Negación plausible en apps: qué es y por qué importa
La negación plausible significa que la existencia de datos ocultos no puede probarse.
La negación plausible en cifrado es la propiedad que permite a un usuario negar de manera creíble la existencia de ciertos datos cifrados. El almacenamiento cifrado parece contener solo los datos que el usuario elige revelar. Un examinador forense, una parte coercitiva o cualquiera con acceso físico al dispositivo no puede probar que existen datos ocultos adicionales. Esto no es una función de ocultamiento. Es una propiedad matemática del propio esquema de cifrado.
Esta guía explica cómo funciona la negación plausible en apps, la diferencia entre la negación criptográfica genuina y los modos señuelo cosméticos, escenarios del mundo real donde importa y cómo evaluar las afirmaciones de negabilidad.
Qué significa la negación plausible en cifrado
En el lenguaje cotidiano, la negación plausible significa que puedes negar algo de manera creíble. En criptografía, significa que la existencia de datos ocultos no puede probarse, ni siquiera por un experto con tiempo ilimitado y herramientas forenses.
El concepto se originó en el cifrado de disco. TrueCrypt (y su sucesor VeraCrypt) fue pionero del volumen oculto: un volumen cifrado dentro de otro volumen cifrado. Una contraseña revela el volumen exterior con archivos inocuos. Una contraseña diferente revela el volumen interior oculto con archivos sensibles. Un examinador forense no puede determinar si existe un volumen oculto porque el espacio no utilizado en el volumen exterior está lleno de datos aleatorios que son indistinguibles de los datos cifrados.
Para las apps, la negación plausible significa que diferentes credenciales (contraseñas, PINs, patrones) abren diferentes conjuntos de datos, y no hay metadatos, registro, indicador de configuración ni artefacto estructural que revele la existencia de conjuntos de datos adicionales.
Negabilidad genuina vs. modos señuelo cosméticos
Esta es la distinción crítica que la mayoría de las apps se equivoca.
Modo señuelo cosmético (no es negabilidad real)
Muchas apps de almacén ofrecen una función de "señuelo" o "PIN falso". Estableces un PIN secundario que abre un espacio separado con diferentes fotos. El problema: estas apps típicamente almacenan un indicador booleano, una entrada de base de datos o un archivo de configuración que indica que el modo señuelo existe y está configurado.
Un examinador forense que entiende la app puede encontrar este indicador. Encontrar un modo señuelo configurado prueba que existen datos ocultos. La negabilidad es cosmética — funciona contra un espía casual pero falla bajo examen forense.
Señales de negabilidad cosmética:
- La app tiene un interruptor de "modo señuelo" en los ajustes
- Un archivo de configuración almacena si el modo señuelo está activado
- Una tabla de base de datos lista los IDs de almacén con indicadores de tipo (principal/señuelo)
- La estructura de almacenamiento de la app cambia cuando se activa el modo señuelo
- Desinstalar y reinstalar la app revela comportamiento diferente cuando el modo señuelo estaba configurado
Negabilidad criptográfica genuina
La negabilidad genuina es una propiedad arquitectónica, no un interruptor de función. El almacenamiento cifrado debe estar diseñado de modo que:
Cada credencial abre un conjunto de datos válido. No hay error de "contraseña incorrecta" para credenciales que abren almacenes ocultos. Cualquier combinación válida de patrón/contraseña produce una clave que descifra algo.
No existe ningún registro de almacenes. La app no puede enumerar cuántos almacenes existen. No hay recuento, índice ni lista de IDs de almacenes. Un examinador forense que examina el almacenamiento de la app encuentra un grupo indiferenciado de datos cifrados.
Ningún indicador de configuración revela almacenes ocultos. No hay booleano, entrada de base de datos ni archivo de preferencias que indique si existen almacenes adicionales.
El almacenamiento está rellenado. El almacenamiento total consumido no cambia según el número de almacenes o archivos. Sin relleno, un examinador podría estimar el número de almacenes a partir del tamaño total de los datos cifrados frente al contenido visible.
Los datos cifrados son indistinguibles del ruido aleatorio. No hay límites de archivos, encabezados ni marcadores estructurales que revelen dónde terminan los datos de un almacén y comienzan los de otro.
| Propiedad | Señuelo cosmético | Negabilidad genuina |
|---|---|---|
| Datos separados por credencial | Sí | Sí |
| Sin registro de almacenes | No (la base de datos rastrea almacenes) | Sí |
| Sin indicadores de configuración | No (interruptor de señuelo almacenado) | Sí |
| Relleno de almacenamiento | Raramente | Sí |
| Sobrevive a examen forense | No | Sí |
| Arquitectónico vs. función | Interruptor de función | Propiedad arquitectónica |
Escenarios del mundo real donde esto importa
La negación plausible no es una preocupación teórica. Aborda situaciones documentadas y recurrentes del mundo real.
Cruces fronterizos
En los Estados Unidos, la Aduana y Protección Fronteriza puede legalmente obligar al acceso al dispositivo en la frontera. Los tribunales han dictaminado que los agentes fronterizos pueden exigir contraseñas para la inspección del dispositivo. En este escenario, un usuario con negación plausible genuina puede proporcionar un patrón/contraseña que abre un almacén con contenido inocuo. El examinador no puede probar que existan otros almacenes.
Abuso doméstico y relaciones coercitivas
Alguien en una relación abusiva puede necesitar almacenar evidencia (fotos de lesiones, mensajes amenazantes, documentos legales) en un dispositivo que el abusador monitorea. Si el abusador exige ver el almacén, el usuario puede abrir un almacén con contenido no sensible. Sin negabilidad genuina, un indicador de "modo señuelo" en la configuración de la app revelaría la existencia de contenido oculto.
Robo de dispositivo
Un ladrón con habilidades técnicas podría intentar extraer datos de un teléfono robado. Con negabilidad genuina, el grupo de datos cifrados no revela nada sobre el número de almacenes, su contenido ni su propósito.
Protección legal y periodística
Los periodistas que protegen fuentes, los abogados que protegen archivos de clientes y los activistas en regímenes autoritarios enfrentan escenarios donde el contenido del dispositivo puede ser forzado. La negabilidad genuina proporciona una defensa creíble contra la incautación de datos.
Cómo Vaultaire implementa la negación plausible
Vaultaire logra negación plausible criptográfica genuina mediante diseño arquitectónico:
Cada patrón abre un almacén diferente. La cuadrícula de 5x5 produce una clave mediante PBKDF2. Un patrón diferente produce una clave diferente. No hay clave maestra, ni lista de almacenes, ni forma para que la app enumere los almacenes existentes. Dibujar un patrón sin almacén asociado simplemente abre un espacio de almacén vacío — no hay error de "patrón incorrecto".
Sin registro de almacenes. La app no tiene base de datos que liste almacenes, nombres de almacenes ni recuentos de almacenes. Todos los datos cifrados existen en un único grupo de almacenamiento indiferenciado. Un examinador forense con acceso ilimitado al sistema de archivos del dispositivo encuentra bloques cifrados sin marcadores estructurales que indiquen límites de almacenes.
Relleno de almacenamiento. El tamaño total del almacenamiento permanece constante independientemente del recuento de almacenes o archivos, frustrando el análisis de uso de disco.
Sin indicadores de configuración. No hay archivo de ajustes, entrada de preferencias ni registro de base de datos que revele cuántos almacenes existen ni si algún patrón específico ha sido usado.
Modo de coacción. Los usuarios pueden designar un almacén como almacén de coacción. Dibujar ese patrón abre el almacén normalmente mientras simultánea y silenciosamente destruye las sales criptográficas de todos los demás almacenes. La destrucción es irreversible, no deja rastro forense y tarda menos de un segundo.
Cómo evaluar afirmaciones de negabilidad
Cuando una app afirma negación plausible, pregunta:
- ¿Hay un interruptor de "modo señuelo"? Si hay uno, es cosmético. Un examinador forense puede encontrar el interruptor.
- ¿La app tiene una lista de almacenes o una base de datos? Si es así, la existencia del almacén es demostrable.
- ¿Hay un error de "contraseña incorrecta"? Si es así, la app puede distinguir entre credenciales válidas e inválidas, lo que significa que almacena algo que valida credenciales.
- ¿Cambia el consumo de almacenamiento con el recuento de almacenes? Si es así, el análisis de disco puede estimar el recuento de almacenes.
- ¿Puede la app enumerar almacenes? Si la app puede mostrarte una lista de tus almacenes, esa lista existe en el dispositivo y es detectable.
Preguntas frecuentes
¿Es legal la negación plausible?
Usar cifrado con negación plausible es legal en la mayoría de las democracias. No hay ley contra tener datos cifrados en tu dispositivo cuya existencia no puede probarse. En algunas jurisdicciones (Reino Unido bajo RIPA, Australia bajo la Ley de Asistencia y Acceso), las autoridades pueden compeler la divulgación de claves de cifrado. La pregunta legal es si obligar a divulgar una clave para datos cuya existencia no puede probarse es ejecutable. Esto sigue siendo un área del derecho en desarrollo.
¿Pueden las herramientas forenses detectar la negación plausible?
Las herramientas forenses profesionales (Cellebrite, GrayKey, Magnet AXIOM) pueden detectar que Vaultaire está instalado y que existen datos cifrados. No pueden determinar cuántos almacenes existen, qué contienen ni si existen almacenes adicionales más allá de los que se revelan. Los datos cifrados son indistinguibles del ruido aleatorio. Esto está verificado por diseño, no afirmado por política.
¿Funciona la negación plausible contra un estado nación decidido?
Contra criptoanálisis (romper el cifrado): sí. AES-256 no es descifrable por ninguna capacidad de estado nación conocida. Contra la coerción (obligarte a revelar patrones): la negación plausible significa que puedes revelar un almacén mientras niegas de manera creíble que existan otros. Contra la explotación del dispositivo (usar un zero-day para extraer datos de un dispositivo en funcionamiento): si el dispositivo está desbloqueado y el almacén está abierto, los datos descifrados están en la memoria y son teóricamente accesibles. La negación plausible protege los datos en reposo, no los datos en uso activo.
¿Cuál es la diferencia entre negación plausible y almacenes ocultos?
Los almacenes ocultos son almacenes que no son visibles en la interfaz de la app. La negación plausible es la propiedad de que la existencia de almacenes ocultos no puede probarse. Una app puede tener almacenes ocultos sin negación plausible (si un registro de almacenes o un indicador de configuración los revela). Vaultaire proporciona ambos: los almacenes están ocultos por defecto y su existencia es improbable por diseño.
¿Puedo usar la negación plausible con copias de seguridad en la nube?
En Vaultaire, las copias de seguridad cifradas de iCloud contienen todo el grupo de almacenamiento cifrado. La copia de seguridad es un único blob cifrado. Preserva la negación plausible porque la propia copia de seguridad no contiene ninguna estructura a nivel de almacén — es el mismo grupo cifrado indiferenciado que en el almacenamiento del dispositivo.
Conclusión
La negación plausible en cifrado significa que la existencia de datos ocultos no puede probarse, incluso bajo examen forense. La mayoría de las apps que afirman esta función ofrecen modos señuelo cosméticos con indicadores de configuración detectables. La negabilidad genuina requiere ningún registro de almacenes, ningún indicador de configuración, relleno de almacenamiento y datos cifrados arquitectónicamente indistinguibles.
Vaultaire implementa negación plausible criptográfica genuina como propiedad arquitectónica: cada patrón abre un almacén diferente, no hay lista de almacenes, el almacenamiento está rellenado y ninguna otra app de almacén cifrado hace esto.