Comprobación de metadatos en SVG
SVG es un archivo de imagen, pero su contenido es texto.
A diferencia de imágenes que se ven como PNG o JPEG, un archivo SVG puede conservar como XML figuras, texto, comentarios, nombres de capa, información de herramienta, ID y descripciones.
Aunque visualmente no haya problema, al abrir el archivo como texto pueden quedar nombre de autor, empresa, proyecto, texto original e información de la herramienta de edición.
Si vas a publicar imágenes o diagramas de forma anónima, debes revisar SVG no como "imagen", sino como "archivo de texto que se publica".
Este artículo ordena qué información puede quedar en un SVG y qué revisar antes de publicar.
SVG es una imagen cuyo contenido puede leerse
SVG significa Scalable Vector Graphics y es un formato que representa imágenes vectoriales en XML.
Círculos, líneas, texto, rutas, colores y posiciones se escriben como etiquetas y atributos. Por eso puede mostrarse como imagen en el navegador y también leerse en un editor de texto.
| Elemento dentro del SVG | Información que puede quedar | Precaución para anonimato |
|---|---|---|
| Elemento text | Texto dentro de la imagen | También puede quedar texto no visible |
| Elemento metadata | Autor, herramienta, descripción | Se ve el entorno de producción |
| Comentarios | Notas de trabajo, nombres | Se pasan por alto porque no aparecen visualmente |
| id / class | Nombres de capas o piezas | Pueden quedar nombres de proyecto o términos internos |
| Nombre de archivo | Nombre, caso, fecha | Se ve tal cual al compartir |
El riesgo del SVG está en que apariencia y contenido no coinciden.
Texto que creías eliminado en pantalla puede quedar dentro del XML.
Queda información de herramientas de diseño
SVG suele exportarse desde herramientas de diseño o de creación de diagramas.
Al hacerlo, pueden quedar nombre de herramienta, ajustes de exportación, nombres de capas, nombres de objetos y nombres de plantilla.
| Información que queda | Ejemplo | Precaución |
|---|---|---|
| Herramienta de creación | Illustrator, Figma, Inkscape, etc. | Se infiere el entorno de producción |
| Nombre de capa | client-logo, school-map | Sale nombre de caso u organización |
| ID de objeto | user-name, draft-title | Se ve el uso original |
| Comentario | TODO, nota de trabajo | Queda información interna |
| Nombre de plantilla | Plantilla con nombre de empresa | Conduce a afiliación |
Que quede solo el nombre de la herramienta puede no ser un gran problema.
Pero si quedan nombre de empresa, escuela, caso, proyecto interno o usuario, conecta directamente con el anonimato.
Cuidado con texto no visible
En SVG puede quedar texto invisible o demasiado pequeño.
Por ejemplo, si solo moviste fuera de la pantalla un nombre que estaba en el diagrama original, lo hiciste transparente o ocultaste una capa, el texto puede seguir dentro del XML.
| Estado | Apariencia | Contenido |
|---|---|---|
| Texto transparente | No se ve | Queda como elemento text |
| Texto fuera de la pantalla | No se muestra | Queda con coordenadas |
| Capa oculta | No se ve | Puede quedar información de capa |
| Texto pequeño | Cuesta notarlo | Se lee al ampliar o revisar XML |
Aunque la imagen parezca correcta, revisa el contenido como texto.
En SVG que requieren anonimato, es importante no publicar solo por revisión visual.
Qué comprobar
Antes de publicar un SVG, revisa la siguiente información.
| Elemento de comprobación | Razón para mirar |
|---|---|
| Nombre de autor | Puede quedar nombre personal o de cuenta |
| Nombre de empresa o escuela | Se ve afiliación o caso |
| Nombres de capa e ID | Puede quedar nombre de proyecto interno |
| Comentarios | Quedan notas de trabajo o información previa al borrado |
| Texto oculto | Queda texto que no aparece visualmente |
| Nombre de archivo | Se ve tal cual al compartir |
El método de comprobación es simple.
Abre el archivo SVG en un editor de texto y busca nombres, correo, empresa, escuela, caso, topónimo, comentarios y cadenas innecesarias.
Manejo de herramientas de optimización SVG
Hay herramientas de optimización para SVG que eliminan metadatos y atributos innecesarios.
SVGO es una herramienta representativa para optimizar archivos SVG. En el repositorio oficial puedes comprobar qué elimina y qué plugins existen.
URL : https://github.com/svg/svgo
Si usas SVGO, piensa en procesarlo como herramienta local oficial. Si subes SVG de alto riesgo a servicios web de optimización SVG, las cadenas dentro del XML y el nombre de archivo pueden entregarse al exterior.
Pero pasar una herramienta no vuelve el archivo necesariamente seguro.
Lo que queda cambia según la configuración. La herramienta elimina sobre todo atributos y metadatos innecesarios; no juzga el texto que realmente está dibujado, el fondo ni el significado.
Aunque uses SVGO, al final una persona debe revisar el contenido.
¿Convertir a PNG lo vuelve seguro?
Si conviertes SVG a PNG u otra imagen raster, en principio la información textual como XML deja de salir.
Pero eso no lo vuelve completamente seguro.
Quedan el texto visible como imagen, fondos, logos, mapas e información de pantalla. Además, el archivo de imagen convertido puede recibir otros metadatos.
| Lo que se reduce al convertir | Lo que queda | Precaución |
|---|---|---|
| Comentarios XML | Texto visible en la imagen | Hace falta revisión visual |
| Nombres de capa | Logos y fondos | Se ven afiliación y lugar |
| ID de objeto | Metadatos de la imagen convertida | Revisar también el archivo de salida |
La conversión es una medida válida.
Pero también después de convertir hay que revisar apariencia e información de archivo.
Procedimiento práctico antes de compartir
Antes de publicar un SVG, fija un procedimiento.
Primero copia el archivo original y crea un archivo separado de publicación. Después abre el contenido en un editor de texto y busca nombres y organizaciones. Luego muéstralo en un navegador y revisa texto o logos que queden visualmente. Por último, mira si el nombre del archivo de publicación contiene información personal.
| Orden | Trabajo | Objetivo |
|---|---|---|
| 1 | Copiar el archivo original | Separar material previo y versión de publicación |
| 2 | Abrirlo como texto | Revisar información dentro del XML |
| 3 | Buscar nombres y organizaciones | Encontrar pistas directas |
| 4 | Mostrarlo en el navegador | Confirmar filtraciones visuales |
| 5 | Cambiar el nombre de archivo | Quitar información externa |
Usar el mismo procedimiento cada vez reduce omisiones.
Precisamente cuando tienes prisa, es importante no juzgar solo por la apariencia.
Revisar el formato de publicación en SVG de alto riesgo
En denuncias de irregularidades, materiales de cobertura, diagramas relacionados con trabajo o escuela, y diagramas donde hay que proteger a personas relacionadas, piensa si hace falta publicar en SVG.
SVG es práctico, pero como contiene una estructura editable, es un formato donde la información suele permanecer. Si el lector no necesita ampliar o editar, también existe la opción de convertir a PNG y revisarlo como imagen.
Pero incluso al convertir a PNG quedan fondo y texto visible.
Cambiar de formato no es para reducir la revisión. Es una elección para cambiar el tipo de información que se revisa.
Resumen
SVG se muestra como imagen, pero su contenido es texto.
Pueden quedar nombre de autor, empresa, escuela, nombres de capa, ID, comentarios, texto oculto y notas de trabajo.
Al publicar SVG de forma anónima, no basta con mirarlo como imagen; abre el contenido en un editor de texto y revísalo.
Herramientas de optimización como SVGO ayudan, pero no delegues todo en la herramienta.
Al final, es importante revisar juntos el texto, la apariencia de la imagen, el contenido XML y el nombre de archivo.
Herramientas relacionadas
ExifTool
Recurso externo relacionado con este artículo. Ábrelo solo si encaja con tu situación y tu modelo de amenaza.
Por qué aparece aquí: Puede ayudar con el tema del artículo, pero está fuera de Anonymity Sense y conviene revisarlo antes de usarlo.
URL : https://exiftool.org/
MAT2
Recurso externo relacionado con este artículo. Ábrelo solo si encaja con tu situación y tu modelo de amenaza.
Por qué aparece aquí: Puede ayudar con el tema del artículo, pero está fuera de Anonymity Sense y conviene revisarlo antes de usarlo.