Inference Attack: definición
El Inference Attack (ataque de inferencia) es una categoría de ataques que consiste en extraer la identidad, atributos o el hecho de que una persona participe en un conjunto de datos a partir de señales indirectas, incluso cuando los datos han sido anonimizados o enmascarados. En un enfoque normativo, este concepto corresponde al riesgo de inferencia y de vinculación de conjuntos de datos descritos en las normas ISO/IEC 20889:2018 y NISTIR 8053:2015, así como al riesgo de la llamada inferibilidad señalado por el Grupo de Trabajo del Artículo 29 (WP29) en su opinión sobre técnicas de anonimización de 2014 (WP216). En el contexto de imagen y vídeo, incluye, entre otros, los intentos de determinar la identidad de una persona a pesar de tener el rostro difuminado o de inferir datos a partir del contexto del encuadre, los metadatos o el comportamiento del sistema.
El papel de los ataques de inferencia en la anonimización de imágenes y vídeo
En el procesamiento de visión por computador, un ataque de inferencia se produce cuando, a pesar del difuminado de rostros o matrículas, es posible llegar a la identidad o a atributos personales a través de otras características: vestimenta, forma de andar, silueta, relaciones espaciales, reflejos, sonido, subtítulos, así como a través del propio modelo de IA (por ejemplo, sus respuestas o parámetros). Las técnicas de deep learning son esenciales para construir modelos de detección de rostros y matrículas que alimentan el proceso de difuminado. Sin embargo, las mismas clases de modelos pueden utilizarse de forma ofensiva (por ejemplo, para la reconstrucción o la clasificación de atributos), lo que crea un vector de Inference Attack contra materiales ya procesados.
El riesgo depende en gran medida del modelo del atacante: su acceso a los originales, el grado de procesamiento aplicado (intensidad del difuminado, tamaño de la máscara), la coherencia del enmascarado en el tiempo y el posible acceso a los parámetros del modelo utilizado para la anonimización. La reducción de la superficie de ataque se consigue mediante el procesamiento on‑premise y la ausencia de recopilación de registros que contengan detecciones u otras señales identificativas.
Tecnologías y vectores de ataque (Inference Attack)
Los ataques de inferencia en imagen y vídeo abarcan distintas clases de amenazas. La siguiente tabla organiza los principales tipos y su contexto en la anonimización de rostros y matrículas.
Tipo de ataque | Descripción breve | Ejemplo en imagen/vídeo | Fuente de datos del atacante
|
|---|---|---|---|
Vinculación de conjuntos (linkage) | Unión de datos de otra fuente para identificar a una persona | Correspondencia de silueta, vestimenta y ubicación con grabaciones de redes sociales | Imágenes públicas, registros de eventos, geolocalización |
Inferencia de atributos | Deducción de características personales a partir del contexto y rasgos secundarios | Identificación del lugar de trabajo por un logotipo en la ropa o del rol por un uniforme | Rasgos visuales fuera del rostro o matrícula enmascarados |
Inversión de modelo | Reconstrucción de información sobre los datos de entrada a partir del modelo | Reconstrucción aproximada del aspecto de un rostro desde un modelo de reconocimiento | Pesos del modelo, interfaz de predicción |
Membership inference | Determinación de si una imagen formó parte del conjunto de entrenamiento | Detección de que un rostro concreto se utilizó para entrenar el modelo | Estadísticas de respuesta del modelo, probabilidades |
Desofuscación | Intento de reconstruir el contenido difuminado | Uso de superresolución o GAN para aproximar rasgos faciales | Imagen procesada, modelos SR/GAN |
El riesgo de membership inference ha sido demostrado en la literatura para modelos de machine learning, entre otros por Shokri et al. 2017 (IEEE S&P) y Nasr et al. 2019 (IEEE S&P). Los riesgos específicos del vídeo relacionados con la desofuscación y la filtración de atributos en materiales procesados han sido analizados, entre otros, por Raval, Machanavajjhala y Pan (NDSS 2017), así como en estudios de reguladores sobre la eficacia de la anonimización.
Parámetros y métricas clave para la evaluación del riesgo
La evaluación de la vulnerabilidad a un Inference Attack debe combinar métricas de privacidad y de utilidad. En la práctica, conviene medir los siguientes valores y atributos.
- Attack Success Rate (ASR): porcentaje de inferencias exitosas, ASR = número de inferencias correctas / número de intentos. Aplicable a identificación, atributos y pertenencia a conjuntos.
- AUC / TPR-FPR para ataques de membership inference: medidas de la capacidad de distinguir las respuestas del modelo entre datos de entrenamiento y datos externos (Shokri et al., 2017).
- Similitud de embeddings faciales antes y después del procesamiento: por ejemplo, distancia coseno entre vectores de un modelo ArcFace; una menor similitud indica un menor riesgo de reidentificación.
- Cobertura de la máscara e intensidad del difuminado: porcentaje de la superficie del rostro o matrícula cubierta por la máscara y parámetros del filtro (por ejemplo, tamaño del kernel, desviación estándar gaussiana). Una mayor cobertura y un difuminado más fuerte suelen reducir la eficacia de la desofuscación.
- Recall de la detección de objetos a anonimizar: proporción de rostros o matrículas detectados en todos los fotogramas. Los errores de no detección (FNR) crean los vectores de identificación más graves.
- Estabilidad temporal del enmascarado: coherencia de la posición y el tamaño de la máscara en fotogramas consecutivos para evitar la exposición parcial durante el movimiento.
- Métricas de utilidad: por ejemplo, mAP de tareas de detección de objetos no personales tras el procesamiento, para controlar el equilibrio privacidad‑utilidad.
Retos y limitaciones en imagen y vídeo
Los casos más complejos son aquellos en los que la identidad puede reconstruirse a partir de elementos distintos del rostro o la matrícula. El reconocimiento de personas sin rostro visible, la identificación por la forma de andar y la correlación espacio‑temporal entre fuentes incrementan el riesgo de inferencia. Un enmascarado deficiente (demasiado pequeño, inestable o con poca intensidad de difuminado) o la conservación de metadatos identificables también lo aumentan. Por el contrario, un procesamiento excesivamente agresivo puede impedir el objetivo del material (por ejemplo, una auditoría de seguridad).
Desde la perspectiva del cumplimiento del RGPD, el objetivo es alcanzar un estado en el que la identificación de una persona ya no sea posible mediante medios razonablemente probables (RGPD, considerando 26). Las directrices del WP29/EDPB (2014, WP216) subrayan los riesgos de inferencia y de vinculación de conjuntos de datos para la eficacia de la anonimización. En la práctica, la difusión de la imagen de una persona requiere, por regla general, su consentimiento, con las excepciones previstas en el derecho civil y de autor (persona pública, imagen como elemento accesorio de un conjunto, remuneración por posar).
Ejemplos de uso y buenas prácticas para reducir el riesgo
En los sistemas de difuminado de rostros y matrículas conviene combinar medidas técnicas y organizativas. A continuación se presenta un conjunto conciso de prácticas relevantes para los ataques de inferencia.
- Enmascarado fuerte y completo de las regiones sensibles: máscara que cubra todo el rostro o toda la matrícula, estable en el tiempo y con un margen adecuado. Un rectángulo negro o una pixelación intensa reducen significativamente el riesgo de reconstrucción en comparación con un difuminado ligero (WP29, 2014).
- Eliminación o normalización de metadatos: EXIF, geolocalización y marcas de tiempo que facilitan la vinculación de conjuntos de datos.
- Limitación del contexto del encuadre: al publicar, encuadrar de forma prudente para evitar elementos reconocibles de vestimenta, identificadores o reflejos.
- Fortalecimiento de modelos: regularización y técnicas de privacidad (por ejemplo, entrenamiento con privacidad diferencial) en modelos de aprendizaje automático para reducir el riesgo de membership inference y de inversión de modelos.
- Procesamiento on‑premise y ausencia de registros innecesarios: la minimización de interfaces expuestas y la eliminación de registros con resultados de detección reducen la superficie de ataque.
- Modo manual para elementos no detectados automáticamente: logotipos, tatuajes, identificadores nominales y contenidos de pantallas deben enmascararse manualmente en un editor si pueden permitir inferencias.
En herramientas de la clase Gallio PRO, la automatización se centra en rostros y matrículas, que corresponden a los vectores de identificación dominantes en materiales visuales. La ausencia de procesamiento en tiempo real no afecta al modelo de riesgo de Inference Attack en archivos finales, pero simplifica el control de acceso y la cadena de procesamiento.
Referencias normativas y fuentes
- RGPD - Reglamento (UE) 2016/679, considerando 26 y artículo 4: definición de datos personales y criterio de identificabilidad. Fuente: EUR-Lex.
- WP29 (actualmente EDPB), Opinion 05/2014 on Anonymisation Techniques (WP216), 10.04.2014: riesgos de singling-out, linkability e inferibilidad en la anonimización. Fuente: archivos de la Comisión Europea.
- ISO/IEC 20889:2018, Privacy enhancing data de-identification: terminología y clasificación de técnicas, definiciones y clases de ataques en el contexto de la desidentificación.
- ISO/IEC 27559:2022, Privacy enhancing data de-identification framework: marco para la evaluación del riesgo y la eficacia de la desidentificación.
- NISTIR 8053:2015, De-Identification of Personal Information: riesgos de reidentificación e inferencia y prácticas de mitigación.
- Shokri et al., Membership Inference Attacks Against Machine Learning Models, IEEE S&P 2017.
- Nasr, Shokri, Houmansadr, Comprehensive Privacy Analysis of Deep Learning, IEEE S&P 2019.
- Raval, Machanavajjhala, Pan, What You Mark Is What You Get, NDSS 2017.