Opinion · kⒶosTICa

Lo que tus fotos dicen de ti sin saberlo

Vivimos en el mundo de la imagen en el que, con mayor o menor implicación, nos desenvolvemos. Internet y las redes sociales han propiciado esta fiebre insana por subir imágenes de absolutamente todo lo que se hace en el día a día. Como ejemplo, algunas de las estadísticas publicadas que indican que en Facebook se suben más de 300 millones de imágenes al día, mientras que en Instagram se comparten en un año cerca de 40.000 millones de fotografías.

Hay quien considera que subiendo únicamente fotos a sus redes sociales, sin especificar lugar ni añadir elementos identificativos de dónde se encuentra o qué hace está protegiendo su privacidad. Se equivoca; con esa imagen ya está enviando mucha información a quien la quiera buscar.

Ni siquiera tenemos que remitirnos a complejas tareas de lo que se denomina doxxing, esto es, las técnicas para extraer información de los metadatos de una imagen. Hoy en día todo resulta inquietantemente más sencillo. El ‘culpable’ es el estándar EXIF (Exchangeable Image File Format), desarrollado en 1995 por Japanese Electronics y la IT Association (JEITA). No es la única especificación que contiene los metadatos; EXIF se desarrolló especialmente para los formatos de imagen JPEG y TIFF, pero a día de hoy muchos fabricantes de cámaras fotográficas cuentan con sus propios formatos de metadatos.

Entre la información que se encapsula en la foto no sólo están los datos técnicos como los parámetros de exposición, modo de disparo, medición de luz o, incluso, marca, modelo y número de serie del dispositivo, sino que también puede contener la ubicación exacta del punto en el que se tomó o, en función de cómo esté configurado, nombre del propietario.

Uno de los casos más sonados es el de John McAfee, el que fuera fundador del fabricante de antivirus que lleva su apellido. Estando en busca y captura, el millonario continuaba su actividad en redes sociales, concediendo entrevistas, como la que en 2012 tuvo con la web Vice, subiendo a Twitter una imagen en compañía de su editor.

Cometieron el error de no borrar previamente los datos EXIF. La fotografía se había tomado con una iPhone 4S que, además, no tenía desactivados los servicios de geolocalización. En consecuencia, los metadatos asociados a esa imagen revelaban con precisión la latitud y longitud del lugar en que se tomó la foto, Guatemala, lo que condujo a las autoridades hasta allí.

Aunque es cierto que algunas de las redes sociales más populares borran los metadatos cuando se suben las fotografías, no siempre es así. Pensar en redes sociales no debe llevarnos únicamente a Facebook, Twitter o Instagram; sino también a las múltiples webs de compra-venta de todo tipo de artículos. La fotografía de ese objeto tan valioso que estamos anunciando que vendemos podría estar indicando a los ladrones cuál es su ubicación exacta.

Pensar que nadie está escaneando nuestras fotos es ingenuo: quien tenga algún interés especial en nosotr@s lo hará y, además, no estará cometiendo ningún delito. Ya sean empresas comerciales, hackers, autoridades, aseguradoras, compañías que nos quieran contratar, etc. no estarán más que recurriendo a lo que se conocen como fuentes abiertas o, dicho de otro modo, a la información pública que las personas cuelgan voluntariamente en internet.

Obviamente, el volumen de información pública que existe en internet es demasiado elevado, por lo que ya se ha acuñado el término ‘inteligencia de fuentes abiertas’, con metodología propia, bautizada por el acrónimo inglés OSINT (Open Source Intelligence). Esta nueva tendencia se ha visto significativamente mejorada con los últimos avances en Inteligencia Artificial (IA) y el procesamiento masivo de datos (big data).

En este sentido, nuestro del Centro Criptológico Nacional (CCN) acaba de lanzar ELISA, una nueva solución que ha desarrollado para monitorizar fuentes abiertas en redes sociales y poder realizar perfilados. Según indica el propio CCN, “ELISA permite realizar un seguimiento e interpretación de lo que sucede en el ciberespacio para efectuar una prospectiva digital, mejorando las capacidades de cibervigilancia”. Todas las personas que quieran pueden solicitar al CCN de manera justificada el acceso a esta solución.