Cada archivo que creas, cada correo electrónico que envías y cada foto que tomas genera una capa oculta de información que la mayoría de los usuarios nunca ven. Estos datos invisibles, los metadatos, se han convertido en uno de los elementos más importantes de la ciberseguridad moderna. Para los defensores, los metadatos permiten detectar amenazas sin acceder al contenido real. Para los atacantes, son una mina de oro para el reconocimiento y, en cloud , una vía directa para el robo de credenciales.
La filtración de AT&T en 2024 expuso los metadatos de llamadas y mensajes de 110 millones de clientes, lo que demuestra que los metadatos por sí solos pueden constituir una violación masiva de la privacidad. Mientras tanto, la campaña SSRF de EC2 de marzo de 2025 mostró cómo los atacantes explotaban sistemáticamente los servicios de metadatos cloud para robar credenciales de AWS a gran escala. Comprender los metadatos (qué revelan, cómo los explotan los atacantes y cómo protegerlos) se ha convertido en algo esencial para los profesionales de la seguridad.
Los metadatos son información que describe las características, propiedades, origen y contexto de otros datos; esencialmente, son «datos sobre datos» que proporcionan estructura y significado sin contener el contenido real en sí. Según el NIST, los metadatos abarcan tanto información estructural (cómo se organizan los datos) como información descriptiva (qué representan los datos). En ciberseguridad, los metadatos incluyen propiedades de archivos, atributos de tráfico de red, encabezados de correo electrónico y registros del sistema que permiten el análisis sin exponer el contenido.
Piense en los metadatos como el catálogo de fichas de una biblioteca. El catálogo describe el título, el autor, la fecha de publicación, el tema y la ubicación en la estantería de cada libro, pero no contiene el texto real del libro. Del mismo modo, los metadatos de un correo electrónico revelan el remitente, el destinatario, la marca de tiempo, la ruta de enrutamiento y la información del servidor sin exponer el cuerpo del mensaje. Los metadatos de una foto contienen el modelo de la cámara, las coordenadas GPS y los ajustes de exposición sin mostrar la imagen en sí.
¿Por qué son importantes los metadatos? Según un estudio de Fidelis Security de 2024, las organizaciones que analizan eficazmente los metadatos pueden mejorar las tasas de detección de amenazas hasta en un 60%. Sin embargo, según IBM, el 68 % de los datos empresariales no se analizan, lo que significa que la mayoría de las organizaciones pasan por alto señales de seguridad críticas ocultas en sus metadatos.
Aquí radica la paradoja de la ciberseguridad: los mismos metadatos que permiten a los equipos de seguridad detectar amenazas también permiten a los atacantes realizar reconocimientos, rastrear a personas y robar credenciales. Esta naturaleza de doble uso convierte a los metadatos tanto en un activo defensivo como en un vector de ataque.
Los datos representan el contenido real: el texto del documento, los píxeles de la imagen, el cuerpo del correo electrónico o los registros de la base de datos. Los metadatos describen ese contenido sin incluirlo. Los datos de un documento de Word son el texto que usted escribió; sus metadatos incluyen el nombre del autor, la fecha de creación, el número de revisiones, el nombre de la empresa y la ruta del archivo.
Tabla 1: Comparación entre datos y metadatos con implicaciones de seguridad
Los profesionales de la seguridad se encuentran con seis tipos principales de metadatos, cada uno de los cuales aporta un valor investigativo y defensivo distinto.
Los metadatos estructurales definen cómo se organizan los datos: formatos de archivo, esquemas de bases de datos, estructuras XML y relaciones jerárquicas. Para los equipos de seguridad, los metadatos estructurales revelan las dependencias de las aplicaciones y los patrones de flujo de datos. Una estructura de archivo malformada suele indicar manipulación o modificación maliciosa.
Los metadatos descriptivos proporcionan un contexto legible para los humanos: títulos, autores, etiquetas, palabras clave y resúmenes. En el análisis forense de documentos, los metadatos descriptivos permiten la atribución. El campo de autor de un PDF filtrado podría revelar quién fue la persona interna que lo filtró. Las etiquetas y palabras clave de los documentos pueden revelar nombres de proyectos confidenciales.
Los metadatos administrativos regulan el acceso y la gestión: permisos, controles de acceso, fechas de creación, marcas de tiempo de modificación y etiquetas de clasificación. Este tipo de metadatos es esencial para las auditorías de cumplimiento, ya que permite a los equipos de seguridad verificar quién accedió a qué y cuándo.
Los metadatos técnicos recogen detalles a nivel del sistema: tamaño del archivo, resolución, codificación, algoritmos de compresión y datos EXIF en imágenes. Los metadatos técnicos suelen revelar más información de la que los usuarios desean. Los datos EXIF de las fotos pueden incluir coordenadas GPS, números de serie de dispositivos y versiones de software.
Los metadatos de preservación garantizan la integridad de los datos a lo largo del tiempo: sumas de comprobación, valores hash, firmas digitales y registros de migración de formatos. Los equipos de seguridad utilizan los metadatos de preservación para verificar la integridad de los archivos y comparar los indicadores de compromiso (IOC) con los hash maliciosos conocidos.
Los metadatos de procedencia documentan el linaje de los datos: origen, propiedad, cadena de custodia e historial de modificaciones. En las investigaciones forenses, los metadatos de procedencia establecen quién creó, modificó o transmitió los datos, lo cual es fundamental para los procedimientos legales y la atribución de incidentes.
Tabla 2: Tipos de metadatos y sus aplicaciones en ciberseguridad
Los metadatos de red —los atributos de las comunicaciones de red, más que su contenido— se han vuelto cada vez más importantes a medida que aumenta el uso del cifrado. Las plataformas de detección y respuesta de red (NDR) analizan estos metadatos para detectar amenazas sin descifrar el tráfico.
Los metadatos de red incluyen direcciones IP de origen y destino, números de puerto, protocolos, tamaños de paquetes, intervalos de tiempo, duración de la conexión y registros de flujo. Incluso con cargas útiles cifradas, los equipos de seguridad pueden identificar anomalías: puertos de destino inusuales, conexiones a direcciones IP maliciosas conocidas, volúmenes de transferencia de datos anormales o patrones de comunicación que coinciden con protocolos de comando y control.
Los registros NetFlow e IPFIX agregan estos metadatos a gran escala, lo que permite realizar análisis retrospectivos en millones de conexiones. Al investigar una infracción, los metadatos de red suelen revelar movimientos laterales, exfiltración de datos y mecanismos de persistencia que los registros de los puntos finales no detectan.
Los metadatos del correo electrónico incluyen los encabezados y la información de enrutamiento que acompañan a cada mensaje. Los encabezados revelan el dominio del remitente, las direcciones IP de los servidores de correo en la cadena de enrutamiento, las marcas de tiempo en cada salto y los resultados de autenticación de las comprobaciones SPF, DKIM y DMARC.
Para phishing , el análisis del encabezado del correo electrónico revela los intentos de suplantación de identidad. Un mensaje que dice ser de su director general, pero que proviene de un servidor de correo desconocido, con autenticación SPF fallida, es inmediatamente sospechoso. Las investigaciones sobre el compromiso del correo electrónico empresarial (BEC) se basan en gran medida en el análisis del encabezado para rastrear el origen del mensaje e identificar las cuentas comprometidas.
Los metadatos del correo electrónico también revelan la estructura organizativa. El análisis de los patrones de CC, las cadenas de respuestas y la pertenencia a listas de distribución ayuda a los atacantes a identificar objetivos de gran valor y relaciones de confianza que pueden explotar.
Los atacantes aprovechan los metadatos para realizar reconocimientos, seguimientos, robos de credenciales y vigilancia. La Electronic Frontier Foundation advierte que los metadatos pueden revelar tanta información sobre las personas como el propio contenido, y en ocasiones incluso más.
Los principales vectores de ataque de metadatos incluyen:
En 2012, el empresario tecnológico John McAfee se escondía de las autoridades en Belice cuando la revista Vice publicó una entrevista, incluida una foto. Esa foto contenía metadatos EXIF con coordenadas GPS, lo que reveló inmediatamente su ubicación en Guatemala. Las autoridades lo arrestaron en cuestión de días.
Este caso demuestra una verdad fundamental: incluso las personas más sofisticadas subestiman la exposición de los metadatos. Las organizaciones se enfrentan a riesgos similares cuando los empleados comparten fotos de instalaciones sensibles, publican documentos que contienen rutas internas o suben archivos con datos de ubicación incrustados.
La campaña de violación de datos de clientes de Snowflake de 2024, atribuida al actor malicioso UNC5537, expuso los metadatos de 110 millones de clientes de AT&T. Los atacantes extrajeron metadatos de llamadas y mensajes, incluidos números de teléfono, duración de las llamadas e identificadores de torres de telefonía móvil.
Aunque la filtración no reveló el contenido de las conversaciones, los metadatos por sí solos permitieron rastrear patrones de comunicación, trazar mapas de relaciones y aproximar la geolocalización. Para las personas que ocupan puestos delicados —periodistas, activistas, funcionarios públicos—, la exposición de estos metadatos supuso un riesgo personal significativo.
La violación subraya que los metadatos son datos personales. Cuando los autores de ransomware y los Estados-nación se centran específicamente en los metadatos, las organizaciones deben protegerlos con el mismo rigor que el contenido.
Los servicios de metadatos Cloud (IMDS) representan el vector de ataque de metadatos más peligroso en los entornos modernos. Todos cloud principales cloud (AWS, Azure y GCP) exponen un punto final de metadatos en 169.254.169.254 que proporciona a las instancias datos de configuración y credenciales temporales.
Cuando los atacantes aprovechan las vulnerabilidades SSRF en las aplicaciones web, pueden obligar al servidor a consultar este punto final interno y devolver la respuesta, incluidas las credenciales IAM que otorgan acceso a cloud . Las investigaciones muestran un aumento del 452 % en los ataques SSRF entre 2023 y 2024, siendo los servicios cloud el objetivo principal.
La violación de Capital One en 2019 sigue siendo el ejemplo definitivo de explotación de IMDS. Un atacante aprovechó una vulnerabilidad SSRF en un firewall de aplicaciones web mal configurado para consultar el punto final de metadatos de AWS. Las credenciales temporales devueltas proporcionaron acceso a buckets S3 que contenían 106 millones de registros de clientes, la mayor violación bancaria de la historia en ese momento.
La brecha se habría evitado con la aplicación de IMDSv2, que bloquea la simple explotación de SSRF. Sin embargo, años después, muchas organizaciones siguen siendo vulnerables.
En marzo de 2025, F5 Labs documentó una campaña sistemática dirigida a sitios web alojados en EC2 para robar credenciales de AWS a través de SSRF. Los atacantes rotaron seis nombres de parámetros (dest, file, redirect, target, URI, URL) y sondearon cuatro subrutas para maximizar la cobertura.
Todos los ataques se dirigieron al punto final IMDSv1. Las organizaciones que aplicaban IMDSv2 quedaron completamente protegidas. La campaña demuestra que los atacantes siguen explotando este vector tan conocido porque hay demasiados casos que siguen estando mal configurados.
En agosto de 2025, Microsoft corrigió CVE-2025-53767, una vulnerabilidad SSRF crítica (CVSS 10.0, gravedad máxima) en Azure OpenAI. La falla permitía a atacantes no autenticados acceder a Azure IMDS, recuperar tokens de identidad administrados y, potencialmente, cruzar los límites entre inquilinos.
Esta vulnerabilidad pone de manifiesto que incluso los servicios de IA cloud pueden exponer los puntos finales de metadatos debido a una validación insuficiente de las entradas. Cloud requiere una defensa en profundidad, con múltiples capas que protejan los servicios de metadatos.
La diferencia fundamental entre IMDSv1 e IMDSv2 radica en los requisitos de autenticación:
IMDSv1 permite que cualquier proceso realice una simple solicitud GET al punto final de metadatos y reciba una respuesta. Las vulnerabilidades SSRF explotan fácilmente esto: la carga útil del atacante solo necesita devolver la respuesta de una solicitud GET.
IMDSv2 requiere un proceso de dos pasos: primero, una solicitud PUT con un encabezado TTL para obtener un token de sesión; luego, las solicitudes posteriores deben incluir ese token. Esto frustra la mayoría de los ataques SSRF porque las aplicaciones web no pueden devolver respuestas a solicitudes PUT ni conservar tokens de sesión.
La adopción actual sigue siendo insuficiente. Aproximadamente el 49 % de las instancias EC2 aplican IMDSv2 a partir de 2024, lo que significa que la mitad de todas las instancias de AWS siguen siendo vulnerables al mismo ataque que comprometió a Capital One.
En noviembre de 2025, Microsoft anunció el Protocolo de seguridad de metadatos (MSP), el primer modelo de seguridad cerrado por defecto del sector para servicios cloud . El MSP requiere solicitudes firmadas con HMAC a través de delegados de confianza y utiliza la aplicación basada en eBPF a nivel de proceso.
MSP mitiga los ataques SSRF, las elusiones de tenencia anidada alojada en nombre de (HoBo) y las vulnerabilidades de confianza implícita dentro de las máquinas virtuales. Las organizaciones que ejecutan cargas de trabajo confidenciales en Azure deben habilitar MSP inmediatamente.
Lista de comprobación de refuerzo defensivo para la protección IMDS:
La investigación forense digital se basa en gran medida en los metadatos para la reconstrucción de la cronología, la atribución y la validación de pruebas. Según IBM, el análisis de metadatos reduce el tiempo de investigación de las infracciones hasta en un 50 %, lo que lo convierte en un elemento esencial para una respuesta eficaz ante incidentes.
La reconstrucción de la línea temporal utiliza marcas de tiempo de los archivos, concretamente el modelo MACB: horas de modificación, acceso, cambio y creación. Al correlacionar las marcas de tiempo de los archivos, las entradas del registro y los registros, los investigadores establecen secuencias precisas de la actividad del atacante. Esta línea temporal revela los vectores de acceso iniciales, los mecanismos de persistencia y las ventanas de exfiltración.
La atribución y la procedencia se basan en los metadatos de los documentos para identificar a los autores, el software utilizado y el historial de ediciones. En los casos de robo de propiedad intelectual, los metadatos suelen proporcionar las pruebas necesarias para demostrar quién creó o modificó documentos confidenciales.
Los valores hash (sumas de comprobación MD5, SHA-1 y SHA-256) permiten la comparación de IOC y la verificación de la integridad. Los equipos de seguridad comparan los hash de los archivos con las fuentes de inteligencia sobre amenazas para identificar el malware conocido malware. Cualquier discrepancia en el hash indica manipulación.
La investigación forense de redes aprovecha los registros de flujo, los registros de consultas DNS y los metadatos de conexión para la búsqueda de amenazas sin necesidad de capturar paquetes completos. Este enfoque se adapta a entornos empresariales en los que no resulta práctico almacenar todos los datos de los paquetes.
Antes de compartir documentos externamente, las organizaciones deben eliminar los metadatos innecesarios para evitar la filtración de información.
Tabla 3: Comparación de herramientas de eliminación de metadatos
Para los usuarios de Windows, la función integrada «Eliminar propiedades e información personal» del Explorador de archivos gestiona los metadatos básicos de los documentos. macOS Preview puede eliminar los datos GPS de las imágenes a través de Herramientas > Mostrar inspector.
Las organizaciones deben implementar la desinfección de documentos en los flujos de trabajo de prevención de pérdida de datos (DLP), eliminando automáticamente los metadatos antes de que los archivos salgan de la red.
Una seguridad eficaz de los metadatos requiere tanto análisis defensivos (utilizar los metadatos para detectar amenazas) como controles protectores (evitar la exposición de los metadatos).
El análisis de metadatos de red permite a las soluciones NDR detectar amenazas en el tráfico cifrado sin necesidad de descifrarlo. Mediante el análisis de registros de flujo, consultas DNS y encabezados HTTP, los equipos de seguridad identifican conexiones anómalas, comunicaciones de comando y control e intentos de exfiltración de datos.
SIEM La correlación agrega metadatos de terminales, dispositivos de red, cloud y sistemas de identidad. Las reglas de correlación detectan anomalías que las fuentes de registro individuales pasarían por alto, como un usuario que se autentica desde dos ubicaciones geográficas simultáneamente.
Detección de amenazas a la identidad supervisa los metadatos de autenticación en busca de indicadores de compromiso: horas de inicio de sesión inusuales, viajes imposibles, intentos de eludir la autenticación multifactorial (MFA) y patrones de escalada de privilegios. Dado que el 68 % de los incidentes de seguridad están relacionados con la identidad, según un estudio de Expel de 2025, la supervisión de los metadatos de identidad es esencial.
Las políticas DLP deben analizar los documentos salientes en busca de metadatos confidenciales (nombres de autores, rutas de archivos internos, coordenadas GPS) antes de su transmisión externa. La depuración automatizada elimina estos datos sin intervención manual.
La formación de los empleados aborda el factor humano. El personal debe comprender que las fotos, los documentos y los correos electrónicos contienen datos ocultos. La formación debe abarcar riesgos específicos: publicar fotos de la oficina con datos GPS, reenviar documentos con el historial de edición intacto o compartir capturas de pantalla que contengan rutas de archivos visibles.
Los equipos de seguridad deben asignar las amenazas relacionadas con los metadatos a marcos establecidos como MITRE ATT&CK para una detección y respuesta coherentes.
Tabla 4: Asignación del marco MITRE para la seguridad de los metadatos
Los marcos normativos tratan cada vez más los metadatos como datos personales, lo que obliga a las organizaciones a implementar controles adecuados.
La aplicación de los metadatos del RGPD alcanzó un hito en junio de 2025, cuando el Garante italiano impuso la primera multa del RGPD específicamente por infracciones en la retención de metadatos de correo electrónico: 50 000 euros a la Regione Lombardia. La organización retuvo los metadatos del correo electrónico de los empleados durante 90 días, infringiendo el documento de posición de la IDPA italiana que establece una directriz de retención máxima de 21 días.
Según el RGPD, los metadatos que pueden vincularse a personas identificables constituyen datos personales. Los principios del artículo 5 (licitud, limitación de la finalidad, minimización de datos y limitación del almacenamiento) se aplican plenamente. Las organizaciones que tratan metadatos de empleados con fines de supervisión se enfrentan a requisitos adicionales en virtud del artículo 88 y de la legislación laboral nacional.
La HIPAA trata los metadatos como parte de la información médica protegida electrónica (ePHI) cuando pueden identificar a personas. Los controles de auditoría deben capturar los metadatos de acceso, y las entidades cubiertas deben proteger los metadatos con las mismas medidas de seguridad que los registros médicos.
La norma PCI DSS exige controles de cumplimiento, incluidos registros de auditoría que contengan metadatos sobre el acceso al entorno de datos de los titulares de tarjetas.
Tabla 5: Requisitos reglamentarios para los metadatos
Las soluciones industriales para la seguridad de los metadatos abarcan múltiples ámbitos de seguridad, cada uno de los cuales aborda aspectos específicos del reto.
Las plataformas de detección y respuesta de red (NDR) analizan los metadatos de la red (registros de flujo, consultas DNS, encabezados HTTP) para detectar amenazas sin necesidad de descifrado. Este enfoque es esencial, ya que la adopción del cifrado se acerca al 100 % en el tráfico empresarial. Las soluciones NDR establecen bases de referencia de comportamiento y alertan sobre desviaciones que indican un compromiso.
La detección y respuesta ante amenazas de identidad (ITDR) correlaciona los metadatos de identidad de los sistemas de autenticación, los servicios de directorio y los proveedores cloud . Mediante el análisis de los patrones de inicio de sesión, los cambios de privilegios y los comportamientos de acceso, las plataformas ITDR detectan el compromiso de cuentas y las amenazas internas.
La gestión de la posturaCloud (CSPM) supervisa los metadatos cloud en busca de configuraciones incorrectas, incluyendo ajustes IMDS, políticas IAM excesivamente permisivas y buckets de almacenamiento expuestos. La CSPM proporciona una visibilidad continua de las desviaciones en la configuración que permiten la explotación de metadatos.
La detección y respuesta ampliadas (XDR) correlaciona los metadatos entre los puntos finales, la red, cloud y las superficies de identidad. Este enfoque unificado permite detectar ataques que abarcan múltiples dominios, como el robo de credenciales a través de cloud que conduce a movimientos laterales a través de sistemas de identidad.
Vectra AIAttack Signal Intelligence analiza los metadatos de la red, cloud y las superficies de identidad para detectar comportamientos de atacantes en lugar de firmas conocidas. Al centrarse en los patrones de metadatos (anomalías de autenticación, llamadas cloud inusuales cloud , flujos de red sospechosos), la plataforma identifica amenazas en el tráfico cifrado y correlaciona señales en todas las superficies de ataque.
Este enfoque basado en metadatos aborda el reto fundamental de la seguridad moderna: los atacantes operan dentro de canales cifrados y con credenciales legítimas, lo que hace que la detección basada en el contenido sea insuficiente. Attack Signal Intelligence los equipos de seguridad dar prioridad a los ataques reales frente al ruido, reduciendo la fatiga de las alertas y detectando al mismo tiempo amenazas sofisticadas que eluden las herramientas tradicionales.
Los metadatos son datos que describen las características, propiedades, origen y contexto de otros datos; básicamente, información sobre la información. En ciberseguridad, los metadatos abarcan atributos de archivos (autor, fecha de creación, historial de modificaciones), propiedades del tráfico de red (direcciones IP, puertos, protocolos), encabezados de correo electrónico (remitente, destinatario, enrutamiento) y registros del sistema. A diferencia de los datos de contenido, los metadatos describen qué son los datos en lugar de qué contienen. Los equipos de seguridad analizan los metadatos para detectar amenazas, realizar análisis forenses y garantizar el cumplimiento, mientras que los atacantes los explotan para el reconocimiento y el robo de credenciales.
Existen seis tipos principales de metadatos: estructurales (organización y formato de los datos), descriptivos (contexto legible por humanos, como títulos y etiquetas), administrativos (permisos, controles de acceso, marcas de tiempo), técnicos (tamaño de archivo, codificación, datos EXIF), de preservación (sumas de comprobación, valores hash, firmas digitales) y de procedencia (origen, propiedad, historial de modificaciones). Cada tipo tiene diferentes fines de seguridad. Los metadatos técnicos revelan información sobre los dispositivos y su ubicación. Los metadatos de conservación permiten verificar la integridad. Los metadatos de procedencia respaldan los requisitos de atribución forense y cadena de custodia.
Los atacantes explotan los metadatos a través de varios vectores. Los metadatos de los documentos revelan nombres de usuario, rutas de archivos internos y versiones de software para phishing dirigido. Los datos EXIF de las fotos exponen las coordenadas GPS y la información del dispositivo para su seguimiento. Los encabezados de los correos electrónicos revelan detalles de la infraestructura para su reconocimiento. Lo más crítico es que los atacantes utilizan vulnerabilidades SSRF para consultar los servicios de metadatos cloud (IMDS) y robar credenciales temporales que permiten el movimiento lateral. La violación de Capital One en 2019 explotó AWS IMDS para acceder a 106 millones de registros. La violación de AT&T en 2024 expuso los metadatos de las llamadas de 110 millones de clientes.
Los servicios de metadatos Cloud (IMDS) en la dirección IP 169.254.169.254 proporcionan a cloud datos de configuración y credenciales IAM temporales. Este servicio es esencial para cloud , pero supone un riesgo significativo. Los atacantes que aprovechan las vulnerabilidades SSRF pueden consultar IMDS y robar credenciales, obteniendo acceso a cloud . AWS IMDSv2 mitiga esto al requerir tokens de sesión que los ataques SSRF no pueden obtener fácilmente, pero aproximadamente el 49 % de las instancias EC2 aún carecen de aplicación. Las organizaciones deben aplicar IMDSv2 en AWS y habilitar el nuevo Protocolo de seguridad de metadatos (MSP) de Azure.
Utilice herramientas específicas para eliminar los metadatos antes de compartirlos externamente. ExifTool ofrece funciones de línea de comandos multiplataforma para fotos y documentos. MAT2 ofrece una sencilla limpieza de metadatos en Linux. ExifCleaner proporciona una interfaz gráfica de usuario fácil de usar para eliminar los metadatos de las fotos. El Explorador de archivos de Windows incluye la opción «Eliminar propiedades e información personal» en las propiedades del archivo. La vista previa de macOS puede eliminar los datos GPS a través de Herramientas > Mostrar inspector. A escala organizativa, implemente políticas de DLP que limpien automáticamente los documentos antes de que salgan de la red.
Sí, cuando los metadatos pueden vincularse a personas identificables. La autoridad italiana Garante impuso la primera multa por metadatos de correo electrónico en virtud del RGPD en junio de 2025: 50 000 euros por conservar los metadatos del correo electrónico de los empleados durante 90 días, en lugar del máximo de 21 días establecido en las directrices. Los principios del RGPD, incluidos la minimización de datos y la limitación del almacenamiento, se aplican al tratamiento de metadatos. Las organizaciones que supervisan a sus empleados a través de metadatos de correo electrónico o web se enfrentan a requisitos adicionales en virtud del artículo 88 y de la legislación laboral nacional. Es posible que se requieran evaluaciones de impacto relativas a la protección de datos para el tratamiento sistemático de metadatos.
Los equipos de seguridad analizan los metadatos de múltiples dominios para detectar amenazas. Los metadatos de red (registros de flujo, consultas DNS) permiten la detección en el tráfico cifrado sin necesidad de descifrarlo. Los metadatos de correo electrónico (encabezados, resultados de autenticación) identifican los intentos phishing spoofing. Los metadatos de identidad (registros de autenticación, cambios en el directorio) revelan el compromiso de cuentas y el abuso de privilegios. Cloud (registros de auditoría de API, cambios de configuración) detectan configuraciones incorrectas y accesos no autorizados. Las plataformas NDR, SIEM e ITDR correlacionan los metadatos de todas las fuentes para identificar ataques que las fuentes de registros individuales pasarían por alto.