Case study – Metadatos y fugas de información en instituciones españolas

Metadatos y filtraciones de datos personales

El siguiente estudio analiza la presencia de potenciales fugas de información en los sitios web de las instituciones españolas. Los resultados ofrecen una comparativa entre distintas comunidades autónomas y ofrecen un detalle del sitio web del Gobierno de España (La Moncloa).

Los datos del estudio son el resutado del análisis de los documentos de cada sitio web disponibles para su acceso público online, poniendo atención a los metadatos de los documentos.

Los resultados muestran el total de documentos analizados así como las potenciales fugas de información detectadas que pueden suponer una ciberamenaza o problema de cumplimiento normativo con regulaciones de privacidad (RGPD) y estándares de seguridad de la información (ENS, ISO 27001, ISP 27002).

Con potenciales fugas de información nos referimos a datos personales, direcciones de email, nombres de usuario, información sobre software y hardware o ubicaciones GPS.

Palabras clave del estudio: metadatos, protección de datos, ciberseguridad, datos personales, RGPD, Administraciones Públicas.

Índice de contenido

Introducción

Metodología

Resultados

Conclusiones

Introducción: Los Metadatos y las fugas de información

Para comprender la investigación del presente estudio es importante conocer qué son los metadatos. Un metadato es un dato que define y describe otros datos.

En el presente estudio hablamos principalmente de metadatos de gestión de documentos.

Metadatos de gestión de documentos: “Información estructurada o semiestructurada que hace posible la creación, gestión y uso de documentos a lo largo del tiempo en el contexto de su creación. Los metadatos de gestión de documentos sirven para identificar, autenticar y contextualizar documentos, y del mismo modo a las personas, los procesos y los sistemas que los crean, gestionan, mantienen y utilizan".  

Real Decreto 4/2010, de 8 de enero1
Qué son los metadatos

Cuando un documento es compartido y sale fuera de su dominio de seguridad, se conoce como fuga de información o fuga de datos. El impacto de una fuga de información puede ser aún más grave si se comunican datos personales identificables, lo que podría poner en peligro la seguridad de una organización o la privacidad de sus usuarios.

Metodología

El objetivo del estudio es construir ciber resiliencia sobre la importancia del análisis y limpieza de fugas de metadatos. Para ello, analizamos la presencia de estas fugas en sitios webs de administraciones públicas, comparando por Comunidades autónomas

Según el RGPD, se produce una “violación de la seguridad de los datos personales” cuando existe una comunicación o acceso no autorizado a dichos datos. Esto ocurre sin control cuando los ciberatacantes examinan los metadatos de los documentos.

Sitios web analizados: El estudio ha considerado el análisis de los sitios web de una institución pública de cada uno de los Gobiernos Autonómicos de España (17), así como el sitio web de una administración pública a nivel estatal (La Moncloa).

Finalmente, el análisis se ha podido ejecutar con éxito solo en 15 de las 17 administraciones autonómicas. Los sitios web que no han podido ser analizados son los correspondientes a las administraciones de Cataluña y Navarra, los únicos con mecanismos de seguridad para frenar el análisis.

Documentos analizados: 648.670 documentos, todos ellos disponibles para acceso público online.

Fecha de los análisis: Septiembre de 2021

Tecnología: El análisis se ha realizado con la tecnología Verics, herramienta para el análisis de metadatos. Verics realiza un análisis de los metadatos presentes en los documentos alojados en la parte pública de un sitio web, tanto en su dominio principal como en los subdominios correspondientes. Gracias al Machine learning o aprendizaje automático (método de análisis de datos que automatiza la construcción de modelos analíticos), los metadatos se clasifican según la naturaleza de la información que contienen y su impacto en relación al RGPD.

Datos extraídos del análisis. Verics compila en un informe los siguientes datos de cada sitio web:  

Clasificación de la severidad de las fugas de datos: Para identificar los datos que se encuentran en cada dominio, Verics sigue el siguiente esquema de clasificación en función de la información que estos contengan: 

  • Filtraciones. Contienen datos personales y su difusión es un riesgo de ciberseguridad o supone incumplimiento del RGPD. Pueden ser nombres y apellidos de personas físicas, direcciones de email personales, dígitos de DNI, nombres internos de usuarios, o números de teléfono.
  • Datos Sensibles. Pueden suponer una brecha del RGPD en asociación con otros datos. Un ejemplo son las Coordenadas GPS o direcciones.
  • Estilo. Ofrecen información acerca de las herramientas de software que se han usado para la creación y/o manipulación de esos archivos, como herramientas ofimáticas, software y dispositivos utilizados como cámaras de fotos o modelos de impresoras.  

Tratamiento de los datos: Después del análisis, se han recopilado y tratado los datos para realizar una comparativa entre distintas Comunidades Autónomas, por número total de filtraciones o por la densidad de las mismas (nº de filtraciones / nº de documentos analizados)

Resultados

Según el número de potenciales fugas de información encontradas

La Moncloa es la administración con el sitio web que presenta un mayor número de potenciales filtraciones (17.956). En el ámbito de los Gobiernos Autonómicos, La Rioja se sitúa como la administración con mayor número de potenciales filtraciones (16.567), seguida de Andalucía (12.839), País Vasco (8.048), Islas Baleares (7.181) y Extremadura (7.008).

Según el número de documentos analizados

Atendiendo al número de documentos del sitio web llama la atención el caso de Andalucía, que se sitúa en la primera posición con 136.124 documentos, una cantidad que cuadruplica la media de documentos por sitio web (32.433). Otros sitios web con elevado número de documentos son los de La Rioja (88.194), Región de Murcia (55.668), Castilla La-Mancha (54.081) y Castilla y León (50.058).

Según la densidad de fugas (nº de fugas / nº documentos analizados)

El ratio de potenciales filtraciones frente a documentos analizados es un indicador que sirve para evaluar la densidad de potenciales filtraciones dentro de un sitio web. Si atendemos a este parámetro, encontramos que el sitio web de La Moncloa vuelve a liderar la mala gestión de metadatos con un ratio de 0,912. Entre los Gobiernos Autonómicos, Melilla es la Comunidad Autónoma con peor ratio (0,778), seguida de Extremadura (0,414), País Vasco (0,377), Ceuta (0,263) y Cantabria (0,213).

Conclusiones del estudio

  • Las fugas de información detectadas contienen datos personales identificables como nombres y apellidos, direcciones de correo electrónico, nombres de usuario, números de teléfono y dígitos de DNI. Además, los metadatos analizados también presentan filtraciones de información sensible como coordenadas GPS e información sobre propiedad intelectual.
  • Punto positivo en seguridad web para Cataluña y Navarra. Es importante destacar que dos de los sitios web considerados en el estudio, correspondientes a los Gobiernos Autonómicos de Cataluña y Navarra, no han podido ser analizados gracias a sus medidas de ciberseguridad ¡Buen trabajo!.
  • Todos los sitios web analizados presentan potenciales filtraciones, lo que, atendiendo a la naturaleza de las filtraciones, es un riesgo de ciberseguridad y cumplimiento normativo, pues están permitiendo el acceso a los mismos por estar disponibles en la parte pública de un sitio web.

  • La gran mayoría de potenciales filtraciones se encuentran en los metadatos de los documentos de tipo pdf, seguidos de los archivos de imagen jpg y png. No obstante, también se han encontrado filtraciones en otros ficheros de tipo doc, html, css, ppt o xlxs.

  • También se han encontrado rutas de directorios que, aunque no se consideran filtraciones de datos personales o información sensible, presentan un riesgo alto en materia de ciberseguridad, ya que esta información expone cómo se estructura la red interna de una organización.

  • Tampoco están cumpliendo con el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, que obliga a realizar una "limpieza de documentos" para eliminar los metadatos antes de ser difundidos, donde también se hace hincapié en la importancia de esta limpieza de metadatos especialmente para documentos que serán publicados en entornos web.

  • No hay excusa para no cuidar de los metadatos. Las normativas antes mencionadas son conocidas por las Administraciones Públicas así como por los profesionales que gestionan el cumplimiento normativo de las mismas. Existen herramientas avanzadas de protección de datos que permiten el análisis de metadatos en sitios web, así como la limpieza de metadatos, ambas de ellas importantes para evitar las filtraciones de datos personales y garantizar el cumplimiento de normativas como el RGPD.

Los metadatos y las normativas aplicables en materia de seguridad y protección de datos personales

Cuando los metadatos contienen datos personales, el tratamiento de los mismos debe ajustarse a una serie de normativas aplicables que regulan el uso de los datos personales para garantizar la privacidad de las personas y organizaciones. Algunos documentos y normativas destacadas son las siguientes:

Constitución Española

La protección de las personas físicas en relación con el tratamiento de datos personales es un derecho fundamental protegido por el artículo 18.4 de la Constitución española2 , en el que se establece que " la ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos" 

Reglamento General de Protección de Datos (RGPD)

El Reglamento (UE) 2016/679, General de Protección de Datos3  (en adelante, RGPD), es el reglamento europeo relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos. En la medida que un metadato contiene datos personales, la comunicación y acceso a estos datos debe regularse por esta normativa.

En el caso del RGPD, es importante destacar el concepto de “violación de la seguridad de los datos personales” (RGPD, artículo 4, apartado 12), que se define como “toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, así como la comunicación o acceso no autorizados a dichos datos” 

Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD)

La Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD)4 entró en vigor en España el 6 de diciembre de 2018, sustituyendo a la antigua Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal. El objetivo de la LOPDGDD es adaptar la legislación española a la normativa europea, definida por el Reglamento General de Protección de Datos (RGPD). En la medida que un metadato contiene datos personales, la comunicación y acceso a estos datos también debe regularse también por esta normativa de ámbito nacional.

Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica

El Real Decreto 3/2010 de 8 de Eneroactualizado por el Real Decreto 951/2015, de 23 de octubre, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica (en adelante, ENS) establece la política de seguridad en la utilización de medios electrónicos para lograr una protección adecuada de la información en el ámbito de las Administraciones Públicas (AAPP).  

El ENS establece una serie de medidas de seguridad en su Anexo II. Dentro de estas medidas de seguridad, definidas en el ENS como [mp], encontramos una medida relativa a la “Limpieza de documentos”, [mp.info.6]. Esta medida determina lo siguiente:

“En el proceso de limpieza de documentos, se retirará de estos toda la información adicional contenida en campos ocultos, metadatos, comentarios o revisiones anteriores, salvo cuando dicha información sea pertinente para el receptor del documento”.

“Limpieza de documentos”, [mp.info.6] - Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica

Como se indica en la [mp.info.6], dicho proceso deberá aplicarse especialmente “cuando el documento se difunde ampliamente, como ocurre cuando se ofrece al público en un servidor web y otro tipo de repositorio de información”.  


En este contexto, el CCN-STIC, publicó la guía "La gestión segura de metadatos"6 con el objetivo de proporcionar una guía de buenas prácticas parar realizar la inspección y borrado tanto de metadatos como de otros datos ocultos asociados a los documentos electrónicos. Este documento forma parte del conjunto de normas desarrolladas por el CCN para la implementación del Esquema Nacional de Seguridad (CCN-STIC-800), siendo de aplicación obligatoria para el Sector Público y teniendo como objeto la protección de los servicios prestados a los ciudadanos y entre las diferentes administraciones. 

Referencias

Referencias/Bibliografía: 

1 - Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de Interoperabilidad en el ámbito de la Administración Electrónica.  Enlace: https://www.boe.es/eli/es/rd/2010/01/08/4/con 

2 - Constitución española (BOE núm.311, de 29 de diciembre de 1978). Enlace: https://www.boe.es/eli/es/c/1978/12/27/(1)/con  

3 - Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) Enlace: http://data.europa.eu/eli/reg/2016/679/oj  

4 - Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales. Enlace: https://www.boe.es/buscar/doc.php?id=BOE-A-2018-16673  

5 - Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica. Enlace: https://www.boe.es/eli/es/rd/2010/01/08/3  

6 - Guía CCN-STIC 835. Borrado de Metadatos, CCN-CERT (23/03/2017). Enlace: https://www.ccn-cert.cni.es/pdf/guias/series-ccn-stic/800-guia-esquema-nacional-de-seguridad/2031-ccn-stic-835-borrado-de-metadatos-en-el-marco-del-ens/file.html  

Compartir en facebook
Compartir en linkedin
Compartir en twitter
Compartir en email
Compartir en whatsapp
Compartir en telegram