Saltar al contenido

Metadatos invisibles, riesgos reales: qué puede ver cualquiera en tu web

Cada vez que subes un documento a tu sitio web, es posible que estés compartiendo más información de la que imaginas. Más allá del contenido visible, los metadatos pueden revelar detalles como quién creó un archivo, con qué software, en qué fecha e incluso desde qué ubicación. Si quieres conocer más sobre los metadatos, puedes visitar nuestro blog.

Para empresas y organizaciones, estos datos pueden representar una brecha de seguridad. Desde nombres de empleados hasta datos de geolocalización, los metadatos mal gestionados pueden derivar en problemas de privacidad y cumplimiento normativo, especialmente bajo regulaciones como el RGPD.

En este análisis, exploramos cómo los metadatos expuestos pueden afectar a una empresa y qué tipo de información se filtra sin que muchos lo noten.

El estudio: qué hemos analizado y por qué importa

Para comprender el impacto de los metadatos expuestos, hemos analizado documentos públicos de dos webs diferentes:

En los dos sitios web analizados, hemos anonimizado todos los datos personales y reemplazado los enlaces de los archivos originales por enlaces a archivos de ejemplo alojados en nuestro propio servidor para garantizar la privacidad.

  1. Web con alto volumen de contenido: miles de documentos accesibles con múltiples formatos (PDF, Word, Excel). — Enlace al reporte
  2. Web con poco contenido: solo unos pocos archivos disponibles, pero suficientes para evaluar el riesgo. — Enlace al reporte

Este enfoque nos permite comparar dos escenarios extremos y demostrar cómo, independientemente del tamaño de una web, los metadatos pueden representar un riesgo si no se gestionan adecuadamente.

Aquí puedes ver los nombres personal (círculos pequeños) que se han encontrado en cada web (círculo central más grande).

Lo más interesante es la sección central, donde aparecen nombres comunes en ambas webs. Esto indica que una persona ha colaborado con ambas organizaciones o que una empresa ha publicado un documento creado por la otra, exponiendo sus metadatos.

Si te interesa, puedes explorar el gráfico original aquí:

A lo largo de este artículo, mostramos qué información es habitual encontrar en los metadatos, qué datos pueden convertirse en una brecha de datos y cómo puedes reducir los riesgos para cumplir con normativas como el RGPD.

Resumen del análisis: una radiografía de los metadatos expuestos

Este reporte presenta un análisis detallado de los metadatos expuestos en los documentos públicos de una web. Nuestro objetivo es analizar y detectar qué información está expuesta en los metadatos de documentos públicamente accesibles y producir un reporte orientado a un profesional de la privacidad para su evaluación y consejo a la empresa.

Para facilitar la interpretación de los resultados, comparamos los hallazgos que se han encontrado en al web con otras webs de tamaño similar. Esta comparación ayuda a entender si el nivel de exposición está dentro de lo habitual o si presenta un riesgo mayor del esperado y necesita una investigación más profunda.

Tus metadatos pueden estar filtrando información privada.

Audita tu web ahora y protégete.

Contactar

¿Qué puedes ver en estos reportes de metadatos?

Los datos habituales que se encuentran en este tipo de análisis son:

  • Dispositivos utilizados para su creación (cámaras de fotos, smartphones, impresoras, …)
  • Nombres personales o nombres de usuario.
  • Coordenadas GPS (en ocasiones de oficinas o eventos… ¡y de casas particulares!)
  • Herramientas de software que se han utilizado para crear o manipular los documentos.

Resumen y comparación con webs de similar tamaño

Para entender mejor el impacto de los metadatos expuestos, vamos a comparar las diferencias en los resultados obtenidos para cada web analizada. Nos fijaremos en qué tipos de información aparecen, cuantas veces aparecen y como estos resultados se comparan con webs similares.

En el primer caso las medidas indican que filtra mucha más información que webs de similar tamaño, mientras que en el segundo, a pesar de filtrar información, el volumen de ésta se situa ligeramente por debajo de la media

Enlace al reporte aquí.
Enlace al reporte aquí.

Información geográfica

Una de las filtraciones más sensibles es la relacionada con coordenadas GPS, que pueden quedar incrustadas en las fotos tomadas con smartphones, dependiendo de su configuración. En el contexto adecuado, esta información es útil: nos permite organizar recuerdos de viajes o ubicar eventos en mapas y crear bonitas visualizaciones.

Sin embargo, cuando estos datos aparecen en documentos o imágenes publicadas en una web corporativa, pueden representar un riesgo para la privacidad y seguridad de los empleados. No es raro encontrar información geográfica en actividades empresariales como eventos, ferias o cenas de equipo, lo cual no suele ser problemático.

Pero, ¿qué ocurre con las imágenes de la sección «Conoce a nuestro equipo»? ¿Fueron tomadas en las oficinas de la empresa o en viviendas particulares? ¿Qué configuración de privacidad tenía el smartphone con el que se capturaron?

Estas preguntas pueden marcar la diferencia entre un simple dato y una brecha de seguridad involuntaria.

En este ejemplo, la web más grande contiene mucha información geográfica en los metadatos. Ésta apunta a la misma ciudad, lo que da información sobre las actividades de esta organización y las fechas en las que suceden.

Si estos metadatos no se han han colocado ahí de manera consciente, nada asegura que alguna de esas coordenadas apunte a domicilios particulares.

Enlace al reporte aquí.

En la segunda web, vemos uno de los efectos del uso de gestores de contenido (WordPress, Joomla,…). Para optimizar la web, se crean copias de diferentes tamaños de las imágenes que se han subido. Si la imagen original contiene información GPS, ésta se progará por el resto de la web haciendo que sea mucho más sencillo de encontrar.

Enlace al reporte aquí.

¿Qué detalles se exponen sobre un trabajador?

Los metadatos de los documentos contienen información que asocia a una persona con una empresa, su actividad y sus herramientas de trabajo. Un análisis de metadatos nos permite encontrar cosas como:

  • Nombre personal o alias: Esto ayuda a identificar personas o deducir su dirección de email o nombre interno de usuario.
  • Cantidad de documentos asociados: Indica cuántos archivos han sido creados o editados por esta persona dentro de la web analizada.
  • Periodo de actividad: A partir de las fechas de creación y modificación de documentos, es posible estimar desde cuándo y hasta cuándo alguien ha trabajado en ciertos archivos, lo que podría revelar cambios en la plantilla o movimientos internos en una empresa.
  • Software utilizado: Los metadatos incluyen detalles sobre los programas empleados para crear o editar los archivos, lo que da pistas sobre las herramientas más usadas dentro de la organización.
  • Dispositivos habituales: En algunos casos, los documentos pueden contener información sobre el tipo de dispositivo empleado (PC, Mac, o incluso móviles), lo que podría ser útil para evaluar estándares tecnológicos dentro de una empresa.

Si bien estos datos pueden parecer inofensivos, en conjunto pueden perfilar la actividad de un trabajador, identificando patrones de uso y posibles riesgos de privacidad.

Además, al exponer toda esta información, se dan detalles muy personales que permiten la creación de campañas de phishing muy sofisticadas para engañar al usuario.

/CTA-ES-Check-yuour-website