Whitepaper ALYBI v1
1. Qué problema resuelve ALYBI
Las fotos y videos usados como evidencia (seguros, legal, inspecciones, denuncias) pueden ser alterados o compartidos por canales que los recomprimen (p. ej. WhatsApp). No existe una forma sencilla de demostrar que un archivo es la captura original y no ha sido modificada. ALYBI ofrece captura con sello criptográfico y verificación pública sin subir el archivo a un servidor.
2. Qué garantiza ALYBI
- Integridad técnica: Si la verificación muestra “Coincidencia exacta”, el archivo es bit a bit igual al registrado; no se ha alterado.
- Similitud visual: Si muestra “Coincidencia visual”, el archivo corresponde a la misma evidencia registrada según comparación por hash perceptual (dHash), útil tras recompresión (p. ej. WhatsApp).
- Trazabilidad: Metadatos (hora UTC, ubicación, dispositivo) forman parte del sello y se pueden exportar para auditoría.
- Verificación sin confianza en el servidor: Los hashes se calculan en el cliente (web o app); el backend solo almacena hashes, no multimedia.
3. Qué NO garantiza ALYBI
- ALYBI no garantiza la verdad fáctica de lo que muestra la imagen (qué ocurrió en la realidad). Solo garantiza que el archivo no ha sido modificado desde el sellado (o que es visualmente el mismo).
- ALYBI no sustituye peritaje, asesoría legal ni políticas de retención de evidencias de cada organización. La admisibilidad en juicio depende de la jurisdicción y del profesional.
- El sello visible (logo, QR) es un indicador de origen, no la prueba; la prueba es el resultado de la verificación (ver Por qué confiar).
4. Arquitectura de alto nivel
App móvil: Captura foto/video → cálculo de SHA-256, dHash y metadatos → firma con clave por dispositivo (Ed25519) → sello embebido y/o exportado (.alybi, ZIP). Opcional: registro en backend (solo hashes + firma).
Backend (Modelo 2): Firestore: evidencePublic (hashes, sin ownerId, lectura pública para verificación web), evidencePrivate (ownerId, firma; solo owner). Escritura solo vía Cloud Functions tras validar firma. No se almacena multimedia.
Web de verificación: Usuario sube archivo o abre enlace con ?h=, ?ph=, ?id=. Cálculo de SHA-256 y dHash en el navegador; comparación con referencia (enlace o consulta a evidencePublic). Resultado: Coincidencia exacta / Coincidencia visual / Sin coincidencia.
5. Privacidad
No guardamos multimedia. En el backend solo se almacenan: identificador de evidencia, SHA-256, hash perceptual (dHash), tipo de medio, fecha, y en la parte privada el ownerId y la firma. Las fotos y videos permanecen en el dispositivo del usuario o donde él los comparta. La verificación en web puede realizarse subiendo el archivo al navegador (cálculo local) o consultando solo hashes contra el registro público.
6. Casos de uso reales
- Inspecciones y siniestros: Captura de daños o estado con sello; envío por WhatsApp al asegurador; verificación en web para confirmar que la imagen no fue alterada.
- Pruebas en contextos legales: Evidencia con metadatos y firma; exportación forense (ZIP) para peritos o abogados; verificación pública del hash.
- Compliance y auditoría: Registro de hashes y timestamps; solicitud de original al dueño (Pro/Enterprise) con trazabilidad.
- Prensa y fact-checking: Imágenes con sello ALYBI y enlace de verificación; cualquiera puede comprobar coincidencia exacta o visual.
7. Esquema técnico (resumen)
Sello: SHA-256 del archivo; SHA-256 de metadatos; firma Ed25519 con clave por dispositivo. Hash perceptual (dHash 9×8) para verificación tolerante a recompresión. Umbrales: distancia Hamming ≤ 8 (coincidencia visual alta), ≤ 12 (media).
Verificación web: Por enlace (?h=, ?ph=, ?id=), por archivo .alybi (extracción JPEG hasta EOI) o por imagen sin enlace (dHash + consulta a evidencePublic). Video: extracción de frames y comparación con videoFrameHashes.