scorecardresearch

Los metadatos de la web de la Junta tienen su peligro

L.G.E.
-

Los metadatos de lo que publica la Junta en su web podrían abrir grietas de privacidad y seguridad. Un estudio a partir de los documentos subidos a su sede electrónica demuestra que se podrían filtrar 5.743 datos

Los metadatos de la web de la Junta tienen su peligro - Foto: Javier Pozo

Imaginen que escriben una poesía anónima, pero que en el papel utilizan zumo de limón para poner su nombre y un contacto. A primera vista esa información es invisible, pero está ahí y si alguien se sabe el truco podrá descubrir fácilmente quién es el autor y cómo dar con el (por si no lo saben, solo hace falta acercar una llama). De una forma parecida funcionan lo que se conocen como metadatos en informática. En un documento o una fotografía pueden estar presentes determinados datos sobre el autor, aunque aparentemente no se vean. El problema llega cuando esos datos pueden supone una vulneración de las normas de privacidad o comportar riesgos de seguridad. 

Eso es algo que ocurre en las páginas web de las administraciones autonómicas. En Sumens Data, que se dedican precisamente a prevenir y detectar filtraciones en estos entornos, han analizado las páginas web de los gobiernos regionales y han encontrado una buena cantidad de metadatos que no deberían ser tan accesibles. «Esto es unánime, todas tienen este problema», avisa Javier Moncayo, Ingeniero Industrial y CEO de Suments Data. 

En el caso de Castilla-La Mancha, el estudio se hizo con la sede electrónica www.jccm.es y 68 subdominios. Se accedió a casi 11.000 documentos públicos, como pueden ser imágenes, PDF, textos en Word o tablas de cálculos Excel. De esos 11.000 documentos pudieron conseguir 5.743 potenciales filtraciones de datos personales a través de los metadatos. Moncayo explica que a veces esos datos son nombres y apellidos con DNI, lo que vulnera la normativa en privacidad. En otros casos hay direcciones de correo electrónico o teléfonos. Comenta que, por ejemplo, cuando lo que se puede acceder es un identificador de usuario (que no es el nombre del DNI sino con el que se trabaja en el sistema), no habría un problema de privacidad, pero sí de seguridad. Imaginen que escriben una poesía anónima, pero que en el papel utilizan zumo de limón para poner su nombre y un contacto. A primera vista esa información es invisible, pero está ahí y si alguien se sabe el truco podrá descubrir fácilmente quién es el autor y cómo dar con el (por si no lo saben, solo hace falta acercar una llama). De una forma parecida funcionan lo que se conocen como metadatos en informática. En un documento o una fotografía pueden estar presentes determinados datos sobre el autor, aunque aparentemente no se vean. El problema llega cuando esos datos pueden supone una vulneración de las normas de privacidad o comportar riesgos de seguridad. 

Eso es algo que ocurre en las páginas web de las administraciones autonómicas. En Sumens Data, que se dedican precisamente a prevenir y detectar filtraciones en estos entornos, han analizado las páginas web de los gobiernos regionales y han encontrado una buena cantidad de metadatos que no deberían ser tan accesibles. «Esto es unánime, todas tienen este problema», avisa Javier Moncayo, Ingeniero Industrial y CEO de Suments Data. 

En el caso de Castilla-La Mancha, el estudio se hizo con la sede electrónica www.jccm.es y 68 subdominios. Se accedió a casi 11.000 documentos públicos, como pueden ser imágenes, PDF, textos en Word o tablas de cálculos Excel. De esos 11.000 documentos pudieron conseguir 5.743 potenciales filtraciones de datos personales a través de los metadatos. Moncayo explica que a veces esos datos son nombres y apellidos con DNI, lo que vulnera la normativa en privacidad. En otros casos hay direcciones de correo electrónico o teléfonos. Comenta que, por ejemplo, cuando lo que se puede acceder es un identificador de usuario (que no es el nombre del DNI sino con el que se trabaja en el sistema), no habría un problema de privacidad, pero sí de seguridad. El estudio revela que el 67% de los datos que se pueden filtrar son sensibles y que el 70% de los metadatos se publican de manera involuntaria. 

Puden saber qué herramientas y patrones se usan o tener enlaces a videoconferencias

Moncayo avisa de que hay determinados patrones que pueden ayudar a las empresas que luego hacen ciberataques o estafas. Señala que en algunas administraciones es muy fácil detectar cuál es su ‘predilección’ de formato de documentos. «Lo que podemos sacar son las versiones de software que utilizan», explica Moncayo, «ahí tenemos otro riesgo, dar a conocer las herramientas internas que estamos utilizando». En otro caso explica que se pueden conocer muchas direcciones de correo electrónico de una administración y descubrir que todas siguen un mismo patrón para crearlas (por ejemplo, utilizando determinadas iniciales). También se pueden identificar palabras clave como ‘agenda’ o ‘calendario’ y acabar accediendo a enlaces de reuniones en zoom con la contraseña incluida. 

Se podría pensar que los metadatos que se han encontrado en el estudio son casi todos de empleados de la Junta, pero Moncayo avisa de que a veces se publican en estas páginas web imágenes o documentos externos. «Digo, mira qué chulo, me bajo una copia, lo pongo en mi web y resulta que estás filtrando datos de otra empresa distinta», señala, «aquí la cosa se empieza a enrevesar un poquito más».

La solución

¿Y qué hay que hacer? Moncayo avisa de que por un lado hay que «solucionar lo que se ha filtrado», para lo cual cree que es clave hacer una evaluación del impacto de lo que se ha podido filtrar y decidir si hay que cambiar correos electrónicos, etc. «No se sabe quién ha podido acceder», avisa. Por otro lado, señala que se puede incorporar piezas de software que limpien y canalicen esos metadatos  cuando los documentos se hacen públicos. De esta forma, el único metadato que se podría sacar es que ese documento es de la Junta y ninguna precisión más del autor.  

Desde Suments Data están haciendo llegar sus informes a las administraciones analizadas. En el caso de Castilla-La Mancha asegura que se mandó esta notificación en mayo, al igual que se ha ido haciendo con otros gobiernos regionales. Explica que algunas comunidades autónomas han mostrado interés por lo que estaban pasando, pero le sorprende «la falta de preguntas» que reciben en algunos casos.