Una imagen dice más que mil palabras… sin que lo sepas.

 El reciente hackeo a las cuentas de iCloud de un “quién-es-quién” de las actrices de Hollywood plantea aspectos de protección de datos personales, seguridad de los servicios de cómputo en la nube y delitos cibernéticos, pero también motiva a reflexionar sobre precauciones que debemos tener como usuarios de esos servicios, redes sociales y tecnologías de reproducción de imágenes para nuestra seguridad, la de nuestros datos personales y de los equipos que utilizamos.

 Gif (graphics interchange format), jpg (joint photographic experts group), png (portable network graphics) y tiff (tagged image file format) son formatos de alta compresión para el almacenamiento de imágenes, por su gran volumen, con variaciones en cuanto a calidad, como el mp3 lo es para almacenar archivos de audio. Al igual que los archivos de procesador de texto (por ejemplo, .doc), formato de documento portátil (.pdf) u hoja de cálculo (.xls) consisten en código de computadora que es leído por los servidores en que residen los demás archivos de las páginas web y por nuestras máquinas personales cuando accedemos a ellas, momento en el que podrían infiltrar un código malicioso, explotando alguna vulnerabilidad del sistema.

 Las imágenes digitales pueden delatar dónde fueron tomadas.

 No hace falta retratarse frente a un monumento histórico para que un tercero pueda ubicar el lugar en donde se tomó la foto. Las imágenes almacenadas en formato jpg pueden contener una gran cantidad de “metadatos” en etiquetas de formato exif (exchangeable image format), incluyendo información del GPS de la misma cámara (en especial los teléfonos inteligentes), su número de serie, etcétera. Para muestra basta un botón… o un ovillo de estambre: el profesor Owen Mundy, de la Universisdad Estatal de Florida, creó www.iknowwhereyourcatlives.com, que muestra en mapas de satélite fotografías encontradas en redes sociales con la etiqueta “cat”, indicando la latitud y longitud del lugar en donde fueron tomadas.

 La primera y más elemental precaución sería evitar que las fotos tomadas dentro del hogar permitan ver las afueras o alrededores, ya que con ello y servicios como Google Street View o Google Earth un tercero podría identificar la ubicación del domicilio. Sin embargo, los metadatos de un archivo difundido a través de redes sociales como Instagram, Flickr, Facebook o Twitter podrían producir el mismo resultado si los metadatos no han sido eliminados del archivo. La segunda sería asegurarse de que el GPS no esté habilitado para la cámara del móvil, y la tercera valerse de programas o aplicaciones capaces de identificar y eliminar los metadatos de la fotografía.

 Las imágenes digitales pueden ser vectores para códigos maliciosos.

 La primera reflexión debería ser: “Si un sitio transgrede derechos de autor o privacidad, debería ser considerado cuestionable y, por lo tanto, todo su contenido debería serlo también”. Partiendo de esa base, y explicada la existencia de “metadatos” en las imágenes digitales, habría que entender que la información de que consta un archivo de imagen puede incluir mucho más que la imagen.

 Por ejemplo, “imagen.jpg.exe” sería identificado por el sistema como solamente .jpg a pesar de que podría ser un archivo ejecutable que correría un código malicioso. También podría entretejérsele código php (hypertext processor) en un archivo nombrado “imagen.php.jpg”, que permitiera la ejecución automática de otro código malicioso. Igualmente habría el riesgo de que las etiquetas exif de la imagen hubieran sido sustituidas por código malicioso. Esas técnicas ya son públicas y las vulnerabilidades que explotaban probablemente hayan sido “parchadas” en servidores y sistemas operativos actuales, pero ilustran la forma en la que las imágenes digitales eran usadas para instrumentar ataques.

 En estos casos la primera línea de defensa suelen ser los propios navegadores, que incorporan plug-ins capaces de advertir al usuario de intentos por redirigirlos a sitios identificados como riesgosos, o bloquean la ejecución de los scripts maliciosos. La segunda sería un buen software que no solo sea antivirus, sino también “antimalware”; varios incluso tienen la capacidad de escanear las redes sociales del usuario. También es posible identificar los códigos maliciosos utilizando visualizadores de texto.

 “Drive-by downloads”

 El término deriva de los “tiroteos al paso” o “drive-by shootings”, en los que un grupo armado a bordo de un vehículo en movimiento rafaguea a un objetivo. Traducido a un ataque informático, consiste en ocultar códigos maliciosos en las páginas web; en un medio que funciona a base del intercambio y lectura de archivos que componen una página web (incluyendo imágenes) desde el servidor hacia una máquina personal, podría incluir un código malicioso que explotando sus vulnerabilidades corra entre los procesos de la máquina para descargar desde el servidor el código ejecutable que lleve a cabo el ataque. Podría pasar por haber pulsado en ese “post” de red social que invitaba a mirar un video asombroso, o a instalar una aplicación para personalizar su presentación.

 El marco normativo en materia de protección de datos personales impone a las responsables del tratamiento de nuestros datos obligaciones que no se reducen a formalidades, sino también a implementar medidas de seguridad físicas, administrativas y técnicas, sin las cuales la protección de datos personales se limitaría a mero papeleo. Entre los aspectos que deben analizar para ello es el anonimato del medio por el cual se accede a ellos, por lo que quienes se valen de internet como medio de contacto o canal de ventas deben considerar medidas de mayor nivel que aquellas que no, así como la adecuada integración de los segmentos que componen a sus páginas web.

 Sin perjuicio de ello, la adopción de ese marco normativo también requiere un cambio en nuestra cultura, en tanto titulares de nuestros datos personales, sobre su protección; es preciso ser más precavidos con nuestra información, más selectivos en los productos y servicios que utilizamos y en el uso que les damos. También es necesario documentarnos para conocer y entender más y mejor la tecnología que ocupamos cotidianamente para el manejo de nuestra información personal.

 Como en todo, valen más precauciones que lamentos.  

 Rodrigo Orenday es abogado y maestro en derecho, certificado como profesional en protección de datos personales, nivel senior. Su práctica se especializa en cumplimiento normativo incluyendo protección de datos personales. 

Blog: www.rodrigoorenday.com   @orendayabogados