Metadatos: qué son y para qué sirven
Los metadatos son datos descriptivos sobre el contexto o características que acompañan a un documento, vídeo o imagen. Por ejemplo, para una fotografía puede ser la cámara, el momento en que se tomó la foto o incluso la localización gps. Para un documento, el autor, el que lo modificó o cuando se actualizó y con qué software.
Estos metadatos son actualizados bien por las organizaciones (respondiendo a un esquema de metadatos propio), bien por el hardware o software que edita o trata los documentos, las imágenes o los vídeos. La mayoría de los metadatos permanecen ocultos o no son transparentes al usuario, que en muchas ocasiones no conoce la información que se está grabando junto a los datos de sus archivos.
Los metadatos se crearon para ayudar en la búsqueda de información, en la interoperabilidad entre sistemas y en la clasificación de los documentos. Muchos documentos también pueden contener otros datos ocultos, como comentarios o notas de edición y trabajo, nombres de formatos empleados o datos de versiones editadas.
Hay que tener en cuenta que distintos formatos de archivo almacenan metadatos y datos ocultos de manera distinta.
Los metadatos y la Seguridad de la Información
Los metadatos proporcionan información que, en ocasiones, puede ser mayor que la deseada al publicar o distribuir el archivo que los contiene.
Esta información puede ser útil en un ataque de ingeniería social en aspectos que incuso no podemos razonar en una primera instancia. Por ejemplo, la localización y fecha de una foto determinada puede no tener relevancia respecto al fotógrafo, pero si respecto a alguien que aparezca en la instantánea. En otra foto lo importante puede ser la versión del iphone con el que ha sido tomada. La información respecto al autor de un documento puede servir por ejemplo para ampliar la información de ese usuario a través de las redes sociales, y una vez localizado tenemos el CV en LinkEdin, y aspectos de su vida en Instagram o Facebook.
Los metadatos y el Esquema Nacional de Seguridad
Desde el punto de vista de la Seguridad de la Información, los metadatos y los datos ocultos pueden contener información sensible, y esto representa un riesgo que las organizaciones y sus usuarios deben entender.
En este sentido, el Esquema Nacional de Seguridad establece que todos los metadatos deben ser eliminados en relación a la Confidencialidad de la información en la medida de protección [mp.info.6]:
“En el proceso de limpieza de documentos, se retirará de estos toda la información adicional contenida en campos ocultos, metadatos, comentarios o revisiones anteriores, salvo cuando dicha información sea pertinente para el receptor del documento”.Hay que tener en consideración que para cada tipo de archivo puede haber metadatos que haya que quitar siempre, otros según el uso del documento en ese momento y otros nunca.
El tratamiento de metadatos debe quedar reflejado en una política de gestión documental , o al menos en un apartado de la normativa de tratamiento de datos y en el procedimiento de seguridad correspondiente.
El proceso de limpieza de documentos se aplicará...
“...cuando el documento se difunde ampliamente, como ocurre cuando se ofrece al público en un servidor web y otro tipo de repositorio de información”.
Por lo tanto, hay que describir un proceso de limpieza de documentos, pero no debemos quedarnos ahí, porque la lucha contra los metadatos indeseados viene desde varios puntos, referenciado también en varios puntos del Esquema:
- Definición de una política de gestión documental en la organización.
- Limpieza de documentos previa a su difusión según la política definida.
- Configuración del hardware o software de edición o grabación, para que actualice sólo los metadatos necesarios.
- Configuración de dispositivos de rastreo de datos en tránsito de los que se dispone para que compruebe el uso adecuado de los metadatos.
- Uso de herramientas de búsqueda de metadatos para chequear y comprobar periódicamente que los metadatos expuestos en cada caso se corresponden a lo definido anteriormente.
- Concienciación y formación a los usuarios de la organización.
En un próximo post veremos herramientas y formas de ver o eliminar metadatos en los principales tipos de archivos.
