Conversión de archivos en línea
En una era donde el impacto de las TIC se ha tornado extremadamente invasivo en los procesos sociales, la conversión de archivos en línea se ha vuelto una herramienta indispensable para estudiantes, profesionales y cualquier usuario que necesite cambiar formatos de documentos, imágenes o videos.
Con frecuencia se reciben archivos en formatos que no se logran visualizar, ello requiere esa conversión a la que se refiere el párrafo anterior. Sin embargo, esta comodidad implica riesgos de seguridad que se ignoran con mucha frecuencia. Explorar los peligros asociados a los conversores en línea, los consejos para proteger tu información y las buenas prácticas para minimizar riesgos son un aspecto esencial para evitar ser impactados por esta realidad.
Los riesgos de utilizar los conversores deben profundizarse para tomar conciencia de la la realidad del problema.
La primer problema es la exposición de datos sensibles. Esto es posible cuando muchos de los servidores de los servicios en línea procesan archivos de sus clientes. Esto significa que los documentos podrían quedar almacenados sin el conocimiento de sus propietarios. Según un informe de Kaspersky en 2022, el 37% de los servicios de conversión gratuitos analizados retenían copias de los archivos subidos, incluso después de que el usuario realizara la descarga.
A esto se puede añadir que según Electronic Frontier Foundation (2021) los archivos que son convertidos en herramientas en línea a ese fin, pueden contener metadatos o información confidencial que, de no ser eliminados de manera adecuada, deja abierta la posibilidad de filtraciones o uso malintencionado.
El segundo problema es la posibilidad de contaminación por código maligno y de caer en manos de ciberdelincuentes a través del phishing. Esta situación ocurre cuando algunas plataformas fraudulentas se disfrazan de conversores legítimos para distribuir programas maliciosos o robar credenciales. En un estudio de Check Point Research de 2023 se apreció que el 15% de los sitios de conversión de PDF a Word que se analizaron redirigían a páginas de phishing.
El tercer problema es la privacidad y la existencia de términos de uso confusos que resultan de algunos servicios que recopilan datos personales bajo políticas de privacidad ambiguas violando las normas jurídicas y posteriormente los venden al mejor postor, o si no se desea ser tan incisivo se puede decir que los comparten con terceros. Esto trae como consecuencia para el usuario la recepción de SPAM o publicidad dirigida sin consentimiento explícito, que queda al descubierto en un estudio de 2020 desarrollado por The Guardian.
Para evitar estar en manos de un ciberdelincuente a través de un mecanismo que simula a un convertidor en línea es conveniente atender algunos consejos:
1. Verifica la reputación del sitio, de forma que antes de subir un archivo, se investiga el servicio para lo que se pueden utilizar herramientas como VirusTotal o Web of Trust (WOT) que ayudan a identificar sitios maliciosos.
2. Usa herramientas con cifrado extremo a extremo que lleven a optar por servicios que garanticen cifrado “end-to-end” (E2E), como es el caso de CloudConvert o Zamzar, que borran los archivos después que transcurre un tiempo determinado. Como expresa Bruce Schneier en 2019, el cifrado extremo a extremo asegura que solo la persona que origina la transmisión de datos y el destinatario puedan acceder a los datos, lo que reduce el riesgo de interceptación.
3. Eliminar los metadatos sensibles porque son una etiqueta informativa que describe características del archivo y su contenido, también incluyen datos técnicos, información del usuario que puede ser privada o sensible. Se recomienda antes de subir un archivo, usa herramientas como MAT (Metadata Anonymization Toolkit) o la función de «Document Inspector» en Microsoft Office para borrar metadatos ocultos.
Es importante recordar que los metadatos contienen también el historial de cambios, que exponen quienes accedieron al documento y también los datos de seguridad en torno a permisos y restricciones así como información del cifrado.
4. Es conveniente la preferencia de utilizar un software de servicio local, siempre que sea posible, en especial si se trabaja con información confidencial. Al considerar la opción de programas sin conexión a la red de redes es conveniente valorar el LibreOffice para los documentos de tipo ofimático o el HandBrake en caso de videos.
Es esencial en este aspecto, además de los consejos anteriores, tomar en consideración lo expuesto en la ISO/IEC 27001:2022:
* Capacitación para tomar conciencia del problema. Tanto empresas como empleados deben desarrollar planes educativos en torno al tema a partir de los riesgos que se generan en la información personal y corporativa por el uso de servicios no verificados.
* En torno a las políticas de uso, es importante la implementación de directrices claras sobre el uso de este tipo de plataformas, cuales están autorizadas para conversiones y sobre los riesgos de subir información a servicios no verificados.
Referencias bibliográficas:
– Kaspersky Lab. (2022). *»Privacy Risks in Online File Converters»*.
– Electronic Frontier Foundation. (2021). *»Metadata and Data Leakage in Cloud Services»*.
– Check Point Research. (2023). *»Phishing Threats in Free Online Tools»*.
– Schneier, B. (2019). *»Click Here to Kill Everybody: Security and Survival in a Hyper-connected World»*.
Las imágenes y la idea original fueron tomadas de Kaspersky Daily.