Una nueva técnica permite detectar contenidos ilegales transferidos utilizando el protocolo BitTorrent de intercambio de archivos. Según los creadores de esta nueva técnica, el enfoque puede monitorear las redes sin interrumpir el flujo de datos y proveer a los investigadores con evidencia fehaciente la transferencia de archivos ilegales. 

Los archivos de contrabando podrían incluir películas, música o software pirateados e incluso pornografía infantil. Cuando la herramienta detecta uno de estos archivos, mantiene un registro de las direcciones de la red involucradas para hacer un análisis posterior, según explica el Mayor Kart Schrader, que lideró la investigación en el Air Force Institute of Technology, en Estados Unidos.

El uso de software peer-to-peer (P2P) y en particular del protocolo BitTorrent, se ha incrementado constantemente a lo largo de los últimos años. De hecho, para muchos proveedores de servicio Internet (ISPs), la gran mayoría del tráfico de Internet se basa en transferencias P2P. 

Los proveedores generalmente están interesados en detectar este tipo de tráfico únicamente para poder controlarlo o hacerle throttle, y liberar la banda ancha para otros usos. Sin embargo, este enfoque no revela nada acerca de los contenidos de cada transferencia, señala Schrader. Un puñado de herramientas de monitoreo de redes puede identificar archivos específicos BitTorrent, pero el proceso generalmente es lento ya que los contenidos de cada archivo tienen que ser examinados. El tiempo que esto supone incrementa de manera exponencial ya que el número de archivos que necesitan ser escaneados también crece.

“Nuestro sistema difiere en que es completamente pasivo, lo cual significa que no modifica información de entrada o de salida de la red” asegura Schrader. Funciona, en primer lugar, localizando archivos que tienen la marca del protocolo de BitTorrent al examinar los primeros 32 bits de los datos de la cabecera del archivo. Después, el sistema examina el hash de los archivos, que es un código de identificación único utilizado para coordinar la descarga simultánea de cientos de fragmentos de archivos de diferentes usuarios. Si un hash corresponde a alguno que estuviera almacenado en la base de datos de hashes prohibidos, el sistema creará un registro de la transferencia y guardará las direcciones de la red que estuvieron involucradas.

"Estoy convencido de que la solución funciona y de que será bastante accesible en cuanto a precio, ya que es un sistema muy especializado" asegura Hendrik Schulze, CTO de Ipoque (una empresa de análisis de redes cuya sede principal se encuentra en Alemania). Soluciones más generalizadas que intentan monitorear sobre un amplio rango de tipos de archivos podrían ser más flexibles, pero también serían más caros, según explica Schulze.

Una razón por la que la nueva técnica es tan rápida es que el aparato requerido consiste de un chip especial llamado FPGA (field programable gate array) especialmente configurado y una tarjeta de memoria flash que almacena un registro de la actividad ilegal.

Esto significa que los contenidos de los archivos pueden escanearse directamente al ingresar a un buffer controlador de Ethernet, sin molestar al tráfico de la red. También significa que es imposible que los usuarios puedan discernir si una red está siendo monitoreada, comenta Schrader. “Nuestro sistema no modifica el tráfico de ninguna manera, tampoco interfiere con la entrega de tráfico, ya sea de entrada o salida de la red”,  explica el director de la investigación.

No obstante, Ross Anderson, experto en seguridad informática de  la Universidad de Cambridge (Reino Unido), afirma que la idea no es nueva. “Cisco ha estado vendiendo kits al gobierno chino para el 'Great Firewall of China' que hace justamente lo que ellos proponen” asegura Anderson. Del mismo modo, una empresa australiana llamada Brilliant Digital Entertainment vende una herramienta llamada CopyRouter que analiza los hashes para poder identificar los archivos ilegales en otros tipos de redes P2P.

Schulze, por su parte, asegura que el enfoque desarrollado por el equipo de Schrader confía en poder tener una lista actualizada de archivos ilegales. “El sistema tiene que actualizar frecuentemente una lista enorme de hashes de archivos”, añade. “Alguien tiene que calificar a los hashes como incumplimiento de derechos de autor u otro contenido criminal”, sentencia.

Desde el punto de vista legal, Schulze sostiene que la privacidad podría ser un problema más importante. “Ni los EEUU ni ningún país de Europa permitiría [que alguien] instalara un dispositivo que inspeccione el tráfico de cada usuario simplemente para frenar la piratería en Internet” afirma. “Esto equivaldría a considerar sospechosos a todos los usuarios”, puntualiza Schulze.

Aún si el marco legal permitiese usar esta tecnología, ésta no está del todo lista. Las pruebas del sistema (cuyos detalles se publicarán este año en el libro Advances in Digital Forensics V) muestran que fue efectiva al detectar el 99% de los archivos ilegales, pero solamente a velocidades de 100 megabits por segundo.

Eso resulta demasiado lento para propósitos comerciales o legales, según Anderson. Schulze se muestra de acuerdo y agrega: “en la actualidad se requiere un gigabit por segundo o diez gigabits por segundo para monitorear una red”. Además, para Schulze no está claro que el sistema pueda producir positivos falsos, es decir, catalogar un archivo legal como ilegal.

Otra desventaja es que el sistema no puede manejar los archivos codificados. “Hoy en día, alrededor del 25% del tráfico de BitTorrent es codificado”, según Schulze. Si una herramienta como esta se utilizase masivamente, cualquiera que tuviera algo para esconder casi seguro que empezaría a codificar todo” concluye.