.

Computación

La estadística logra extraer datos delicados de comunicaciones cifradas

1

Agencias de vigilancia podrían utilizar trucos estadísticos para sacar información privada del cifrado que protege la navegación web

  • por Tom Simonite | traducido por Francisco Reyes
  • 25 Junio, 2014

Las revelaciones sobre la vigilancia en masa del Gobierno de EEUU han afectado a las compañías de consumo en línea, que están aplicando un mayor nivel de cifrado y haciendo públicos más detalles sobre sus medidas de protección para tranquilizar a los clientes preocupados. Por ejemplo, a principios de este año Apple dio a conocer detalles sobre cómo se cifran las comunicaciones enviadas a través de su servicio iMessage.

Una nueva investigación sugiere que la Agencia de Seguridad Nacional de EEUU, o cualquier otra organización capaz de capturar una gran cantidad de tráfico de internet, podría extraer información privada a partir de las comunicaciones cifradas mediante la búsqueda de patrones en la secuencia de datos. Durante varias pruebas se analizó el tráfico de internet de una persona y se logró revelar qué afecciones médicas estaba investigando. Con técnicas similares se podría capturar información sobre el uso de iMessage, como por ejemplo en qué momento empieza a escribir una persona o en qué idioma escribe el mensaje. Esa investigación se centra en un enfoque conocido como análisis del tráfico, que implica el uso de técnicas estadísticas para encontrar patrones en las comunicaciones cifradas.

Investigadores de la Universidad de California en Berkeley (EEUU), además de en Intel, han desarrollado una versión particularmente eficaz dirigida contra el HTTPS, el método de cifrado utilizado para proteger sitios web y que se muestra a los usuarios con la imagen de un candado en la barra de direcciones del navegador. La técnica consiste en hacer que el software visite sitios web de interés del usuario y utilice algoritmos de aprendizaje de máquinas para aprender los patrones de tráfico asociados a las diferentes páginas. Después se buscan dichos patrones en rastro del tráfico de la víctima.

El enfoque demostró ser capaz de identificar qué páginas de afecciones médicas específicas estaba visitando una persona en los sitios web de Planned Parenthood y la Clínica Mayo, aunque ambos sitios cifran sus conexiones con HTTPS. También logró identificar a qué servicios accedió una persona después de iniciar sesión en varios sitios financieros, entre ellos los de Wells Fargo y Bank of America. Como media, la técnica logró aproximadamente un 90% de precisión en la identificación de las páginas web. Se presentará un artículo sobre la investigación de Berkeley en el Simposio de Tecnologías de Mejora de la Privacidad en Amsterdam el próximo mes.

El análisis del tráfico podría ser una herramienta útil de vigilancia para programas gubernamentales, como por ejemplo los utilizados por la NSA para recopilar y analizar el tráfico cifrado de internet (ver "La filtración sobre la NSA no afecta a la matemática criptográfica pero destaca puntos débiles conocidos"). Aquellas empresas que tengan acceso al tráfico de internet también podrían verse motivadas a usarlo, según afirma el candidato de doctorado en Berkeley Brad Miller, que dirigió la investigación.

"Algunas empresas podrían hacer un uso muy válido de este tipo de análisis", señala. Por ejemplo, un proveedor de servicios de internet (PSI) podría obtener información sobre la actividad en línea de sus clientes para así poder dirigir los anuncios, incluso si la navegación o las comunicaciones de los clientes están cifradas. Algunos PSI, como Verizon Wireless, ya venden los datos sobre la navegación de sus clientes a terceros para tales fines.

El investigador de la empresa de seguridad RedJack, Scott Coull, asegura que el trabajo de Berkeley es el último de una serie de artículos que muestran cómo podría usarse el análisis del tráfico contra los consumidores. "Cuando consideras cuál podría ser el peor de los casos de este tipo de ataque, las cosas no tienen muy buena pinta", afirma.

Coull descubrió recientemente que el análisis del tráfico puede ser muy eficaz contra mensajes enviados a través del servicio iMessage de Apple, que se cifran desde el momento en que se envían hasta el momento en que se reciben. "Con diferencia, iMessage es lo peor que he visto", señala. Coull fue capaz de identificar en qué momento los usuarios empezaban o paraban de escribir, enviaban o abrían un mensaje, el idioma del mensaje y su longitud, con un 96% de exactitud o más.

Eso, combinado con el hecho de que el protocolo de iMessage transmite un identificador exclusivo de cada dispositivo, se suma a otros "metadatos" similares a los que ha estado capturando con tanta polémica la NSA a partir de llamadas de teléfono en EEUU, afirma Coull. "Si tuviera la capacidad de supervisar una gran parte del tráfico hacia y desde los servidores de iMessage, podría crear una red social de quién envía mensajes a quién, el idioma que están utilizando y el tamaño aproximado de los mensajes", afirma.

Coull encontró que en general su técnica consiguió un 100% de eficacia contra los mensajes enviados a través de los populares servicios de mensajería móvil WhatsApp y Viber.

Hoy día, pocos PSI dan demasiada importancia al análisis del tráfico a la hora de implementar el cifrado para proteger la privacidad, asegura el investigador independiente de seguridad Ashkan Soltani, que participó en la cobertura que hizo el Washington Post sobre la vigilancia de la NSA, y que fue galardonada con el premio Pulitzer. "Esto es algo que preocupa más a la comunidad dedicada a la seguridad que a los operadores de sitios web que implementan el cifrado", asegura.

Si un operador quisiera defenderse contra el análisis del tráfico probablemente le resultaría caro. Varios investigadores, entre ellos Coull y el equipo de Berkeley, han probado formas de "acolchar" los datos cifrados para ocultar los patrones frente al análisis del tráfico, pero la transferencia de datos adicionales tiene un coste. "Es increíblemente caro encubrir las pistas", afirma Coull. Calcula que los servidores de Apple tendrían que transferir tres veces más datos para mitigar el análisis del tráfico contra iMessage.

Sin embargo, no está claro de qué forma un organismo público o empresa podría usar el análisis del tráfico. Coull señala que tendría que hacer una investigación usando datos reales de tráfico, por ejemplo de un PSI, para poder aclarar la cuestión.

Computación

Las máquinas cada vez más potentes están acelerando los avances científicos, los negocios y la vida.

  1. ‘Chiplets’: el arma de China en su batalla tecnológica contra EE UU

    Al conectar varios chips menos avanzados en uno, las empresas chinas podrían eludir las sanciones impuestas por el gobierno estadounidense.

  2. Esta ciudad china quiere ser el Silicon Valley de los ‘chiplets’

    Wuxi, el centro chino del envasado de chips, está invirtiendo en la investigación de ‘chiplets’ para potenciar su papel en la industria de semiconductores

  3. La computación cuántica se abre camino a través del ruido

    Durante un tiempo, los investigadores pensaron que tendrían que conformarse con sistemas ruidosos y propensos a errores, al menos a corto plazo. Esto está empezando a cambiar.

    Jay Gambetta dirige el desarrollo de los ordenadores cuánticos de IBM y lideró la iniciativa de llevar estos sistemas a la nube.