Es una recomendación que en más de una ocasión aquellos que nos dedicamos a la ciberseguridad hemos hecho: Si tienes que compartir una foto o pantallazo y en ella se encuentran datos (o personas, como pueden ser los menores de edad) que deberían seguir siendo privados, lo más recomendable es que ese espacio lo pixeles.
La mayoría de servicios de edición fotográfica, para colmo, ofrecen por defecto esta opción, que genera una suerte de «borrón» que dificulta hasta el extremo el ver quién o qué hay detrás.
El problema de esto es que los tiempos van cambiando, y lo que en su día era un método bastante seguro para compartir contenido gráfico… se ha vuelto cada vez menos seguro.
Y para muestra, un botón.
Un caso televisivo muy sonado
En 2017 la cadena de televisión francesa 2 emitió un documental sobre las criptomonedas.
En él, entrevistaron a una persona que, con vistas a dar mayor visibilidad a su iniciativa, quiso promocionarse con un concurso en el que ofrecía una recompensa de 1.000 dólares en bitcoin.
El tema es que, al parecer, la cadena no podía legalmente emitir concursos durante el documental, así que en el producto final que vieron los espectadores, el código QR que daba acceso a la clave privada del monedero estaba desenfocado, como puedes ver en la imagen que acompaña este texto.
Pero hablamos de 1.000 dólares, así que unos entusiastas se pusieron a trabajar y en apenas 16 horas de trabajo ya habían conseguido despixelar esa parte, accediendo por tanto a la clave privada de ese monedero, y pudiendo alzarse con la victoria: esos 1.000 dólares.
Sobre los límites de la seguridad basada en fuerza bruta
El proceso para despixelar una imagen o vídeo es semejante al que se utilizan en muchas aproximaciones de criptografía: la pura fuerza bruta.
Se aplica el mismo algoritmo una y otra vez, iterando hasta que se da con el potencial resultado.
En este artículo (EN) explican cómo es posible hacer esto técnicamente, y en él queda claro que estamos ante ese punto de inflexión en el que algo que siempre ha sido matemáticamente posible, pero empíricamente casi imposible, con la paulatina evolución de los sistemas de inteligencia artificial y el aumento espectacular del procesamiento de gráficos que hemos experimentado incluso en la electrónica de consumo, cada vez resulta más sencillo realizar este tipo de métodos.
Tanto que incluso aplicaciones como Photoshop ya incluyen herramientas de enfoque, que en esencia permiten hacer algo semejante a lo que podemos llamar «el despixelar una imagen».
¿Qué podemos hacer para evitar ser víctimas de este tipo de ataques?
La respuesta a esta pregunta es bien sencilla: No pixelar las imágenes.
Si queremos evitar este tipo de técnicas, lo más recomendable es directamente tapar esa parte con un contenido no transparente.
- En el caso de una foto donde salga alguien que no queremos que esté expuesto, bien podemos ponerle en la cara un emoticono.
- En el caso de un contenido que muestra un código QR o cualquier texto que debamos ocultar, bastaría con poner un rectángulo opaco de otro color.
Gracias a ello, y a priori, no va a ser posible para un tercero que llegue a ese contenido ver lo que hay detrás.
Y ojo, porque hablamos de contenido gráfico en archivos de fotografía (PNG, JPG, JPEG…) o de vídeo (MP4, AVI…), no en PDFs.
No es la primera vez que un contenido tachado en un PDF es posible «des-tacharlo», por eso de que el PDF, según cómo se haya guardado, almacena la información de las capas que lo conforman, pudiendo con un editor de PDF eliminarlas fácilmente.
En CyberBrainers hacemos informes, tutoriales y análisis de mercado en temas candentes para nuestros clientes, ya sean de negocio o puramente reputacionales. Si necesitas conocer cómo le va a la competencia, a tu propia empresa, o simplemente conocer qué opina la gente sobre algún tema en particular, escríbenos y ponemos nuestras máquinas y analistas a escuchar.
Pablo F. Iglesias es un empresario e inversor español especializado en la Consultoría de Presencia Digital y Reputación Online, fundador de la agencia de reputación CyberBrainers, de la startup EliminamosContenido, y del sello editorial Ediciones PY. Además, es un reconocido escritor con su saga de ciencia ficción "25+1 Relatos Distópicos" y "Historias Conectadas", y la colección de fantasía épica "Memorias de Árganon". Dedica sus "horas libres" a concienciar sobre las oportunidades y riesgos del entorno digital, ya sea en charlas, talleres, sus escritos en blogs y las colaboraciones con medios de comunicación.