Registros de auditoría inmutables: definición
Los registros de auditoría inmutables, o Immutable Audit Logs, son un registro de eventos del sistema y operativos diseñado para que, una vez creada una entrada, no pueda eliminarse ni modificarse sin dejar rastro. En la práctica, esto implica aplicar mecanismos técnicos y organizativos que garanticen la integridad, la trazabilidad y la verificabilidad del historial de operaciones. En entornos que procesan fotografías y grabaciones de vídeo, estos registros no documentan el contenido de la imagen en sí, sino las acciones realizadas sobre archivos, tareas y la configuración del sistema.
En el contexto de la anonimización de fotos y vídeos, los registros de auditoría inmutables sirven para demostrar quién, cuándo y con qué base inició el proceso de difuminado de rostros o matrículas, qué archivo se procesó, qué versión del modelo de detección se utilizó, cuál fue el resultado de la operación y si el operador realizó correcciones manuales. Esto es relevante para el principio de responsabilidad proactiva del art. 5.2 del RGPD, que exige que el responsable del tratamiento pueda demostrar la conformidad del tratamiento con la normativa. El propio RGPD no impone una tecnología concreta de inmutabilidad, pero sí exige medidas de seguridad adecuadas, incluida la garantía de la integridad y confidencialidad del tratamiento, así como la resiliencia de los sistemas y servicios: art. 5.1.f y art. 32 del RGPD, Reglamento (UE) 2016/679.
Un registro de auditoría inmutable no es lo mismo que un registro de aplicación convencional. Los logs habituales pueden sobrescribirse, acortarse mediante rotación o eliminarse por un administrador. Un log inmutable debe resistir este tipo de acciones, por ejemplo mediante el uso de almacenamiento WORM, cadenas criptográficas de hash, firmas digitales, sellos de tiempo cualificados u otros sellos de tiempo fiables, o controles de retención a nivel de sistema de archivos u objeto.
El papel de los registros de auditoría inmutables en la anonimización de fotos y vídeos
En los procesos de anonimización de imágenes, la auditoría es importante no solo para la seguridad de TI, sino también para el cumplimiento normativo y la calidad operativa. El Delegado de Protección de Datos o el auditor debe poder reconstruir el curso de las operaciones sin acceder a los propios datos personales, salvo que sea necesario.
En la práctica, los registros de auditoría inmutables respaldan varias áreas al mismo tiempo:
- responsabilidad proactiva: demostrar que el material fue anonimizado antes de su cesión o publicación,
- integridad del proceso: confirmar que el resultado no fue sustituido tras la anonimización,
- control de acceso: registrar qué usuario abrió la tarea, aprobó el resultado o realizó una edición manual,
- forense digital: análisis de incidentes, errores de detección y acciones no autorizadas,
- gestión del modelo de IA: vincular el resultado con una versión concreta del modelo de detección de rostros o matrículas.
En un sistema como Gallio PRO, el log de auditoría debe referirse a las operaciones sobre tareas de anonimización y a la administración del sistema. De acuerdo con los requisitos, el producto no debe registrar logs que contengan las propias detecciones de rostros y matrículas ni otros datos personales, si no son necesarios para la finalidad de auditoría. Esto significa que el diseño del registro debe separar los datos probatorios del contenido que podría ampliar el alcance del tratamiento de datos personales.
Qué eventos deben registrarse en el log de auditoría
El alcance del registro debe limitarse a la información necesaria para la auditoría, la seguridad y la demostración de conformidad. En entornos de procesamiento de fotos y grabaciones de vídeo, conviene registrar metadatos operativos y no el contenido de la imagen.
Evento | Campos de ejemplo | Finalidad de auditoría
|
|---|---|---|
Creación de tarea | ID de tarea, identificador de archivo, usuario, hora UTC | establecer el inicio del proceso |
Inicio de la anonimización | tipo de operación, versión del modelo, configuración del desenfoque | vincular el resultado con los parámetros de procesamiento |
Corrección manual | usuario, alcance de la corrección, hora, motivo | documentar la intervención del operador |
Exportación del resultado | formato de salida, suma de verificación del archivo, destinatario | rastrear la entrega del material |
Cambio de permisos | administrador, rol antes y después del cambio | control de seguridad y segregación de funciones |
Tecnologías utilizadas para garantizar la inmutabilidad
La inmutabilidad no deriva del simple hecho de registrar un log. Debe imponerse mediante la arquitectura del sistema. Lo más habitual es aplicar varias capas de protección al mismo tiempo para dificultar tanto la modificación accidental como la falsificación deliberada de los registros.
- WORM - Write Once Read Many. Una vez escritos, los datos no pueden modificarse durante el periodo de retención. Este mecanismo se utiliza en memorias ópticas, cabinas de almacenamiento y repositorios de objetos.
- Hash chaining - cada entrada contiene el hash de la entrada anterior. La modificación de un solo registro rompe la cadena de integridad.
- Firma digital - la entrada o el lote de logs se firma con una clave privada, lo que permite detectar manipulaciones.
- Sello de tiempo cualificado u otro sello de tiempo fiable - confirma la existencia de la entrada en un momento determinado.
- Almacenamiento de auditoría separado - los logs se envían a un repositorio con permisos administrativos diferenciados.
En la práctica, la verificación de integridad puede basarse en funciones hash de la familia SHA-2. FIPS 180-4, NIST, define, entre otros, SHA-256 y SHA-512 como algoritmos hash estándar. Para firmas y sellos de tiempo son aplicables los documentos ETSI del ámbito de los servicios de confianza, incluidos ETSI EN 319 421 y ETSI EN 319 422 para políticas y requisitos de las autoridades de sellado de tiempo. Si los logs se almacenan en sistemas en la nube o de objetos, también son importantes las políticas de retención y el bloqueo de eliminación a nivel de soporte.
Parámetros y métricas clave de los registros de auditoría inmutables
La evaluación de la calidad de los registros de auditoría inmutables no debe limitarse a constatar que existen. Se necesitan parámetros medibles que puedan verificarse durante una auditoría o una prueba de seguridad.
Parámetro | Significado | Ejemplo de interpretación
|
|---|---|---|
Retención | tiempo mínimo de conservación de las entradas | por ejemplo, 12, 24 o 36 meses según la política de la organización |
RPO de los logs | pérdida admisible de entradas tras un fallo | 0 o cercano a 0 para eventos críticos |
Latencia de escritura | tiempo entre el evento y la persistencia del log | segundos o menos en sistemas de alta confianza |
Tasa de verificación de integridad | porcentaje de registros verificados correctamente de forma criptográfica | 100% para un control completo de consistencia |
Cobertura de eventos | porcentaje de operaciones críticas cubiertas por la auditoría | debe abarcar todo el ciclo de anonimización |
En entornos regulados también se utilizan los conceptos complete, consistent, enduring y available, así como attributable, legible, contemporaneous, original y accurate, conocidos como ALCOA+. Aunque el término procede de sectores regulados, estructura muy bien los requisitos aplicables a los logs de auditoría también fuera de ellos.
Importancia para la IA utilizada en el difuminado de rostros y matrículas
El difuminado automático de rostros y matrículas se basa en modelos de detección de imagen, normalmente entrenados mediante deep learning. El propio modelo de IA no garantiza ni el cumplimiento normativo ni la auditabilidad. Es necesario vincular el resultado con una versión concreta del modelo, la configuración del umbral de detección y las decisiones del operador.
En los logs conviene registrar, entre otros:
- el identificador y la versión del modelo,
- la fecha de despliegue del modelo en el entorno de producción,
- los parámetros de ejecución, por ejemplo el umbral de confidence, si es configurable,
- la información sobre si el resultado fue corregido manualmente,
- la suma de verificación del archivo de entrada y de salida.
Estos datos no deberían incluir las propias coordenadas de detección si la política de minimización de datos excluye registrar información que permita reconstruir la presencia de personas o vehículos concretos. Esta distinción es importante: la auditoría del proceso no exige conservar datos que aumenten el riesgo para la privacidad.
Retos y limitaciones
Un registro de auditoría inmutable no resuelve todos los problemas. Si el sistema registra un evento erróneo, el log conservará fielmente el error. Si no se ha diseñado el alcance adecuado de eventos, el análisis posterior será incompleto. Además, un registro demasiado amplio puede dar lugar a un tratamiento excesivo de datos personales.
Los problemas más frecuentes son:
- falta de sincronización horaria entre los nodos del sistema,
- rotación de logs sin mantener la cadena de integridad,
- cuentas de administrador compartidas, que debilitan la responsabilidad proactiva,
- registro de datos que no es necesario conservar desde el punto de vista de la auditoría,
- ausencia de un procedimiento de verificación periódica de firmas y hashes.
Referencias normativas y estándares
Al diseñar y evaluar registros de auditoría inmutables, conviene basarse en documentos fuente. No todos utilizan expresamente el término immutable audit logs, pero sí definen requisitos relativos a integridad, responsabilidad, registro de eventos y protección de logs.
- RGPD - Reglamento (UE) 2016/679, art. 5.1.f, art. 5.2, art. 24, art. 32.
- ISO/IEC 27001:2022 - requisitos para un sistema de gestión de la seguridad de la información.
- ISO/IEC 27002:2022 - controles de seguridad, incluidos registro, monitorización y protección de la información.
- NIST SP 800-92, Guide to Computer Security Log Management, 2006 - gestión de logs de seguridad.
- NIST SP 800-53 Rev. 5, 2020 - controles AU relativos a auditoría y trazabilidad.
- FIPS PUB 180-4, NIST, 2015 - Secure Hash Standard.
- ETSI EN 319 421 y ETSI EN 319 422 - requisitos para servicios de sellado de tiempo.