Blog

Privacidad de metadatos EXIF: una imagen vale más que mil puntos de datos

Cuando tomas una fotografía digital con tu cámara o teléfono, se almacena algo más que los píxeles y colores que componen la imagen. Cada archivo de imagen también contiene metadatos, que incluyen detalles que van desde la fecha de creación y la información de derechos de autor hasta la ubicación donde se tomó la foto.



Lo mismo ocurre con las imágenes modificadas con muchos programas de edición de fotografías. Los programas de edición de imágenes suelen agregar metadatos a las imágenes, incluidas marcas de tiempo de modificación, información del sistema y seguimiento de cambios.

metadatos de la caja de fotos
Un ejemplo de metadatos EXIF ​​almacenados con una foto, incluidas las coordenadas GPS donde se tomó la foto.

Los metadatos pueden representar una amenaza a la privacidad de las personas que comparten y publican fotografías en línea. Aunque algunas redes sociales y sitios de almacenamiento e intercambio de fotografías eliminan los metadatos de las fotos cargadas, muchos no lo hacen, dicen los investigadores de Comparitech, lo que podría permitir a los atacantes recopilar información personal de las imágenes publicadas en línea. Por ejemplo, si alguien publica una foto de sus vacaciones con coordenadas GPS y una marca de tiempo en los metadatos, un atacante podría encontrar fácilmente cuándo y dónde viajó.



Los metadatos se pueden clasificar en tres categorías amplias:

  • Los metadatos del sistema se generan cuando se almacena la imagen (es decir, cuando se toma una foto o se guardan las ediciones). Incluye criterios etiquetados específicos, como la fecha y hora en que se creó la imagen y detalles sobre la cámara y/o el software de edición utilizado.
  • Los metadatos sustanciales incluyen el contenido del archivo real, como los cambios registrados en una imagen editada.
  • Los metadatos incrustados incluyen datos ingresados ​​en un documento que normalmente no son visibles, como fórmulas en una hoja de cálculo de Excel.

Los metadatos de imágenes se pueden incrustar internamente en formatos de archivos de imágenes comunes como JPEG y PNG. Estos datos de imagen normalmente se almacenan en Exif (formato de archivo de imagen intercambiable). Pero también puede existir fuera del archivo de imagen en un sistema de gestión de activos digitales (DAM). A veces se los denomina archivos 'sidecar' y, a menudo, se almacenan en formato XMP.



Los metadatos tienen tres casos de uso amplios:

  • Describir el contenido del archivo, incluidas palabras clave, nombres de las personas que aparecen en la foto y coordenadas de ubicación.
  • La información de derechos de autor incluye la atribución del creador, restricciones de licencia, créditos y términos de uso.
  • Los datos administrativos pueden incluir la fecha de creación, la fecha de modificación, la ubicación y otros metadatos del sistema mencionados anteriormente.

¿Qué servicios para compartir imágenes eliminan metadatos y cuáles no?

Los investigadores de Comparitech analizaron las prácticas de eliminación de metadatos de 12 servicios populares de almacenamiento e intercambio de imágenes en línea. Subieron una imagen de la Mona Lisa cargada de metadatos a cada uno de los servicios. Después de la carga, descargaron la imagen de cada servicio respectivo para ver si los metadatos permanecían intactos o no.

metadatos imgbb
Una imagen cargada en imgbb, mostrada en una página web con sus metadatos originales.

Comencemos con los lugares más populares para compartir imágenes en la web.Imgur, Facebook e Instagram eliminan todos los metadatosde las fotos al subirlas. No tiene que preocuparse por la filtración de metadatos al cargar imágenes en estos sitios. Sin embargo, tenga en cuenta que, aunque los usuarios de esos sitios no tienen acceso a los metadatos, los propios sitios sí lo tienen.

Flickr conserva todos los metadatos originalese incluso muestra gran parte de ella en la página web de cada foto.

photobox.co.uketiqueta fotos en la sección de comentarios de metadatos para indicar que las imágenes cargadas están comprimidas. El resto de los metadatos está intacto. Era el único servicio que realmente agregaba o modificaba datos.

Los servicios restantes de almacenamiento e intercambio de imágenes que examinamos no eliminaron ni modificaron ningún metadato, excepto las marcas de tiempo de 'fecha de modificación':

  • Pasteboard.com
  • Turbmoimagehost.com
  • linkpicture.com
  • 8upload.com
  • imgpile.com
  • postimages.org
  • imgbb.com
  • imageupload.io
  • Gifyu

Si no desea exponer metadatos EXIF ​​en esos sitios, deberá borrar las imágenes de antemano. Más información sobre cómo hacerlo a continuación.

Cómo se le puede rastrear utilizando metadatos EXIF: ejemplos de investigación

Los investigadores de Comparitech demostraron la sensibilidad de los metadatos de las imágenes mediante el uso de imágenes disponibles públicamente para rastrear a los sujetos y creadores de las imágenes. (Nota: hemos eliminado todas las siguientes imágenes de sus metadatos originales).

ejemplo de metadatos exif

Comencemos con un ejemplo sencillo. Usando los metadatos del GPS en la foto de arriba, determinamos que fue tomada cerca de Sørstranda, Noruega.

ejemplo 2 de metadatos exif

El siguiente tema fue una fotografía del rostro de un hombre. Utilizando los metadatos de la imagen, la búsqueda inversa de imágenes y un poco de inteligencia de código abierto (OSINT), los investigadores pudieron identificarlo como un concursante anterior de un programa de juegos. Encontraron su país, fecha de nacimiento, fecha de boda, nombre de su cónyuge, perfil de Facebook, cuenta de Twitter, página de LinkedIn, cuenta de Instagram, experiencia laboral, habilidades, educación e intereses. Los investigadores también pudieron identificar y encontrar información sobre los compañeros de equipo del programa de juegos del sujeto.

ejemplo 3 de metadatos exif

Otro tema era un retrato en la cabeza estilo pasaporte que mostraba a un hombre vestido con lo que parecía ser uniforme militar. Los investigadores pudieron rastrear la imagen hasta un sitio con fotografías de la graduación escolar del sujeto. Utilizando el nombre de la escuela y la galería de graduación, los investigadores recuperaron los nombres de todos los miembros de su promoción. Con las posibilidades reducidas, encontraron a un hombre con un nombre similar al del archivo de la imagen. Los investigadores encontraron los perfiles de Facebook e Instagram del hombre. Usando estas imágenes, descubrieron que en realidad era un soldado. Conocieron su división y brigada, e información sobre sus parientes más cercanos.

ejemplo de metadatos exif 4

Por último, los investigadores identificaron a una ciudadana filipina utilizando una fotografía suya publicada en un sitio para compartir imágenes. El sujeto sostiene una identificación con fotografía. Estas fotografías se utilizan a menudo para verificar la identidad del sujeto en un servicio digital, como un banco en línea. Los investigadores pudieron averiguar el país del sujeto, fecha de nacimiento, peso, altura, tipo de sangre, dirección, perfil de Facebook, trabajo, educación, que recientemente tuvo Covid-19 y su canal de Youtube.

Metadatos utilizados como prueba judicial

Los metadatos de imágenes y otros archivos se han utilizado como prueba en tribunales e investigaciones policiales, lo que demuestra el valor de los metadatos desde una perspectiva de privacidad. A continuación se muestran algunos ejemplos destacados:

  • En 2016, dos estudiantes de Harvard utilizaron coordenadas GPS almacenadas en los metadatos de fotografías publicadas en la web oscura para identificar a los traficantes de drogas. 229 narcotraficantes . Los traficantes de drogas de la web oscura a menudo publican imágenes de sus productos en línea para ayudar a demostrar su credibilidad, pero a menudo se olvidan de borrar los datos EXIF ​​de antemano.
  • En 2017, un empleado de Bio-Rad Laboratories presentó una demanda contra su empleador alegando que fue despedido por informar a las autoridades sobre posibles sobornos en China. Una revisión de desempeño con una marca de tiempo de metadatos fechada después de su despido sirvió como evidencia en el caso, lo que resultó en un pago mayor por violar las leyes contra el despido de denunciantes. Este es el mayor pago vinculado a metadatos hasta la fecha: 10,8 millones de dólares en daños.
  • En 2015, un juez desestimó un caso en el que una mujer acusó a su cónyuge de abuso físico. El demandante proporcionó varias fotografías como prueba de abuso, pero los metadatos indicaban la fecha en que la esposa había afirmado que el abuso ocurrió tres meses después de que se tomaron las fotografías.
  • La empresa de análisis forense digital Legility publicó un caso de estudio (PDF) que describe una demanda que investigó. En ese caso, una empresa sanitaria adquirió otro negocio. Los empleados de la empresa original se marcharon para fundar su propia empresa. La empresa ahora adquirida demandó a la nueva empresa, alegando que robó empleados y secretos comerciales y documentos de propiedad, incluidas listas de clientes. Utilizando los metadatos de esos documentos como prueba de cuándo se copiaron y transfirieron los documentos, la empresa adquirida recibió una recompensa de 7 millones de dólares (PIB de 5,1 millones de libras esterlinas).

Cómo eliminar metadatos de imágenes

Las cámaras y las aplicaciones de cámara varían bastante, pero muchas de ellas tienen una opción para desactivar o limitar la generación de metadatos. Verifique la configuración de su cámara o aplicación.

La mayoría de las cámaras y programas de edición de imágenes almacenan metadatos de imágenes en formato EXIF. Es posible que puedas editar datos EXIF ​​al salir de imágenes a través de tu cámara o aplicación de edición de fotografías.

Algunos programas están diseñados específicamente para trabajar con metadatos. ExifHerramienta y Depurador de imágenes son dos excelentes opciones de código abierto.

Windows 10 viene con una opción incorporada para eliminar metadatos. Sin embargo, esto sólo eliminará los metadatos que Windows 10 entiende, lo que significa que podría dejar algunos metadatos atrás. Aún así, al menos debería ayudar a minimizar la información almacenada en las imágenes. Si eres usuario de PC, simplemente sigue estos pasos:

  1. Haga clic derecho en el archivo de imagen y seleccionePropiedadespara abrir una nueva ventana
  2. Haga clic en elDetallespestaña en la parte superior Windows elimina metadatos 2.
  3. Haga clic en el enlace que diceEliminar propiedades e información personalen el fondo. Aparecerá otra nueva ventana. Windows elimina metadatos 3.
  4. En elQuitar propiedadesventana, seleccioneElimine las siguientes propiedades de este archivo:
  5. Hacer clicSeleccionar todo, entoncesDE ACUERDO
^