source: libros/maquetacion/capitulo1/conceptosBasicos.tex @ 4bb7b3c

En este capítulo se pretende explicar el tema de la identidad digital (ID). Se presentan varias definiciones para poner en contexto al lector. Inicialmente se muestran conceptos sobre la propia \textit{Identidad Digital}, luego se explican términos relevantes como el de \textit{rol, identidad parcial, manejo de la identidad}, y la \textit{protección de la identidad}, que involucra el área de la \textit{privacidad, anonimato, seudonimato, certificación y \index{firma electrónica}}.

\section{Identidad Digital ID}
\label{conceptos}
Los siguientes conceptos se utilizaron como base en el trabajo \cite{maestriaRSumoza} y se presentan de manera resumida a continuación:

\begin{enumerate}
\item Es el conjunto de datos que describen y representan a un sujeto: persona, grupo de personas o cosas de manera única. Puede contener información sobre gustos, creencias, relaciones, tendencias, ideologías, y cualquier otro descriptor vinculado al sujeto. 
\item Es la suma de toda la información disponible en formato digital de un sujeto (persona, grupo de personas, cosas).
\item Puede ser explicada como una percepción única o exclusiva de vida, con su integración a un grupo social, y con continuidad, la cual está acotada y formada por una sociedad. La identidad puede estar ligada a cualquier sujeto, ya sean seres humanos, personas jurídicas, y dispositivos electrónicos.
\item La identidad es un conjunto de atributos pertenecientes a un individuo que permiten diferenciarlo del resto de individuos que forman parte de un conjunto determinado. Por esta razón no existe una identidad única y universal, sino que pueden existir varias para un mismo individuo, según el conjunto y contexto al que se haga referencia. Incluso los valores de los atributos y los atributos mismos pueden cambiar en el tiempo.
\item La identidad digital denota la atribución de propiedades a una persona, los cuales son, desde el punto de vista técnico, operacionalmente accesible de forma inmediata, por su característica digital. El identificador de una identidad parcial digital puede ser una dirección de correo electrónico en un grupo de noticias o en una lista de correos.
\end{enumerate}

\subsection{Identidad Parcial} Una identidad parcial es un subconjunto de atributos del conjunto que compone la identidad completa, formada por la unión de todos los atributos de esta persona. Desde un punto de vista técnico, estos atributos constituyen datos. Como se mencionó anteriormente estos atributos y valores pueden variar en el tiempo. Un seudónimo puede considerarse como una identidad parcial. 
%A pesar de que una identidad parcial no permite caracterizar a un individuo de forma única dentro de un conjunto específico, si puede, según la cantidad de a\-tri\-bu\-tos contenidos en el subconjunto, hacer posible tener varios contextos de aplicación del anonimato. 
La identidad de cada persona está compuesta por muchas identidades parciales, las cuales representan a la persona en un contexto o rol específico.

%\subsection{Sociedad Digital}
%Es un concepto moderno de sociedad progresiva que se forma como resultado de la adopción e integración de las TIC en ámbitos de hogar, de trabajo, de %educación, de recreación. Las personas interactúan a través de diversos tipos de actividades, como el pago de los diversos servicios públicos, la gestión de sus cuentas, el pago de los impuestos, el acceso a información de su interés, el registro de empresas, obtención de tarjetas de identificación, autenticación, transacciones financieras, registros médicos, situación laboral, revisión de oportunidades de empleo, etc. 

\subsection{Rol}  
Desde el punto de vista de la sociología un rol o rol social constituye un conjunto de acciones conectadas o relacionadas, conceptualizadas por los actores en una situación social. Es frecuente definirlo como un comportamiento esperado en un contexto individual social dado.

El Rol en Informática es un término vinculado a la Seguridad de las TICs y su significado es el de la función que un usuario tiene al utilizar un sistema. Las funciones les dan acceso a diferentes niveles de seguridad.

\subsection{Manejo de la ID}
En identidad digital se logra distinguir entre dos instancias de los sujetos (personas, grupos de personas o cosas), la primera es la definición de sí mismo (auto-definición interior y personal), y la segunda que los define en un contexto social con sus respectivos atributos, y que se mantiene para dar la posibilidad del acceso a la comunicación y que los ata de cierta manera a un control y un grado de consistencia con respecto al resto.

El manejo de la ID implica la gestión de varias identidades parciales (usualmente denotadas por seudónimos) de un individuo. Establecer la reputación es posible cuando un individuo re-utiliza las identidades parciales. Un pre-requisito para la selección de una identidad parcial es el de conocer el contexto en el que la persona está actuando.

\subsubsection{Sistema de manejo de la identidad}\hfill\\
Se refiere a la administración y diseño de los atributos de las identidades. Se puede distinguir entre un sistema de manejo de identidad y una aplicación para el manejo de la identidad: La primera puede ser entendida como una infraestructura, y la segunda como un conjunto de componentes coordinados entre sí. Las aplicaciones para el manejo de la identidad son herramientas para manejar individualmente sus comunicaciones relevantes, las cuales pueden ser configuradas y operadas en el lado de los usuarios o en el lado de los servidores. El manejo de la identidad, soportado técnicamente, tiene que autorizar a los usuarios para reconocer diferentes tipos de comunicaciones o situaciones sociales, y acceder a ellas con respecto a su relevancia, funcionalidad y al nivel de riesgo de la privacidad y seguridad en función de hacer y asumir roles de forma adecuada. 

En general, las aplicaciones para el manejo de la identidad, específicamente en cuanto al manejo de las identidades parciales, representan los diferentes seudónimos con su respectivos datos de acuerdo a los diferentes roles que el usuario ha asumido y de acuerdo a los diferentes patrones de comunicación. En los casos donde se hace explícito el flujo de los datos personales, donde se le permite al usuario tener un mayor grado de control, la guía principal es la de “reconocer y escoger” su propia identidad, y se procura minimizar la cantidad de los datos utilizados. De acuerdo a una situación y contexto específico, tal sistema le da soporte al usuario en la selección de seudónimos que representen a sus identidades parciales.

\section{Protección de la ID}

Ya establecido el contexto terminológico, es importante mencionar que la gestión o manejo de la ID depende de las tecnologías de información y comunicación (TIC), las cuales involucran niveles de riesgos, vulnerabilidades, etc. que aumentan el uso y desarrollo de técnicas, protocolos, mecanismos, etc enfocados en su protección.

\subsection{Certificación Electrónica} \hfill\\

Uno de los mecanismos comunes para establecer identidades digitales es a través 
de la certificación electrónica, esta comprende la gestión de procesos en los que
se emplean elementos como software, dispositivos y documentación de políticas 
que permiten establecer identidad digitales a individuos o dispositivos. La 
certificación electrónica se usa en organizaciones privadas o públicas, 
dentro de los países y a nivel mundial.

Los elementos que se gestionan en los procesos de la certificación electrónica 
se describen con mayor detalle en la sección \ref{subsection:tecnicasDeVerificacionDeIdentidad}.
En los capítulos \ref{capitulo5} y \ref{capitulo6} de la segunda parte de
este libro, se presentan aportes concretos de la Fundación CENDITEL sobre 
certificación electrónica.

\subsection{Firma Electrónica}\hfill\\

Similar a la firma autógrafa de un ser humano, la \index{firma electrónica} es un mecanismo 
para establecer la voluntad de aceptación del contenido de un documento en formato
electrónico y por lo tanto establece una herramienta muy útil para la gestión de la
ID. Se apoya en los procesos y elementos empleados en la certificación 
electrónica para permitir que un individuo o dispositivo pueda firmar 
electrónicamente cualquier documento, archivo o cadena de bytes.

En la sección \ref{subsection:tecnicasDeVerificacionDeIdentidad} se presenta con
mayor detalle la noción de firma electrónica. En el capítulo \ref{capitulo6} 
de la segunda parte de este libro, se presenta un aporte de la Fundación CENDITEL
 sobre el uso de firmas electrónicas avanzadas en la gestión de procesos organizacionales.

\subsection{Registro del comportamiento} \hfill\\
 
\subsubsection{Análisis de Tráfico} \hfill\\

Tal como se menciona en \cite{traffic_analysis} el Análisis de Tráfico tuvo sus orígenes durante la Segunda Guerra Mundial, incluyendo su relación con el ataque que se hizo sobre Pearl Harbour. Actualmente Google utiliza los enlaces de incidencia para evaluar la importancia de las páginas web, las compañías de tarjetas de crédito examinan las transacciones para descubrir patrones de gastos fraudulentos. La idea de fondo de esta técnica radica en que durante el tráfico de datos se pueden registrar el tiempo y la duración de la comunicación, y se examina esta información para determinar la forma detallada del flujo de datos, las identidades de las partes que se comunican,
y lo que puede ser establecido sobre su ubicación. Incluso los datos pueden ser poco precisos o estar incompletos, y simplemente a través del conocimiento de patrones típicos de comunicación se podría inferir sobre una comunicación en particular que se esté observando.
 
Esta técnica a pesar de que obtiene información de menor calidad en comparación a la obtenida con las técnicas del criptoanálisis, es mucho más fácil, barata y viable en cuanto a la extracción y procesamiento del tráfico de datos. El Análisis de Tráfico ha inspirado a otras técnicas utilizadas para la protección de sistemas, y para la construcción de sistemas de confianza. En cuanto al Análisis de Tráfico del protocolo de seguridad SSH (cónsola de comandos segura, o SSH por sus siglas en inglés), a pesar que ofrece comunicaciones seguras para acceder a terminales remotos a través de un proceso de autenticación que utiliza mecanismos de clave pública, y que luego de este proceso toda la información viaja cifrada garantizando su confidencialidad e integridad, en \cite{timing_ssh} se muestra que aun existe gran cantidad de información que se deja pasar sin ocultarse. En su modo interactivo, el protocolo SSH transmite cada pulsación de tecla como un paquete distinto y de esta forma la longitud de la clave puede 
ser trivialmente descubierta. Además, dado que la distribución de los 
teclados no es aleatoria, y que las claves con frecuencia están basadas en palabras reales, el tiempo exacto de las pulsaciones de teclas está relacionado a qué tan rápido un carácter particular puede ser tipeado después de otro. Esto implica que al haber una suficiente variabilidad entre los patrones de tipeo de las personas entonces existe la posibilidad de identificarlos, particularmente después de observar una secuencia larga. 
 
El Análisis de Tráfico de los protocolos introducidos para proveer accesos web privados (Secure Sockets Layer o SSL y el Transport Layer Security o TLS), se basa en estudiar la información que aun deja escapar este protocolo cuando se establece una comunicación web hacia un servidor. Los navegadores solicitan recursos, que son normalmente páginas HTML, y éstas a su vez están asociadas a otras recursos adicionales como imágenes, tablas, etc., las cuales pueden ser descargadas a través de enlaces cifrados, pero su tamaño aun puede ser determinado por el observador, quien puede inferir cuáles páginas están siendo accedidas (por ejemplo podrá inferir cuáles reportes de una compañía están siendo descargados). Incluso, estudiando el comportamiento de los sistemas de almacenamiento local de las páginas visitadas en la web (web cache) puede inferirse cuáles sitios web se han accedido con sólo reconocer el patrón de almacenamiento en los cache de cada uno.
 
Se puede determinar la identificación de los dispositivos en la red sólo con estudiar el comportamiento y las características particulares de los cambios del reloj en cada dispositivo.

\subsection{Privacidad vinculada a la ID}
\label{privacidad}
La privacidad está vinculada a la información proveniente de cualquier fuente que se relacione a un individuo y que éste desea que no se divulgue públicamente. Esta información puede estar contenida en los perfiles que se tienen del individuo. Estos perfiles son conjuntos de atributos que se consideran identidades parciales de las personas. Cuando terceros (atacantes) crean a través de ataques como el Análisis de Tráfico, sin autorización, estos perfiles de las personas para realizar hechos negativos (no deseados) contra los mismos, se considera que existe una vulnerabilidad que debe ser protegida. Es por eso que en el contexto de la Idenidad Digital, y su protección, están involucradas las técnicas y procedimientos para proteger la Privacidad, y puntualmente se puede hablar de Anonimato al procurar evitar la creación de dichos perfiles sin autorización.

\subsubsection{Anonimato} \hfill\\
\label{anonimato}
Se vincula a los usuarios (sujetos) que utilizan un sistema de comunicación, y que en general puede decirse que un sujeto es anónimo cuando no puede ser identificado dentro de un conjunto de sujetos, denominado el conjunto anónimo. Este conjunto está conformado por todos los posibles sujetos que pueden causar (o estar relacionados con) una acción. "No ser identificado" significa que ese sujeto no puede ser caracterizado de forma única o particular dentro de ese conjunto. Un sujeto actúa anónimamente cuando, desde el punto de vista del adversario, su acción no puede relacionarse con su identidad, dado que hay un conjunto de sujetos que podrían ser los causantes potenciales de la acción (y el adversario no puede distinguir a su verdadero causante). El anonimato debe permitirle a un sujeto utilizar un recurso o servicio sin revelar su identidad, esto implica que el anonimato por si mismo no procura proteger la identidad de un usuario en un ámbito general, lo que pretende es evitar que otros usuarios o sujetos 
no puedan determinar la identidad de un usuario cuando éste genera una acción u operación en particular.

\subsubsection{Seudonimato} \hfill\\
La palabra seudónimo proviene del griego (“pseudonumon”) la cual significa “nombre falso”, es decir, un nombre distinto al “nombre real”. Sin embargo, como el “nombre real” tiene también un origen arbitrario, el nombre de seudónimo puede ser extendido a todos los identificadores o cualquier otra cadena de bits que identifique a un sujeto. Tal como se expresa en \cite{rlsm:terminology}, los seudónimos son identificadores (nombres u otras cadenas de bits) de sujetos. Para el caso que se está tratando, son los identificadores de los emisores y receptores de mensajes. Es posible que en algunos casos convenga agrupar los nombre reales en un conjunto distinto al de los “nombres falsos” (no considerados reales), pero en otros casos un “nombre real” puede ser considerado como un seudónimo que resulta de un selección inicial, para la identificación de un sujeto. Incluso, en gran parte de la literatura excluyen la fracción que le da el nombre de “falso” (“pseudo”), y sólo utilizan, para referirse a nombres de 
seudónimos, la palabra \textit{nyms}. Desde un punto de vista más básico (fundamental), un seudónimo puede ser considerado como un tipo de atributo del sujeto, que puede ser controlado por el diseñador de sistemas o por
el mismo usuario.

Se pueden generalizar los seudónimos como identificadores de sujetos particulares o conjuntos de sujetos que son sus contenedores. En las configuraciones tradicionales se asume que cada seudónimo se refiere a un solo contenedor, invariante sobre el tiempo, el cual no puede ser transferido a otros contenedores. Algunos tipos especiales de seudónimos pueden ser solamente extendidos y transferidos a otros contenedores, por ejemplo, un seudónimo de grupo se refiere a un conjunto de contenedores, y un seudónimo transferible puede ser transferido de un contenedor a otro. Utilizando la noción de seudónimo de grupo, se podría inducir el conjunto anónimo: Utilizando la información provista por el seudónimo solamente, un atacante no podría decidir si una acción fue ejecutada por una persona específica dentro del conjunto.

En resumen, utilizando un criterio formal, un seudónimo se puede considerar como el estado de utilizar un “nombre falso” como identificación (ID), y seudonimato se puede definir como el proceso donde se utilizan los seudónimos como identificadores. El seudonimato tiene como uno de sus principales objetivos el permitirle a un usuario utilizar un recurso o servicio sin tener que revelar su verdadera identidad, y sin quitarle la responsabilidad sobre el uso del mismo.

Es evidente, por definición, que el anonimato y la responsabilidad son extremos opuestos con respecto a la relacionabilidad de los sujetos, sin embargo, a través del uso del seudonimato se procura establecer un punto intermedio para cumplir con ambas partes: Responsabilizar a los usuarios (sujetos) de sus acciones y evitar que se revele su identidad. Incluso utilizando el mismo seudónimo, le puede permitir al sujeto tener cierto nivel de reputación (esto suponiendo que existen los mecanismos adecuados para poder autenticar los mensajes enviados por el contenedor del seudónimo). Además, existen configuraciones de sistemas anónimos que permiten evitar el abuso en su utilización, pudiendo revelarse, en ciertos casos, la identidad del usuario que haya incurrido en cualquier tipo de acciones no permitidas (esto en el supuesto que sólo determinadas autoridades certificadas pueden revelar esta identidad).

El seudonimato del emisor se define como el uso de seudónimos por parte del emisor, y el seudonimato del receptor se define como el uso de seudónimos del receptor. En la figura \ref{seudonimato} se representa esta noción de seudonimato (extraida de \cite{rlsm:terminology}).

Cuando se utilizan “nombres falsos” como etiquetas que identifican a un sujeto, es conveniente considerar cómo se trata o maneja la responsabilidad y la autorización. Es decir, los seudónimos digitales pueden ser utilizados para autenticar los mensajes, ya que un seudónimo digital es una cadena de bits que dentro de este contexto es un único ID del sujeto, el cual puede ser utilizado para autenticar el ítem de interés o IDI del contenedor relativo a su seudónimo, esto implica que la responsabilidad puede ser manejada a través del uso de seudónimos. Sin embargo, puede no ser suficiente para alcanzar este tipo de gestión de la responsabilidad, por tal motivo en algunos casos prácticos, es necesario acompañar al seudónimo con otro tipo de pruebas de validez (tales como firmas digitales), y/o utilizar terceras partes (autoridades de certificación digital) que le den validez a los seudónimos.


\begin{figure}[h]
\begin{center}
\includegraphics[scale=1]{imagenes/seudonimato.JPEG}
\caption{Seudonimato}
\label{seudonimato}
\end{center}
\end{figure}


Se pueden considerar las siguientes definiciones del seudonimato con respecto al anonimato:

\begin{description}
\item[Seudónimo público:] La relación entre un seudónimo y su contenedor puede ser de conocimiento público, por ejemplo podría estar en una lista o directorio público.
\item[Seudónimo no público:]  La relación inicial del seudónimo y su contenedor puede ser conocida por ciertas partes (entidades de control o administración centralizada o descentralizada), pero no son del conocimiento público.
%\item[Seudónimo no relacionado inicialmente:] La relación inicial entre un seudónimo y su contenedor es, al menos en el inicio, desconocida para cualquiera, con la posible excepción del contenedor mismo.
\end{description}
 
%Los seudónimos públicos y los seudónimos no relacionados inicialmente son los extremos que pudiesen ser análogos con la responsabilidad y el anonimato mencionados anteriormente, es decir, el anonimato es más fuerte mientras menos se relacione al contenedor con su seudónimo, decrece en caso contrario. Esto quiere decir, que el nivel de anonimato dependerá de la relación relativa que el atacante le de al seudónimo con respecto a su contenedor.

También se pueden considerar otros tipos de seudónimos:

\begin{description}
\item[Seudónimo personal:] Es un subtítulo para el nombre del contenedor el cual está relacionado con su identidad civil por ejemplo el número de la cédula de identidad o pasaporte. 
\item[Seudónimo por rol:] Está limitado a roles específicos, es decir, su asignación está relacionada a los roles que desempeña el contenedor. Por ejemplo, los seudónimos que comúnmente se utilizan bajo el rol de “usuario de Internet” comúnmente son denominados “nombre de usuarios”.
%\item[Seudónimo por relación:]  Diferentes seudónimos pueden ser utilizados para establecer las asociaciones en pares dependiendo de los pares conformados para las comunicaciones.
%\item[Seudónimo por relación y por rol:]  Son seudónimos asignados se\-gún el rol que desempeña cada par que se comunica. Es decir, que un mismo contenedor puede utilizar varios seudónimos, dependiendo del rol que desempeñe tanto él como su homólogo en la comunicación.
\item[Seudónimo por transacción:] Un mismo contenedor podría tener un seudónimo por cada transacción que realice.
\end{description}

El nivel de anonimato en relación al tipo de estrategia de utilización de seudónimos se representa en la figura \ref{seudonimato-anonimato}.


\begin{figure}[h]
\begin{center}
\includegraphics[scale=1]{imagenes/seudonimatoAnonimato.JPEG}
\caption{Seudonimato con respecto al Anonimato}
\label{seudonimato-anonimato}
\end{center}
\end{figure}


En general, el anonimato del seudónimo por rol, y del seudónimo por relación es más fuerte que el anonimato debido al uso de seudónimos personales. La fortaleza del anonimato se incrementa con la aplicación de seu\-dó\-ni\-mos por rol y relación. El ultimo nivel de fortaleza se consigue utilizando los seudónimos por transacción dado que no existe información sobre la relación entre cada una de las transacciones. En ocasiones, se utiliza el nombre de seu\-dó\-ni\-mo de un solo uso para denotar los seudónimos por transacción. La fortaleza del anonimato antes mencionada se refiere a que desde un punto de partida se define que el mayor nivel (fortaleza) de anonimato se logra cuando no se proporciona información sobre la identidad en absoluto. En otras palabras, el anonimato es más fuerte mientras menos datos personales del contenedor puedan ser relacionados al seudónimo, y mientras los seudónimos sean utilizados con menor frecuencia (estos es cuando un mismo contenedor utiliza un mayor número de seudónimos).

Un seudónimo digital se puede conformar con el uso de algún mecanismo de clave pública utilizado para probar las firmas digitales, donde los contenedores del seudónimo pueden probar que son los verdaderos “dueños” del seudónimo solamente cons\-tru\-yen\-do una firma digital creada con su clave privada. En la mayoría de los casos los seudónimos digitales son las mismas claves públicas generadas por los propios usuarios.

Un certificado de clave pública contiene una firma digital de una determinada autoridad de certificación que provee algún tipo de seguridad cuando un mismo sujeto utiliza la clave pública para otro de sus seudónimos. En el caso de que el seudónimo provenga del nombre real de un sujeto, se le llama certificado de identidad. Un certificado de atributo es un certificado digital que contiene más cantidad de información (atributos) y claramente se refiere a un certificado específico de clave pública. Independientemente de los certificados, los atributos también pueden ser utilizados como identificadores de conjuntos de sujetos, no sólo de sujetos particulares.

\subsubsection{No relacionabilidad}\hfill\\
La no relacionabilidad sólo tiene sentido práctico si previamente se han definido las propiedades del anonimato, seudonimato y no-observabilidad de dichos sistemas, y se han caracterizado las entidades o ítems de interés que se desean relacionar (por parte del atacante). En \cite{rlsm:terminology} se menciona que las entidades o ítems de interés (IDI) son sujetos, mensajes, eventos, acciones, etc. La relacionabilidad se considera a la información que se tiene sobre la relación real que existe entre los IDIs, es decir, que en todos los casos reales existirá cierta relación entre ellos y la relacionabilidad es la información respecto a ésta. Por ende, la no relacionabilidad, desde la perspectiva del adversario, significa que la información obtenida después de un ataque es la misma información que se tenía antes del mismo, es decir, los IDIs no están ni más ni menos relacionados comparando el periodo anterior y posterior al ataque. Desde la perspectiva probabilística, la no relacionabilidad significa que la 
probabilidad de que dos o más ítems de interés están relacionados (desde la perspectiva del atacante) es la misma antes y después del ataque.

La no relacionabilidad debe implicar que el usuario puede hacer múltiples usos de un recurso o servicio sin que esto conlleve a que el adversario pueda establecer una relación entre estos usos, es decir, requiere que los usuarios y/o los sujetos no tengan la disponibilidad de determinar que cierto usuario fue el causante de cierta acción en el sistema.

Si se considera que el envío y recepción de mensajes son los IDIs, el anonimato puede ser definido como la no relacionabilidad de uno de ellos con cualquier identificador de un sujeto (en este caso un emisor o un receptor). Específicamente, el anonimato de un IDI es la no relación con cualquier sujeto y el anonimato de un sujeto es su no relación con cualquier de ellos. De esta manera se puede considerar anonimato del emisor como las propiedades que hacen que un emisor no pueda ser relacionado a cualquier mensaje, y que un mensaje no pueda ser relacionado a un emisor.

De igual forma, el anonimato del receptor significa que un mensaje no puede ser relacionado a cualquier receptor, y un receptor no puede ser relacionado a cualquier mensaje. La relación de anonimato es la imposibilidad de determinar quién se comunica con quién, es decir, el emisor y el receptor son no relacionables.

La no relacionabilidad es una condición suficiente para el anonimato, pero no es una condición necesaria. Incluso en algunos casos se puede considerar que aun fallando la propiedad de la no relacionabilidad se puede conseguir un nivel de anonimato alto. Esto si se hace referencia a la definición estricta del anonimato: no poder ser identificado dentro de un conjunto de sujetos.

\subsubsection{No observabilidad}\hfill\\
En contraste con la definición de anonimato, y la de no relacionabilidad, donde se considera la protección de la relación del IDIs con respecto a los sujetos o a otros IDIs, la no observabilidad considera la protección de los IDIs en sí mismos, ya que se define como el estado de que un IDI sea indistinguible entre un conjunto de IDIs del mismo tipo (el “tipo” lo definen las características de interés en cada caso, por ejemplo, considerar la emisión de mensajes como un IDI, tiene su características propias, que hacen que se pueda diferenciar de otro tipo de IDI). Por ejemplo, se podría decir que al ser no observable, no es posible distinguir entre un mensaje y el ruido aleatorio.

Semejante al caso del anonimato, también se tienen conjuntos de sujetos no observables con respecto a esta propiedad, es decir, el conjunto de emisores no observables tiene la propiedad que cada emisor no puede ser distinguido del resto, el conjunto de receptores no observables tiene la propiedad de no poderse distinguir, desde el punto de vista del atacante, a un receptor del resto de los receptores de ese conjunto. La relación de no observabilidad de esta forma significa que no es posible distinguir entre un emisor y un receptor que intercambian un mensaje, es decir, si se considera un mensaje en particular entonces el conjunto de la relación de no observabilidad está compuesto por todos los posibles pares emisor-receptor, entre los cuales no se podría diferenciar o determinar que existe una relación de envío-recepción. En la figura \ref{conjuntos_no_observables} se puede observar gráficamente la configuración de dichos conjuntos.

Desde una perspectiva de usuario, la no observabilidad se podría definir como la propiedad de que un usuario pueda utilizar un recurso o servicio sin que otros (terceras partes) tenga la posibilidad de determinar que el recurso o servicio está siendo utilizado.


\begin{figure}[h]
\begin{center}
\includegraphics[scale=1]{./imagenes/conjuntosNoObservables.JPEG}
\caption{Conjuntos No Observables}
\label{conjuntos_no_observables}
\end{center}
\end{figure}






%\section{Legislación vinculada a la ID}