“Matamos personas basándonos en metadatos”, dijo Michael Hayden, ex director de la NSA y la CIA en 2014. Pero, ¿qué es y por qué debería preocuparse por ello?
Aunque fue acuñado en los años 60, expertos en forense digital consideran que el término “metadatos” se volvió de dominio público hasta el siglo XXI, debido a las filtraciones de Edward Snowden. En 2014, Snowden explicó que los metadatos podrían revelar “con quién estás hablando, cuando estás hablando con alguien, o incluso a dónde acostumbras viajar”.
¿Qué son los metadatos?
Los metadatos son parte de la vida cotidiana. Cada archivo que envías o recibes tiene metadatos. Los metadatos revelan información que podría estar contenida en los datos: el objetivo es hacer conexiones y dotar a los datos de contexto, mostrar relaciones y ayudar a entenderlas. Acorde a especialistas en forense digital del Instituto Internacional de Seguridad Cibernética, los metadatos responden a preguntas como:
- ¿Quién?
- ¿Qué?
- ¿Dónde?
- ¿Cuándo?
- ¿Por qué?
Por ejemplo, una barra de chocolate. La información que encontramos en la envoltura, como el nombre de la marca, el código de barras, etcétera, son metadatos. El nombre de una canción, el nombre del artista, el género musical, la frecuencia de escucha, también son metadatos. Cuando alguien usa Youtube con la reproducción automática activada, los metadatos de tus elecciones anteriores ayudan a determinar qué se reproducirá a continuación.
En las redes sociales, los metadatos se utilizan para agrupar publicaciones, rastrear los intereses del usuario, y ayudan a crear un contexto alrededor de los datos del usuario. Imagina que envía una selfie, los datos revelan el contenido de la selfie, mientras que los metadatos pueden contener datos de ubicación, tiempo, incluso el tiempo de exposición de la persona frente a la cámara.
Lo que los metadatos revelan sobre nosotros
En pocas palabras, revelan demasiado. Los metadatos podrían revelar nuestros detalles personales más íntimos, como inclinaciones políticas, estado de salud, situación financiera, relaciones familiares, etc.
Por ejemplo, los investigadores Deepak Jagdish y Daniel Smilkov desarrollaron una herramienta diseñada para contextualizar metadatos de correo electrónico. Analizando solamente los campos de información De, Para, Cc y Marca de tiempo de sus emails, los investigadores pudieron hacer descubrimientos sorprendentes sobre sus interacciones sociales, relaciones, círculo social, incluso sus ciclos de sueño.
Pudieron calcular, por ejemplo, a cuántas personas conocieron en determinado lapso temporal, momentos más productivos de su día, etc.
El largo alcance de la vigilancia de los metadatos telefónicos fue demostrado por investigadores de la Universidad de Stanford, quienes encontraron que la recopilación masiva de registros telefónicos de la Agencia de Seguridad Nacional (NSA) puede proporcionar mucha más información sobre la vida privada de las personas de la que al gobierno le gusta admitir. Con sólo conseguir el número de dos personas participantes de una conversación telefónica, el número de serie de los teléfonos involucrados, el tiempo y la duración de las llamadas y posiblemente la ubicación de cada persona durante, los investigadores lograron aislar los datos hasta una identidad determinada.
Aunque un sitio web sea seguro, los metadatos no son protegidos
El protocolo HTTPS indica que un sitio web es seguro, este es un dato que muchas personas conocen. Un hecho un tanto menos conocido es que, aunque HTTPS cifra el contenido, el sitio sigue revelando metadatos. A continuación una breve explicación:
El contenido del Protocolo de Transferencia de Hipertexto no está encriptado, por lo que no puede ser considerado por sí mismo seguro, así que la información contenida podría ser robada. La ‘s’ en HTTPS significa ‘seguro’. Este protocolo fue diseñado para mejorar la privacidad en Internet cuando se envía información personal, que aún podría ser robada, pero esto es ahora más difícil. HTTPS se usa ampliamente en sitios como Google, Facebook o Twitter, o cualquier otro sitio.
Para lograr la conversión de HTTP a HTTPS, el propietario del sitio web debe comprar certificados más seguros, como TLS o SSL. Estos protocolos prueban que un sitio web es legítimo. El asunto es que probablemente nadie pueda ver la información que enviamos por Internet, pero cualquiera puede intuir el contenido de la información enviada, como adivinar que dentro de un sobre hay una postal o una carta.
América, el hogar de la vigilancia de metadatos
La Agencia de Seguridad Nacional (NSA) podría ser la organización espía de metadatos más intrusiva y creativa que conocemos.
Organizaciones políticas, sociales y tecnológicas han permitido a la NSA elevar los niveles de recolección de metadatos. Aunque la Ley de Libertad de 2015 limitó la capacidad de la NSA para recopilar registros telefónicos y contactos de sospechosos de actividad terrorista, en mayo, la Agencia reveló un aumento masivo en la cantidad de metadatos de llamadas telefónicas recopiladas en el informe titulado “Registros de detalles de llamadas”, pasando de 151 millones de registros de llamadas en 2016 a más de 534 millones en 2017. A pesar de este aumento, sólo hubo 40 sospechosos de terrorismo en 2017.
A fines de junio, la NSA emitió un comunicado anunciando que comenzó un proceso de depuración de estos registros, pues los funcionarios de la agencia descubrieron irregularidades técnicas.
¿Hay algo que podamos hacer?
Desafortunadamente, especialistas en hacking ético y forense digital consideran que no hay una solución definitiva para proteger nuestros metadatos. A menos que, como dice Henry David Thoreau, comiences una nueva vida en el bosque, aislado del mundo.
A pesar de esta afirmación pesimista, hay algunos consejos útiles para minimizar los riesgos:
- No comparta información en exceso. Recuerde que cada vez que comparte algo en internet, permanecerá allí para siempre
- Instale un sistema operativo con varias capas de seguridad (como Linux)
- Inhabilite el GPS de sus dispositivos cuando no lo utilice
- Desactive JavaScript
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad