Riesgos invisibles que quedan en PDF
Los PDF parecen seguros porque su apariencia queda fija.
Sin embargo, en un PDF puede quedar información distinta del texto que se muestra en pantalla.
Nombre de autor, aplicación de creación, fecha de actualización, anotaciones, archivos incrustados, texto oculto y rastros del documento original.
Al compartir documentos de forma anónima, es peligroso pensar "lo convertí a PDF, así que está bien".
Este artículo organiza los riesgos invisibles que quedan en PDF y los puntos que conviene revisar antes de publicar.
El PDF no se puede juzgar solo por la apariencia
El PDF es un formato práctico que puede mostrarse como papel.
Pero dentro de un archivo PDF puede haber información distinta de las páginas visibles.
| Información | Contenido | Punto de atención para el anonimato |
|---|---|---|
| Autor | Nombre de usuario o información de la aplicación que creó el documento | Acerca a la persona u organización |
| Fecha de creación | Hora de creación o actualización | Se conecta con hora de actividad o envío |
| Anotaciones | Comentarios, marcadores, notas | Se ve el proceso de edición o personas relacionadas |
| Incrustados | Adjuntos, fuentes, imágenes | Quedan datos originales o entorno de creación |
| Texto oculto | OCR, texto para copiar | Puede quedar información que se creía tachada |
Que un PDF se vea limpio no significa que su información interna esté limpia.
En anonimato, se revisan por separado las páginas visibles y la información interna del archivo.
Qué cambia y qué queda al convertir a PDF
Al convertir documentos Office o imágenes a PDF, parte de la información cambia.
Pero no desaparecen todos los riesgos.
| Lo que cambia al convertir | Lo que puede quedar |
|---|---|
| Un documento editable se vuelve visualización fija | Autor, aplicación de creación, fecha de creación |
| Se incrusta como imagen | Texto dentro de la imagen, fondo, reflejos |
| Se fijan fuentes y diseño | Fuentes incrustadas e información de la aplicación |
| Los comentarios pueden desaparecer | Anotaciones o historial de cambios pueden quedar de otra forma |
| Parece que se hizo un tachado | Puede quedar el texto de debajo |
Convertir a PDF puede ser útil en algunos casos.
Pero "convertir a PDF" y "terminar la revisión de anonimato" son cosas distintas.
Tachado y texto oculto
Algo especialmente peligroso en PDF es ocultar información como si se hubiera tachado.
Si solo se coloca un rectángulo negro encima, el texto de debajo puede quedar dentro del archivo.
Aunque no se lea visualmente, el texto original puede verse al copiar, buscar, extraer o analizar internamente.
| Método | Riesgo |
|---|---|
| Superponer una figura negra | Puede quedar el texto de debajo |
| Poner el texto del color del fondo | Puede verse al copiar o buscar |
| Convertir en captura de pantalla | Quedan pérdida de calidad, texto legible por OCR e información de fondo |
| Usar una función dedicada de redacción | Hace falta volver a revisar después del procesamiento |
En documentos que requieren redacción, usa funciones dedicadas y después revisa búsqueda, copia y metadatos.
En documentos de alto riesgo, considera consultar a especialistas o apoyo confiable en vez de decidir solo con este artículo.
Información organizativa que queda en PDF
En denuncias de irregularidades o materiales periodísticos, la información organizativa dentro del PDF se vuelve un problema importante.
No solo el nombre de autor: plantillas, nombres de departamento, rutas de archivo, anotaciones, números de distribución, marcas de agua y formato de numeración de páginas también son pistas.
| Pista | Qué permite saber |
|---|---|
| Nombre de autor | Autor del documento o cuenta del dispositivo |
| Nombre de empresa | Organización o entorno de creación |
| Plantilla | Departamento o flujo de trabajo |
| Persona anotadora | Quien participó en la edición |
| Marca de agua o número de distribución | Destino de distribución u origen del material |
Un PDF parece una "versión final".
Pero precisamente por parecer final, puede conservar rastros de haber sido creado dentro de una organización.
Por qué es especialmente peligroso en denuncias o materiales de investigación
En denuncias de irregularidades o materiales de investigación, la información dentro del PDF puede mostrar "quién podía conocer ese material".
Aunque el documento en sí no tenga nombre, si quedan alcance de distribución, fecha de actualización, anotaciones, marca de agua, número de página, número de documento o plantilla propia del departamento, las personas candidatas se reducen.
| Pista dentro del PDF | Qué se infiere |
|---|---|
| Número de distribución | A qué departamento o persona se distribuyó el material |
| Marca de agua | Información para identificar lector o destino de distribución |
| Nombre de anotador | Persona revisora o relacionada |
| Fecha de actualización | Quién podía trabajar en ese momento |
| Plantilla | Organización, departamento o flujo de trabajo |
Aunque esta información no signifique nada para lectores generales, para gente dentro de la organización puede ser una pista fuerte.
En anonimato se piensa no solo cómo se ve para quien no sabe, sino cómo se ve para quien sí sabe.
Cuidado también con la extracción de texto en PDF
Un PDF puede parecer una imagen visualmente, pero tener texto interno.
En PDF con OCR, puede haber texto de búsqueda detrás de la imagen escaneada.
Aunque se tache o difumine sobre la imagen, si el texto de búsqueda conserva los caracteres originales es peligroso.
| Estado | Qué revisar |
|---|---|
| PDF escaneado | Si tiene texto OCR |
| PDF tachado | Si al copiar o buscar aparece texto original |
| PDF con imágenes | Si quedan texto dentro de la imagen o fondo |
| PDF con anotaciones | Si se puede extraer texto de anotaciones o comentarios |
| PDF de formulario | Si quedan campos de entrada o estados seleccionados |
Antes de publicar un PDF, no basta con leerlo visualmente: revisa búsqueda, copia y metadatos.
"No se ve en pantalla" no es prueba de seguridad.
Herramientas que pueden servir para revisar
Si usas servicios en línea para revisar, convertir, redactar o eliminar metadatos de PDF, el archivo original, el nombre de archivo, la información interna y datos de acceso pueden pasar al servicio. En documentos de alto riesgo, no subas archivos a servicios externos; revísalos en un entorno local y vuelve a comprobarlos con otro método después de procesarlos.
ExifTool se usa a veces para revisar metadatos de PDF.
qpdf también puede ser candidato para revisar estructura o convertir PDF. qpdf es una herramienta usada para revisar la estructura de archivos PDF y convertirlos, y su uso puede consultarse en la documentación oficial.
URL: https://qpdf.readthedocs.io/
Pero usar una herramienta no vuelve algo seguro automáticamente.
Hay que leer la información mostrada y volver a revisar después de eliminar o regenerar.
Revisión antes de publicar
Antes de publicar un PDF, revisa en este orden.
| Orden | Qué revisar | Razón |
|---|---|---|
| 1 | Mirar autor y fecha de creación | Confirmar que no se conecten con persona u hora de trabajo |
| 2 | Mirar anotaciones y comentarios | Confirmar que no queden proceso de edición o personas relacionadas |
| 3 | Revisar partes tachadas | Ver si queda texto debajo |
| 4 | Mirar archivos incrustados e imágenes | Confirmar que no queden datos originales u otros archivos |
| 5 | Mirar el nombre de archivo | Confirmar que no queden nombre, departamento o caso |
| 6 | Volver a revisar después de eliminar | Confirmar que el procesamiento funcionó |
El PDF es un formato que se copia fácilmente después de publicar.
Por eso es importante revisar antes de publicar.
Decidir no publicar un PDF
En PDF de alto riesgo, eliminar o convertir puede no ser suficiente.
El propio contenido del material puede estrechar la fuente.
Por ejemplo, si quedan una cronología que solo conocen quienes asistieron a una reunión, abreviaturas usadas solo por un departamento o expresiones distintas por destino de distribución, las personas candidatas se reducen aunque se borren los metadatos.
En ese caso, hace falta decidir si no publicar el PDF tal cual: resumir el contenido, generalizar nombres propios, pedir a un punto de consulta confiable que revise solo el alcance necesario o llevarlo a especialistas o apoyo.
En anonimato, limpiar un archivo y poder publicarlo son cosas distintas.
Resumen
El PDF parece seguro porque su apariencia queda fija, pero dentro pueden quedar autor, fecha de creación, anotaciones, incrustados y texto oculto.
Convertir a PDF no completa el anonimato.
Presta especial atención a tachados, anotaciones, información organizativa, números de distribución y nombres de archivo.
Herramientas como ExifTool y qpdf ayudan a revisar, pero la seguridad no se decide solo por el nombre de la herramienta.
Antes de publicar, revisa apariencia, información interna, nombre de archivo y nueva comprobación después de eliminar.
Herramientas relacionadas
ExifTool
Recurso externo relacionado con este artículo. Ábrelo solo si encaja con tu situación y tu modelo de amenaza.
Por qué aparece aquí: Puede ayudar con el tema del artículo, pero está fuera de Anonymity Sense y conviene revisarlo antes de usarlo.
URL : https://exiftool.org/
MAT2
Recurso externo relacionado con este artículo. Ábrelo solo si encaja con tu situación y tu modelo de amenaza.
Por qué aparece aquí: Puede ayudar con el tema del artículo, pero está fuera de Anonymity Sense y conviene revisarlo antes de usarlo.
qpdf
Recurso externo relacionado con este artículo. Ábrelo solo si encaja con tu situación y tu modelo de amenaza.
Por qué aparece aquí: Puede ayudar con el tema del artículo, pero está fuera de Anonymity Sense y conviene revisarlo antes de usarlo.