Hacia una unión privada mejorada y resistente a fugas

Por qué compartir listas puede amenazar la privacidad

Muchas organizaciones mantienen listas sensibles —como direcciones IP sospechosas, identificadores de clientes o participantes de estudios médicos— que quisieran combinar con la lista de otra parte sin exponer sus propios datos. Una herramienta llamada unión privada de conjuntos promete precisamente eso: permite a dos partes obtener la lista combinada de elementos únicos, pero nada más. Este artículo muestra que incluso las versiones más avanzadas de esta herramienta pueden filtrar de forma silenciosa información adicional mientras se ejecutan, e introduce un nuevo diseño que conserva los beneficios y reduce drásticamente esos riesgos ocultos y el coste computacional.

Lo que la unión privada de conjuntos intenta proteger

Imagine dos empresas comparando listas negras de ciberataques. Cada una quiere acabar con la lista completa de todas las direcciones IP sospechosas vistas por cualquiera de las partes, para poder defender mejor sus redes. Al mismo tiempo, los métodos de detección de cada empresa —y por tanto su lista negra exacta— son secretos comerciales. Si alguien pudiera inferir qué direcciones tiene o no tiene la otra, podría descubrir esos métodos. Los protocolos clásicos de unión privada de conjuntos ya ocultan la solapación directa entre listas, pero investigaciones recientes han revelado que aún pueden dar pistas durante la propia computación o mediante patrones en cómo se organizan los elementos en estructuras de datos internas.

Fugas ocultas en métodos rápidos anteriores

Los esquemas escalables anteriores dependían de una receta que primero comprobaba, elemento por elemento, si cada elemento de una lista aparecía en la otra, y luego usaba esas respuestas para entregar solo los elementos “nuevos”. Trabajos posteriores mostraron que este proceso revela, antes de que el protocolo termine, cuántos elementos comparten las listas. Un participante curioso puede explotar esto abortando y volviendo a ejecutar el protocolo con entradas ligeramente modificadas, aprendiendo gradualmente qué elementos específicos se solapan. Otros esquemas rápidos usaban hashing —colocando elementos en cubetas según una función hash— para organizar los datos. Una vez que una parte aprende qué elementos de la otra son únicos, puede cruzar el patrón de cubetas llenas y vacías para deducir qué elementos propios definitivamente no aparecen en la otra lista, una forma de fuga basada en hash.

Bloquear elementos tras disfraces aleatorios

El nuevo protocolo aborda ambos problemas a la vez. Antes de cualquier hashing, cada parte ejecuta un intercambio criptográfico que transforma cada elemento en un token de aspecto aleatorio. La propiedad crucial es que elementos idénticos de las dos listas se convierten en tokens idénticos, mientras que elementos distintos producen tokens no relacionados —y ninguna de las partes aprende la clave secreta que vincula los tokens con los valores reales. Estos tokens disfrazados se colocan después en tablas basadas en hash y pasan por una serie de pasos aleatorizados y cuidadosamente estructurados que deciden, en efecto, si los tokens coinciden, sin revelar qué token está en qué cubeta. Repetir este proceso con nueva aleatoriedad en cada ejecución evita que un atacante correlacione información entre múltiples ejecuciones.

Reducir costes con una estructura de datos más inteligente

La seguridad por sí sola no basta si un protocolo es demasiado pesado para usarse a escala. Los autores rediseñan por tanto uno de los componentes más costosos: un módulo interno que antes dependía de un primitivo criptográfico por lotes para comparar muchos elementos a la vez. Lo sustituyen por un almacén de clave‑valor oblivioso «bidireccional», una estructura compacta que permite a una parte codificar pares clave‑valor de modo que la otra pueda consultarlos sin aprender nada más que si una clave está presente. Al organizar dos codificaciones de este tipo para que interactúen, el protocolo puede detectar cuándo los tokens coinciden entre las dos listas evitando trabajo en cubetas vacías o ficticias. Este cambio reduce tanto la cantidad de datos enviados por la red como el tiempo de cómputo, especialmente en listas grandes.

Qué muestran los experimentos en la práctica

Para probar sus ideas, los autores implementaron su protocolo y lo compararon con el mejor diseño existente de unión privada de conjuntos mejorada bajo los mismos objetivos de privacidad más estrictos. En una amplia gama de tamaños de lista y condiciones de red, su método redujo consistentemente la comunicación entre aproximadamente 1,1 y 3 veces y aceleró el tiempo de ejecución en torno a 1,0 a 1,7 veces. Es importante que estas ganancias se mantienen incluso tras añadir la capa criptográfica extra que previene la fuga basada en hash, que los esquemas eficientes anteriores ignoraban. Los resultados sugieren que una protección más fuerte no tiene por qué implicar una gran penalización de rendimiento.

Por qué esto importa para el intercambio de datos en el mundo real

En términos sencillos, este trabajo muestra cómo dos partes pueden combinar listas sensibles limitando drásticamente lo que cada una puede inferir sobre los datos de la otra —incluso a partir de efectos secundarios sutiles durante el protocolo—. Al disfrazar los elementos antes del hashing y usar estructuras internas más frugales, el nuevo diseño cierra canales de fuga conocidos y sigue siendo lo bastante rápido para conjuntos de datos muy grandes. Esto hace que la unión privada de listas negras, identificadores de clientes u otros identificadores sea más práctica para empresas e instituciones que necesitan colaborar sin exponer los patrones dentro de sus propios datos.

Cita: Liu, Q., Bae, J. & Lee, JW. Towards an improved efficient leakage-resilient enhanced private set union. Sci Rep 16, 10134 (2026). https://doi.org/10.1038/s41598-026-40531-5

Palabras clave: unión privada de conjuntos, privacidad de datos, protocolos criptográficos, compartición segura de datos, resiliencia a fugas