#MundoHacker: ¿Qué datos se pueden obtener de un selfie?

Estamos con los amigos en un bar tomando unas cervezas. Alguien saca el móvil y se lía a sacar selfies. El siguiente paso está claro: lo sube a la red y nos etiqueta.

PabloYglesias-Selfie

Esta acción se repite día tras día en millones de lugares y grupos distintos. Los selfies están de moda, y la proliferación de smartphones con cámara aceptable y conexión acompañan la tendencia.

Pero puede conllevar consecuencias, y de eso es justo de lo que vamos a hablar en este artículo de la serie #MundoHacker.

¿Qué es una fotografía digital, y qué metadatos puedo obtener de ella?

La pregunta parece absurda, pero seguro que a más de uno le acabará sorprendiendo la respuesta. Una fotografía digital (redoble de tambores…) no es únicamente un archivo con información gráfica, sino que lleva asociado una cantidad ingente de información técnica y tangencial a la propia fotografía.

Para que un dispositivo informático sea capaz de reproducir un archivo, es necesario que le demos ya no solo el contenido en bruto, sino la manera que tiene de hacerlo. Desde el formato del archivo, pasando por la compatibilidad con herramientas de visualización de este tipo de archivos, así como sus dimensiones, resolución y un largo etcétera.

Además, y unido a lo anterior, encontraremos información técnica del dispositivo que ha realizado la imagen (marca, modelo, sensor, tiempo de exposición, número F, longitud focal,…) e información ambiental (principalmente, hora y lugar donde se tomaron).

Toda esta información suele ser planteada siguiendo un estándar de metadatos multimedia llamado EXIF, y que permite ya no solo reproducir el contenido, sino dotar de información enriquecida a los reproductores que hacen uso de él, como el sistema de filtrado de herramientas como Flickr. Y por supuesto, sirve tanto a los buenos para realizar auditorías que puedan ser presentadas como prueba ante un juez, como a los malos (malos malísimos o empresas de marketing 🙂) para obtener beneficio de los mismos.

¿Qué información podría obtener de un selfie?

Volviendo al tema principal, en la foto que acompaña este artículo tenemos a cuatro sujetos disfrutando de una buena cerveza en un bar. He tapado la cara por proteger su privacidad, pero imaginemos que los cuatro son gemelos y que por tanto la imagen no está retocada (xD).

Como hemos visto, analizando los datos EXIF desde un programa de edición de fotografía como puede ser Photoshop o GIMP, podríamos conocer el móvil o cámara con la que ha realizado la fotografía, así como la hora y el lugar de la toma. Suponiendo, como era el caso, que la fotografía está subida a una red social (Edit a día 6 de Octubre del 2015: Facebook desde hace unos meses borra los metadatos, como se comenta en los comentarios de este artículo) y que ha etiquetado a sus amigos, sabríamos también el nombre de cada uno, pudiendo descubrir cualquier posible parentesco y, por supuesto, cualquier otra información obtenida mediante ingeniería social en la propia red social.

Pero descontando esto último, que daría sin duda para otro artículo, sí podríamos obtener más información de la que aparentemente tenemos. Concretamente, por dos cuestiones: contextualidad y analítica.

  • Contextualidad: se basa en compulsar los datos que ya tenemos (obtenidos por EXIF) con el conocimiento que tenemos de la víctima y su entorno. Sabiendo las coordenadas donde se tomó la fotografía, podremos seguramente obtener en Google Maps el nombre del bar donde estaban, que seguramente concuerde con una tipología de cliente concreta (cervecero, amante del buen rock, tranquilo,…). La hora nos da una idea de sus hábitos (somos animales de costumbres). Esto unido al conocimiento del resto de integrantes de la plantilla, y posiblemente, a fotos anteriores.
  • Analítica: Atendiendo a lo que se ve en la propia fotografía, podemos conocer más del grupo. Relaciones entre ellos, forma de vestir (asociada a un nivel socio-económico) y su relación con las marcas. Precisamente esto último empieza a ser utilizado ya no solo por malos malísimos, sino por las agencias de marketing, para establecer asociaciones entre marcas (por ejemplo, sudadera de Nike y cerveza Heineken), con el fin de entablar posibles acuerdos publicitarios en conjunto, u obtener un patrón de cliente más exacto (asociaciones que quizás se desconocían, potenciales influencers,…). Para ello utilizan herramientas de analítica multimedia (Ditto Labs (EN) es una de las múltiples empresas que se dedican a esto “legalmente”) que analizan cada imagen buscando logotipos o marcas, que vuelcan en un dashboard para su explotación. Esto podríamos aplicarlo también a los malos malísimos, que tendrán sus propias herramientas para realizar sus fechorías.

Para terminar, recordar que precisamente los selfies son quizás los mejores botines de un ciberatacante, ya que además de toda la información que se puede obtener de ellos, le servirán para futuras campañas de phishing, bien sean propias o revendiendo sus investigaciones a terceros. Muchos se preguntan cómo alguien puede suplantarnos la identidad, y precisamente los selfies son el Caballo de Troya predilecto para ello.

¿Cómo protegernos de estas técnicas?

La respuesta rápida y sencilla es que si nos preocupa la privacidad, no subamos ni fotos ni vídeos, y mucho menos selfies, a internet. Ahora bien, como somos humanos y la guardia tarde o temprano acaba bajando, lo importante es hacerlo con cabeza.

Lo correcto, sería que esperáramos a llegar a casa y tranquilamente, con alguna de las herramientas de escritorio, borráramos los datos EXIF. Por ejemplo, en el caso de Photoshop, se puede hacer desde Archivo > Guardar para Web >Metadatos > Ninguno.

PabloYglesias-Metadatos

Esto además hará que la imagen pese menos (cada imagen puede llegar a contener 50ks de metadatos), por lo que cargará más rápido sin perder por ello calidad, lo que lo transforma además en una herramienta fenomenal para todos aquellos administradores de páginas (truquillo gratuito para cualquier blogger, por cierto).

Por supuesto, existen herramientas específicamente diseñadas para tal fin (que por cierto son más exactas que otras genéricas como el Photoshop, que sí que borra los datos EXIF, pero incluye unos pocos suyos). ExifTool (EN) permite borrar selectivamente uno u otro dato, e incluso modificarlo, motivo por el cual se armó la que se armó cuando el fundador de McAffee subió fotos suyas para reírse del anuncio de Busca y Captura que había sobre él (ES), y que hacen que en la práctica, defender como prueba legal la validez de los metadatos sea complicado (a no ser que se cuente con una firma que valide su originalidad).

Y por último, elegir muy bien los permisos en el servicio donde lo estamos subiendo. Asegurarnos de que al menos a priori solo es visible por nuestros amigos, y no de forma pública. Con esto no evitamos el problema (si un amigo comparte esa foto, se rompe el círculo), pero al menos minimiza los riesgos, que es de lo que se trata.

 

P.D.: Por aquí explico qué datos se pueden obtener de una persona simplemente consultando buscadores y redes sociales.

Edit unas horas más tarde: Puesto que en el artículo no ha quedado claro, añadir además que los metadatos están presentes en todo tipo de archivos digitales, ya sean emails, docs, PDFs o vídeos. En este artículo nos centramos en su uso nocivo junto a la fotografía, pero es posible extrapolarlo a cualquier otro documento, por ejemplo para saber quién modificó una hoja de cálculo o qué sistema operativo y herramientas de edición utiliza el creador de un vídeo trucado.

 

________

Realizar este tipo de artículos me lleva varias horas, y en algunos casos, gastos extra que habitualmente suplo de mi bolsillo, o gracias a esa comunidad de patronos que me apoyan realizando donaciones puntuales o periódicas.

Si le gustaría ver más de estos tutoriales y análisis por aquí. Si el contenido que realizo le sirve en su día a día, piense si merece la pena invitarme a lo que vale un café, aunque sea digitalmente.

hazme patrono pabloyglesias