¿Las fotos que subes a Internet respetan tu privacidad ?

Los archivos de foto suelen contener información adicional sobre las condiciones de toma, incluyendo la geolocalización. ¿Qué pasa con estos datos cuando la foto se publica en la red?

La vieja costumbre de escribir en la parte trasera de las fotos se está adaptando a la era digital. Hoy en día, no es necesario escribir comentarios en una foto; tu cámara, una aplicación de edición de fotos o el servicio que usas para publicar tu foto añadirá la información por ti.

https://media.kasperskydaily.com/wp-content/uploads/sites/87/2020/07/03045026/exif-geotags-experiment-featured.jpg

Este tipo de información que se incluye en la foto es más completa que una simple nota que dice “Fiesta de Año Nuevo en nuestra casa”. Además de más características esotéricas como la distancia focal y el modo del flash, la “nota” puede que contenga el modelo y el número de serie de la cámara, la fecha de la foto y, lo que es más importante, los datos de geolocalización (donde se tomó la foto). Asimismo, el servicio utilizado para publicar tu foto en la red registrará la dirección IP que usaste para subir la imagen.

Aunque no te preocupe mucho la privacidad, que una foto contenga tanta información adjunta quizá no sea bueno para ti porque se podría utilizar para rastrearte y buscar otras fotos que hayas tomado (y, posiblemente, encontrar fotos privadas).

Buscar los metadatos de una foto es un método de doxxing utilizado para recopilar información del mundo real, como nombres reales y direcciones de domicilio de una persona de interés en la red.

Uno de los principales recolectores de metadatos es el bloque Exif que se añade a los archivos de gráficos. El estándar del Exchangeable image file format lo desarrolló Japanese Electronics y IT Association (JEITA) y se publicó por primera vez en 1995. Exif se desarrolló para los archivos JPEG y TIFF. Otros formatos populares, como el PNG y el GIF, también contienen metadatos similares (en particular, metadatos basados en XMP de Adobe). Además, los fabricantes de cámaras puede que usen un formato de metadatos propio que se sobreponga al Exif.

Metadatos adjuntos, a veces olvidados o ignorados, pueden representar un problema tanto a los autores como a los que aparecen en las fotos. Uno de los ejemplos más conocidos en el que se usaron los metadatos sin el consentimiento del fotógrafo es el arresto de John McAfee en Guatemala en 2012. Mientras estaba a la fuga por un proceso penal por el supuesto asesinato de su vecino, Vice entrevistó a McAfee y también publicó un retrato suyo. Los metadatos de la foto incluían una geoetiqueta que las fuerzas policiales utilizaron para arrestar a McAfee.

Decidimos aprender cómo diferentes editores y servicios de fotografías gestionan los metadatos y comprobar si eliminan o no etiquetas potencialmente peligrosas. Sigue leyendo para averiguar lo que sucede con los datos cuando compartes una foto.

El experimento

Primero, consideramos las posibles situaciones en las que se pueden exponer datos privados de los usuarios cuando estos publican fotos en la red:

  1. Las envías por correo electrónico o las subes a servicios en la nube como Google Drive o Dropbox.
  2. Las subes a redes sociales y a servicios fotográficos.
  3. Publicar en un tablón de anuncios la foto de, por ejemplo, una bicicleta para venderla.

En el primero de los casos, tu archivo no sufre alteración alguna. Cualquiera con quien compartas la foto puede acceder a los metadatos asociados.

Con las redes sociales y los servicios de foto, tu privacidad puede que se vea comprometida. Depende del servicio (algunos borran la información y otros no). Por lo que respecta a otros servicios online, como en el caso de objetos en venta robados, es posible que los ladrones averiguaran la localización mediante los metadatos de la foto. Aun así, como podrás comprobar en los resultados de nuestro test, algunas webs que ayudan a los usuarios a vender sus cosas eliminan los metadatos para protegerlos.

Hemos probado algunos servicios populares de la red para ver cómo gestionan la información Exif. Para ello, hemos utilizado una extensión para Firefox llamada Exif Viewer 2.00 que muestra los metadatos de las imágenes en formato JPEG publicadas en Internet y guardadas localmente. También se integra con servicios de geolocalización y muestra miniaturas. Tú también puedes probar diferentes servicios, es fácil y fascinante.

tumbler-exif-en

Llegar a la localización real mediante una foto de Internet no es complicado.

Estos son los resultados de nuestro experimento:

  • Facebook, Twitter y VK borran los metadatos.
  • Google+ no borra los metadatos.
  • Instagram borra los metadatos.
  • Flickr, Google Photo y Tumblr no borran los metadatos.
  • Ebay y Craigslist borran los metadatos.

Los servicios que no borran los metadatos suelen tener ajustes de privacidad que, al menos, permiten a los usuarios ocultarlos. La palabra clave aquí es ocultar: los servicios pueden almacenar los metadatos de forma separada y pueden usarlos para sí mismos (por ejemplo, para publicidad), para las fuerzas policiales… o para los hackers (pero este es un tema aparte).

Déjen que mis datos fluyan

Echemos un vistazo a cómo Facebook se encarga de los metadatos de las fotos. Aunque se encarga de borrar los datos Exif de los archivos de imagen, almacena la información en su propia base de datos. Es muy fácil comprobarlo: tan solo debes utilizar la opción “Descarga tu información”. Recibirás un archivo que contiene, entre otra información, cualquier foto que hayas subido a la red social junto con un archivo de descripción .html que contiene las geoetiquetas de las fotos y las direcciones IP desde las que se subieron.

facebook-metadata-en

Metadatos en el archivo de un perfil de usuario de Facebook.

La lista de la información del usuario que almacena Facebook está disponible en la sección de información y es larguísima.

También encontramos un documento curioso: la relación entre los organismos de seguridad y el servicio se describe en una guía que explica el proceso de solicitud de información de un usuario a Facebook. El documento, publicado en netzpolitik.org, parece provenir del departamento del Sheriff de Sacramento, California.

Las peculiaridades de la interacción entre los gobiernos y los servicios online sobre la cuestión de los datos de los usuarios va más allá de este artículo. Aun con todo, pensamos que es nuestra responsabilidad advertirte sobre la creciente cantidad de metadatos, los cuales son más fáciles de conseguir de lo que puedas pensar. Bajo ciertas circunstancias, los servicios en línea pueden compartir dicha información con terceras partes.

Todo sucede de puertas para adentro

Aparte de la información de texto, los metadatos incluyen una miniatura de la imagen en cuestión, lo que puede ser un problema.
Mientras explorábamos el tema del Exif, dimos con una historia curiosa. En 2003, la presentadora de televisión, Catherine Schwartz, subió algunas fotos a su blog. Las fotos, al parecer, fueron recortadas (pero sus metadatos incluían miniaturas de los originales y en algunos Schwartz aparecía desnuda).

Ha pasado una década, por lo que los desarrolladores habrán solucionado está amenaza a la privacidad, ¿no? Nosotros preferimos no suponer nada.

Probamos Adobe Photoshop Express, GIMP, Windows Paint, Microsoft Office Picture Manager, IrfanView y XnView para asegurarnos de que cada vez que se edita una foto, el programa actualiza la miniatura. Y así lo hicieron.

Pero había otro participante en nuestra prueba: la última versión de Corel Photo-Paint (X8). La prueba nos mostró que cuando una imagen se guarda como JPEG, la miniatura no se actualiza y continúa mostrando la imagen original.

Photo-Paint tiene una característica llamada “Exportar para web” que prepara una imagen para subirla a la red. Pensamos que de este modo se borrarían los metadatos, pero no fue así.

Para ver hasta qué punto es importante el tipo de archivo para que la aplicación actualice las miniaturas, pusimos a prueba diferentes tipos que provenían de cámaras réflex y de smartphones, además de los archivos de muestra de Windows 7 (el de los pingüinos).

A la izquierda: La miniatura del archivo que Windows Explorer toma de los metadatos. A la derecha: El archivo se acababa de crear, por lo que no se trata de un problema del SO al almacenar las miniaturas.

Recomendaciones

Para evitar la publicación de un elemento privado cuando compartas tus fotos, sigue estas normas:

  • Desactiva el geoetiquetado en el dispositivo que utilizas para hacer fotos (sea solo en la cámara o en todas las aplicaciones). El proceso varía según el dispositivo.
  • Elimina los metadatos antes de subir archivos a Internet. Prueba alguna aplicación gratuita, como XnView. Existe en Windows un mecanismo llamado “Eliminar información personal de las propiedades de archivo” (en la pestaña “Detalles” de la ventana de propiedades del archivo) que te ayudará a proteger tanto las miniaturas como los datos Exif.
  • Elimina los metadatos antes de publicar fotos desde dispositivos móviles mediante aplicaciones especiales para iOS, Android y Windows Phone.
  • Utiliza los ajustes de privacidad de los servicios online y aplica restricciones para guardar los metadatos en las fotos.

Por último, simplemente podrías no publicar fotos ni información que puedan usarse indebidamente. No es un consejo que vayan a seguir muchos (puede que nosotros tampoco), por lo que preferimos las cuatro reglas anteriores.

Consejos