobre él (ES), y que hacen que en la práctica, defender como prueba legal la validez de los metadatos sea complicado (a no ser que se cuente con una firma que valide su originalidad).
Y por último, elegir muy bien los permisos en el servicio donde lo estamos subiendo. Asegurarnos de que al menos a priori solo es visible por nuestros amigos, y no de forma pública. Con esto no evitamos el problema (si un amigo comparte esa foto, se rompe el círculo), pero al menos minimiza los riesgos, que es de lo que se trata.
¿Qué puedo hacer si ya he expuesto algún contenido dañino para mi imagen?
Sobre esto ya escribí un artículo en profundidad: Cómo podemos conseguir que Google desindexe contenido dañino para nuestra imagen.
Ya te digo que no es un camino sencillo, pero entre esas acciones estarían:
- Pedir a la página que aloja ese contenido que lo elimine o modifique: Es el primer paso, pero lamentablemente dependiendo de dónde esté alojada no siempre recibimos contestación.
- Llevar a cabo acciones legales sobre los administradores de esa página y/o proveedor de servicios: Si tenemos las de ganar judicialmente hablando, se empezaría a falta de respuesta por el administrador las acciones legales pertinentes. Pero ya te digo que este es el camino lento, a varios meses (o incluso años) vista.
- Pedir a Google vía formulario que elimine ese contenido de su buscador: El tema del cual hablamos en esta pieza, y esgrimiendo los derechos legales que nos amparan a realizar esta petición. Que de nuevo, pueden respondernos en unos días o pasar semanas sin saber nada.
- Implementar una estrategia de SEO/generación de contenido agresiva: Es, a fin de cuentas, la única acción que podemos hacer en poco tiempo y cuyos resultados no dependen exclusivamente de la decisión de terceros.
Por esto mismo decía que sí se puede eliminar contenido en la red, pero con matices. Porque en la mayoría de casos a los que me he enfrentado, realmente más que desindexar ese contenido, lo que hemos conseguido es que siga indexado pero haya sido superado con creces en las SERPs por otro contenido que es afín a nuestro interés.
Si estás en esta situación y quieres que te ayude, puedes escribirme para que veamos qué podemos hacer con tu caso.
P.D.: Por aquí explico qué datos se pueden obtener de una persona simplemente consultando buscadores y redes sociales.
Edit unas horas más tarde: Puesto que en el artículo no ha quedado claro, añadir además que los metadatos están presentes en todo tipo de archivos digitales, ya sean emails, docs, PDFs o vídeos. En este artículo nos centramos en su uso nocivo junto a la fotografía, pero es posible extrapolarlo a cualquier otro documento, por ejemplo para saber quién modificó una hoja de cálculo o qué sistema operativo y herramientas de edición utiliza el creador de un vídeo trucado.
________
Puedes ver más artículos de esta serie en #MundoHacker, donde tratamos en varios tutoriales las medidas para atacar y/o defenderse en el mundo digital.
Y si el contenido que realizo te sirve para estar actualizado en tu día a día, piensa si te merece la pena entrar en el Club Negocios Seguros y aprovecharte de todo el contenido exclusivo que publico para los miembros.
Antes que nada felicitarte por haber quedado tan arriba en Bitacoras.
Y después comentar que; como nos gusta crearnos problemas, eh? Además, sin ni siquiera saberlo.
Voy a compartir esto con mis círculos pero dudo que muchos sepan de que se les está hablando. De todas formas, tu labor con estos artículos es impagable.
Muchas gracias!
Mil gracias Mikel. Es un triunfo de todos nosotros, que bien estuvisteis apoyando por redes sociales.
Sobre el tema principal, pues sí. Pero mira, fíjate que casualmente el otro día estaba hablando con un compañero que tiene un blog de viajes y tenía una opinión totalmente distinta a la de un servidor, y como no, tan respetable como ninguna.
Precisamente esos metadatos que un «talibán» de la privacidad como yo señala como peligrosos, son muy interesantes para este chico ya que así Google los toma para georeferenciar sus fotografías y posicionar localmente los artículos de su blog. Que vamos, no es santo remedio, pero algo ayudará, y según en qué ámbito estés esa información es valiosa o contraproducente.
Así que que cada uno elija sabiamente, jeje.
Y ya me pagáis bastante con todo este apoyo, y con aguantarme cada día. Que tiene valor venir al blog a escuchar las locuras de un personaje como el que tienes delante ::).
Me imagino la siguiente escena..
«el Ex» (apenas unos dias)… entraré al face un rato… wooow… «la Ex» ha subido nueva foto hace 45 segundos… porque esta ella con ese tipo!!! en ese lugar… maldita infeliz…. veamos… solo esta con el.. ah si claro la amiguita esa le anda haciendo el favor tambien… ya veran…. ahorita mismo voy para alla….. fin
O la escena de gente pervertida o lo actual en mi pais que usan el face para los engaños o secuestros…
Los autoretratos han causado demasiado problemas en la red. Hace poco lei que hay nueva moda… el autoretrado de la primera cita… O_o que dicen para aumentar el autoestima y la confianza de la primera vez que se conocen…
Es un tema peligroso sí. Ya no solo por las represalias de un posible loco (que ahí está), sino por el uso que se podría dar para usurpación de identidades por alguien que conozca el mundillo.
Porque puede llegar a afectar a tu trabajo, a tu vida.
Muchas gracias por el comentario dbillyx.
Seguro que en facebook salen los metadatos? he probado varias veces pero al parecer los elimina de las imágenes.
Mete unos propios, ya que en verdad no muestra la imagen que subimos, sino una nueva versión comprimida.
Otra cosa es que en verdad ellos no los utilicen (por ejemplo para geoposicionarla).
No me acordaba de este post jajaja….
Bueno… pienso que eso de comprimir y agregar otros metadatos, es por derechos y propiedad de…. facebook… si alguien viene a reclamar por algo en lo cual puedan ser usadas las fotos, dira los de facebook… no podes reclamar porque los metadatos confirman que somos dueños de ellas…
Hasta donde tenia entendido, Facebook elimina los metadatos originales de la fotografía para proteger la privacidad.
Desde el año pasado los elimina (enlace). Eso no quita que antes los hayan usado para obtener información del contexto de esa fotografía, pero en efecto, la foto que muestra al público ahora viene sin metadatos.
Por un momento pensé que leería cosas como que por las selfies es posible saber si se baja o se limpia regularmente la taza del baño, o qué dildos son tan favoritos que se tienen a la mano sobre la mesita. Esas cosas también.
Jajajaj, también también. La parte de conocimiento endógeno es esencial en una campaña OSINT
Hola buenos días. Con una foto, yo que no soy informático ni de recursos humanos de ninguna empresa.. Puedo localizar el lugar, lo que te gusta y buscarte en Facebook u otras páginas.. Es impresionante..
Pero quitando eso.. Si encima pueden saber cosas de tu tf. o donde vives.. Estamos perdidos..
Menos mal que nos vas informando Pablo.. Y nos das unas cuantas soluciones.. Cada vez me gusta menos los aparatos informáticos.. Se que en este mundo son muy necesarios.pero…… Es como si perdieras la libertad..
Bueno lo dicho muchas gracias..
Es simplemente saber utilizarlos y ser consciente de los riesgos que llevan asociados.
Saludos!
Hola Buen Posteo,me encanto y lo compartido con mis amigos de Twitter!!!
Un saludo desde Argentina, Seguire leyendo otros.
Gracias por compartir esto con nosotros.
Muchas Gracias!!!
A ti! Saludos!
A mí lo que más me preocupa es la información del autor. Y la geolocalización también. Me he enterado de la existencia de los metadatos hace solo una hora. ¿Cómo borrarlos?
Algunas aplicaciones te permiten eliminarlos (o cambiarlos por otros). Sin ir más lejos Photoshop modificaba algunos e incluía algunos propios también.