La información es poder. Si se dispone a tiempo de la información necesaria, todo será más fácil y se tomarán mejores decisiones. La información es también un activo clave de cualquier empresa u organización, es por eso que una fuga de información en una empresa puede convertirse en un problema grave. En este nuevo mundo super-conectado, la fuga de información o fuga de datos es una de las mayores amenazas para todo tipo de empresas, sin diferencia entre sector o tamaño: cualquier tipo de fuga de información puede acabar en un desastre.
En este artículo vamos a ver qué es la fuga de información en una empresa y cómo los metadatos pueden ser una de las causas de este incidente que tanto daño puede hacer a las personas y organizaciones.
¿Qué es una fuga de información en una empresa?
Una fuga de información en una empresa es la pérdida de confidencialidad de la información de una organización que ocurre cuando personal no autorizado accede a información privilegiada. Cada vez que la información perteneciente a una empresa acaba en las manos de gente no deseada podemos decir que esta empresa ha sufrido una fuga de información. La fuga de información en una empresa también se conoce como fuga de datos, brecha de datos o data leakage en inglés.
Existen tres principios básicos para garantizar la seguridad de la información: confidencialidad, integridad y disponibilidad. Una fuga de información en una empresa indica que se ha roto el primer principio, ya que la información deja de ser confidencial cuando personal no autorizado accede a la misma.
¿Qué son los metadatos?
El concepto de metadatos viene, por un lado, de la palabra del griego clásico “meta” (μετα), que significa ‘después de, más allá de, o sobre”. Este prefijo se une al concepto latino “datum”, es decir, «dato». El significado de metadatos más básico según su etimología sería «sobre datos». Partiendo de esta base, la definición de metadatos más común y extendida es la siguiente: los metadatos son datos sobre datos.
Si quieres saber más sobre ésto no te pierdas el artículo sobre qué son los metadatos en nuestro blog.
Causas de la fuga de información en una empresa
Una fuga de información en una empresa puede ser ocasionada de forma interna o externa a la organización. Las fugas de información de causa interna son causadas por el personal o empleados de la empresa, mientras que una causa externa podría ser un incidente de seguridad causado por un proveedor o la intervención externa como un robo o un ataque de ciberseguridad a la empresa. Además, la fuga de datos en una empresa puede ser intencionada o involuntaria.
En el caso de una fuga de información por metadatos, normalmente se trata de una fuga de información interna e involuntaria, ya que se realiza por empleados de la empresa a través de un sitio web, sin conocimiento previo de las consecuencias que tiene subir documentos a un sitio web sin hacer una correcta limpieza de metadatos.
Metadatos como causa de una fuga de información
Nuestros amigos los metadatos están escondidos en todos los documentos del universo digital, pero nunca están ocultos del todo; de hecho, podemos verlos si hacemos click derecho y accedemos a las propiedades en cualquier tipo de documento.
Los metadatos de un documento pueden revelar una gran cantidad de información, pues nos dicen mucho sobre el ciclo de vida del documento, su autor, los dispositivos vinculados y las rutas de directorios, que nos dan información sobre la estructura de los sistemas de una empresa. Y tú dirás “si solo son metadatos, ¿qué peligro tienen?”.
La presencia masiva de metadatos en sitios web presenta un riesgo en materia de privacidad. Cualquier documento digital normal y corriente accesible en una página web (por ejemplo, un archivo en pdf o una fotografía) es susceptible de generar una fuga de información a través de sus metadatos. Cuando una web almacena varios documentos, la cantidad de información es mayor y el riesgo de esta fuga de información se incrementa.
El impacto de una fuga de información puede ser aún más grave si se comunican datos personales identificables, lo que podría poner en peligro la seguridad de la organización o la privacidad de sus usuarios. Cuando los metadatos contienen datos personales, el tratamiento de los mismos debe ajustarse a una serie de normativas aplicables como el Reglamento General de Protección de Datos (RGPD), que en su artículo 4, apartado 12, destaca el concepto de “violación de la seguridad de datos personales”, que se define como “toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, así como la comunicación o acceso no autorizados a dichos datos”.
Impacto de una fuga de información por metadatos
Aunque los metadatos aún son grandes desconocidos en el mundo de Internet, el impacto de una fuga de información por metadatos puede traer consecuencias nefastas para las empresas. Recientemente, desde Suments realizamos un estudio en el que detectamos que más de 3.500 empresas españolas tienen brechas de seguridad de datos personales en sus webs. Prueba de este desconocimiento o mala gestión de los metadatos en las empresas es que más de un 70% de estas organizaciones presentan una “violación de la seguridad de los datos personales” por la comunicación y acceso no autorizados a dichos datos. En el caso de estas empresas, la fuga de información por metadatos permite que cualquier usuario tenga acceso a datos personales e información sensible como nombres y apellidos, números de teléfono, nombres de usuario de correo electrónico, rutas de directorios y coordenadas GPD (estos últimos son carne para ataques de phising)
Pero las empresas no son las únicas organizaciones con problemas a la hora de hacer una buena gestión de los metadatos. Desde Suments descubrimos que las instituciones españolas no están haciendo los deberes en materia de privacidad y protección de datos, pues la mayoría de Gobiernos Regionales de España filtran datos personales en sus webs en cantidades enormes, siendo la Presidencia del Gobierno (La Moncloa) la administración que presenta un mayor número de potenciales filtraciones de datos personales (17.956), después La Rioja, como la administración autonómica con mayor número de potenciales filtraciones (16.567), seguida de Andalucía (12.839), País Vasco (8.048), Islas Baleares (7.181) y Extremadura (7.008).
Cómo prevenir una fuga de información por metadatos
En este mundo super conectado todas las empresas son susceptibles de sufrir una fuga de información de cualquier tipo. Sin embargo, hoy en día existen herramientas para hacer una gestión de los metadatos eficaz y prevenir la fuga de información por metadatos.
Analiza los metadatos de la web de tu empresa
Si publicas documentos en la web, es posible que se te haya escapado información personal o información interna a través de los metadatos de los documentos. A más documentos publicados, mayor es la posibilidad de tener una fuga de información.
En Suments podemos ayudarte a analizar los metadatos de un sitio web gracias a la tecnología Verics, una araña web que analiza los metadatos de las páginas web que contienen una gran cantidad de información personal y supone una violación del RGPD.
Una vez completado el análisis, Verics® resume en un informe todas las filtraciones de datos encontradas, organizadas por tipo de archivo, gravedad y subdominios encontrados.
Elimina los metadatos de tu web
Una vez que tienes identificados los metadatos de tu sitio web y cuáles de ellos contienen datos personales o información sensible, ha llegado la hora de hacer una limpieza de metadatos. Para ello, puedes usar MetaWASH, que te ofrece una limpieza de metadatos de las filtraciones detectadas por Verics. Con ello, puedes reducir las posibilidades de infringir el RGPD y facilitar una “violación de acceso a datos”. Además, también servirá para reforzar la seguridad en nuestra empresa al no publicar información interna al público y controlar la información que se está publicando en los metadatos de los documentos.
Elimina los metadatos de imágenes en WordPress gratis
Eliminar los metadatos de imágenes en WordPress nunca había sido tan fácil, pues el plugin gratuito de MetaWASH para WordPress prácticamente lo hace todo por ti. Una vez instalado el plugin ya no tienes que preocuparte más por los curiosos metadatos y las filtraciones de información. Cada vez que el usuario sube una imagen nueva a la biblioteca de medios (formato jpg o png), los metadatos se eliminan automáticamente, generando un archivo limpio y libre de metadatos. Esta limpieza no afecta al SEO de las imágenes, pues el usuario puede volver a escribir los metadatos como título o etiqueta alt desde la misma biblioteca de medios.