Los metadatos de los documentos publicados en las webs institucionales revelan información como nombres y apellidos, correos electrónicos, números de teléfono y dígitos de DNI. id:76069
Las instituciones españolas no están haciendo los deberes en materia de privacidad y protección de datos. Esta es la conclusión de un estudio que ha analizado las páginas web de la Presidencia del Gobierno (La Moncloa) y de los Gobiernos Autonómicos, donde se han detectado más de 100.000 potenciales filtraciones de datos personales después de un análisis de los metadatos de los documentos.
El estudio "
Metadatos y filtraciones de datos personales en los sitios web de los Gobiernos Autonómicos de España", publicado por Suments Data, apunta en sus conclusiones que estas filtraciones suponen un incumplimiento del Reglamento General de Protección de Datos (RGPD), ya que se está realizando una comunicación no autorizada de estos datos y se permite el acceso a los mismos, lo que se considera una violación de datos personales según el RGPD. Además, el informe también señala que las administraciones tampoco cumplen con el Esquema Nacional de Seguridad (ENS) en el ámbito de la Administración Electrónica, que obliga a las administraciones públicas a realizar una "limpieza de documentos" para eliminar los metadatos antes de ser difundidos en un entorno web.
Aunque la principal función de los metadatos es facilitar la búsqueda de información, su uso también presenta un reto respecto a la protección de datos personales y en materia de ciberseguridad, ya que si no se gestionan correctamente, éstos pueden difundir información comprometedora y datos personales identificables.
"Si las Administraciones Públicas no hacen una gestión responsable de los metadatos seguirán incumpliendo el RGPD y teniendo problemas de ciberseguridad". Javier Moncayo, CEO de Suments Data
Los metadatos presentes en los documentos publicados en las webs institucionales revelan datos personales como nombres y apellidos de personas físicas, direcciones de correo electrónico, nombres de usuario, números de teléfono y dígitos de DNI. Además, también presentan filtraciones de información sensible como coordenadas GPS y direcciones. Javier Moncayo, CEO de Suments Data, alerta de que "la combinación de los datos expuestos produce un escenario potencialmente peligroso para ataques de phishing. Además, señala que "no se trata de un caso aislado o un despiste, la gestión de los metadatos es nula y por eso hemos encontrado de todo en los análisis. Si las Administraciones Públicas no hacen una gestión responsable de los metadatos seguirán incumpliendo el RGPD y teniendo problemas de ciberseguridad".
El estudio ha analizado los metadatos presentes en un total de 648.670 documentos utilizando la herramienta Verics, que analiza la presencia de metadatos en sitios web y después los clasifica según la naturaleza de la información que contienen y su impacto en relación con el RGPD. En la web del estudio se puede consultar un informe detallado sobre cada una de las Comunidades Autónomas, a excepción de los sitios web de los Gobiernos de Cataluña y Navarra, que no han permitido ejecutar el análisis de Verics, lo que ha sido considerado en el estudio como un "punto positivo en seguridad web".
La web de la Presidencia del Gobierno lidera el ranking de filtraciones
El sitio web de la Presidencia del Gobierno (La Moncloa) es la administración que presenta un mayor número de potenciales filtraciones de datos personales (17.956). Dentro de los Gobiernos Autonómicos, La Rioja se sitúa como la administración con mayor número de potenciales filtraciones (16.567), seguida de Andalucía (12.839), País Vasco (8.048), Islas Baleares (7.181) y Extremadura (7.008).
Atendiendo al número de documentos analizados en cada web llama la atención el caso de Andalucía, que se sitúa en la primera posición con 136.124 documentos, una cantidad que cuadruplica la media de documentos por sitio web (32.433). Otros sitios web con elevado número de documentos son los de La Rioja (88.194), Región de Murcia (55.668), Castilla La-Mancha (54.081) y Castilla y León (50.058).
Los sitios web con mayor número de documentos son los que tienen más probabilidad (nivel estadístico) de tener un número elevado de filtraciones de datos personales. Sin embargo, si atendemos al valor del ratio de filtraciones encontradas por el número de documentos analizados, podemos conocer la densidad de filtraciones en cada administración. Si atendemos a este valor, encontramos que el sitio web de La Moncloa vuelve a liderar la mala gestión de metadatos con un ratio de 0,912. Entre los Gobiernos Autonómicos, Melilla es la Comunidad Autónoma con peor ratio (0,778), seguida de Extremadura (0,414), País Vasco (0,377), Ceuta (0,263) y Cantabria (0,213).
La gran mayoría de potenciales filtraciones se encuentran en los metadatos de los documentos de tipo pdf, seguidos de los archivos de imagen jpg y png. No obstante, también se han encontrado filtraciones en otros ficheros de tipo doc, html, css, ppt o xlxs. También se han encontrado rutas de directorios que, aunque no se consideran filtraciones de datos personales o información sensible, presentan un riesgo alto en materia de ciberseguridad, ya que esta información expone cómo se estructura la red interna de una organización.
"No hay excusa para no cuidar de los metadatos", sentencia una de las conclusiones del estudio, que destaca el que el la "pasividad ante los metadatos" se manifiesta en los informes de cada una de las Comunidades Autónomas, que presentan filtraciones de datos personales en todo tipo de archivos y de distinta naturaleza.