ANALISIS DE TRFICO

DEFINICION

Proceso de inferir informacin a partir de las caractersticas del trfico de comunicacin

sin analizar la informacin que se intercambian los comunicantes. Para obtener
informacin podemos basarnos por ejemplo en el origen y destino de las
comunicaciones, su tamao, su frecuencia, la temporizacin, patrones de comunicacin,
entre otros.
El origen del anlisis de trfico se encuentra en el anlisis de los trficos de informacin
que tradicionalmente se ha hecho para aplicaciones militares. Este tipo de sistemas
tradicionalmente infieren informacin a partir del anlisis de las seales de
comunicacin. Hoy da el anlisis de trfico es muy til para inferir informacin a partir
del trfico que hay en las redes de comunicaciones.
EN LAS SEALES ELECTROMAGNETICAS
El origen de la realizacin de anlisis del trfico sobre seales electromagnticas que
transportan informacin hay que buscarlo en la Primera Guerra Mundial. En ella se
estudiaba la dinmica de las comunicaciones militares para a partir de ellas deducir
informacin. Por ejemplo se poda deducir informacin sobre los movimientos de
tropas, localizacin de cuarteles generales o cadenas de mando de las tropas. Este tipo
de tcnicas tenan la ventaja de deducir informacin sin necesidad de acceder al
contenido del mensaje en s, el cual estaba normalmente cifrada u ofuscada.
En el contexto militar, el anlisis de trfico es una parte bsica de la inteligencia de
seales.
Ejemplos
Como ejemplos tpicos de aplicacin del anlisis del trfico de las seales podemos ver:
Si detectamos frecuentes comunicaciones puede significar que se est planeando
algo.
Si detectamos comunicaciones rpidas y cortas puede significar negociaciones.
Si detectamos falta de comunicaciones puede indicar la falta de actividad o que
la realizacin del plan ha finalizado.
Si detectamos frecuentes comunicaciones a una estacin especfica desde una
estacin central puede indicar un algo cargo de la cadena de mando.
Si detectamos quien habla con quien podemos averiguar que estaciones estn al
mando o la estacin de control. Esto implica qu personal se comunica a travs
de cierta estacin.

 Si detectamos quien habla y cuando podemos saber que estaciones estn activas
cuando estn sucediendo ciertos eventos, lo cual puede implicar algo sobre la
informacin que se est transmitiendo y quiz algo sobre el personal asociado a
dicha estacin.
Si detectamos cambios frecuentes de estacin y/o del medio utilizado para la
comunicacin, podramos deducir posibles movimientos o miedo a la
intercepcin.
EN LAS REDES DE COMUNICACIONES
El anlisis del trfico infiere informacin a partir las caractersticas observables de
los datos que circulan por la red. Por ejemplo, puede ser interesante el tamao de los
paquetes o la temporizacin de los mensajes. Este tipo de tcnicas pueden ser
utilizadas por atacantes para deducir tamaos de claves durante sesiones interactivas
o para deducir el origen y destino de una comunicacin. Tambin puede ser
utilizada por administradores de red para descubrir actividades potencialmente
maliciosas.
Por tanto la seguridad informtica se ocupa del estudio de las tcnicas de anlisis de
trfico y de contramedidas para protegernos de dicho tipo de tcnicas
La eleccin de la caracterstica del trfico que es usada en el anlisis de trfico
depende fuertemente del tipo de informacin que queremos inferir y de los
protocolos subyacentes involucrados. Por ejemplo:
Para detectar una comunicacin de voz sobre ip nos podemos basar en las
temporizaciones de los mensajes. En efecto los protocolos de voz sobre ip enva
paquetes a intervalos fijos de tiempo para asegurarse una calidad de llamada.
Para deducir que informacin est accedindose va SSL podemos usar el
tamao de los paquetes. Esto es debido a que el tamao de los paquetes SSL
frecuentemente es similar al tamao de los contenidos en texto plano.
Ejemplos
El idioma usado en llamadas por VoIP
Contraseas utilizadas para el acceso a SSH.
Hbitos de navegacin web
Menoscabar el anonimato en redes que intentan proveer comunicacin sin que
un observador pueda saber que entidades se estn comunicando (anonimato a
nivel de red) (Darknets). (Red Oscura Para Compartir Informacin Y
Contenidos Digitales).
Descubrir potenciales usos maliciosos de la red. Por ejemplo es tpico el uso de
anlisis de trfico para detectar ataques que se realizan a desde mquinas
intermedias previamente comprometidas(los llamados en ingls steeping stones).

 Clasificacin de flujos de trfico cifrados. Se establece que aplicacin o tipo de

aplicacin los genera.