Privacy Against Agnostic Inference Attacks in Vertical Federated Learning

Este artículo propone un nuevo ataque de inferencia agnóstico en el aprendizaje federado vertical que permite a la parte activa inferir datos de la parte pasiva sin conocer sus puntuaciones, y presenta esquemas de preservación de privacidad que distorsionan los parámetros de la parte pasiva para equilibrar la protección de la privacidad con la interpretabilidad del modelo.

Lo esencial

¡Claro que sí! Imagina que este artículo de investigación es como una historia de detectives, pero en lugar de resolver un crimen, están tratando de proteger secretos en un mundo de inteligencia artificial.

Aquí tienes la explicación de "Privacidad contra Ataques de Inferencia Agnóstica en el Aprendizaje Federado Vertical", traducida a un lenguaje sencillo y con analogías divertidas.

---

🕵️‍♂️ El Escenario: Dos Vecinos y un Secreto Compartido

Imagina que tienes dos vecinos:

1. El Banco (La Parte Activa): Tiene los nombres de las personas y sabe quién pagó su tarjeta de crédito y quién no (los "etiquetas" o resultados). Pero no sabe mucho sobre la vida diaria de esas personas.
2. La App FinTech (La Parte Pasiva): Tiene los datos de qué tiendas visitan, cuánto gastan y qué ropa compran (las "características" o datos privados). Pero no sabe quién es quién ni quién pagó su tarjeta.

Para predecir quién es un buen cliente, ambos quieren trabajar juntos sin compartir sus secretos. Esto se llama Aprendizaje Federado Vertical. Es como si el Banco y la App construyeran un "abogado digital" juntos: el Banco pone la conclusión final, y la App pone los detalles de la vida diaria.

⚠️ El Problema: El Detective que Adivina (El Ataque "Agnóstico")

Hasta ahora, pensábamos que el riesgo era que el Banco viera los resultados exactos de la App para adivinar los secretos. Pero este paper descubre un nuevo tipo de detective muy astuto.

La nueva amenaza:
El Banco (el atacante) dice: "No necesito que me digas los resultados de la App para adivinar sus secretos. ¡Yo puedo construir mi propio modelo de inteligencia artificial con mis propios datos!".

• La analogía: Imagina que el Banco tiene una lista de clientes y sabe quiénes pagaron. Entrena a un "robot" propio para predecir eso. Luego, el Banco usa su propio robot para adivinar qué respuesta daría el modelo conjunto.
• El truco: Una vez que el Banco tiene esa respuesta "adivinada", puede usar matemáticas para reconstruir los datos privados de la App FinTech (como cuánto dinero tiene la gente o qué compran).
• Por qué es "Agnóstico": Se llama "agnóstico" porque el atacante no necesita saber la respuesta real del modelo conjunto (la "verdad absoluta"). Le basta con su propia "adivinación" para empezar a robar información. Es como si un detective pudiera resolver un crimen solo con su intuición, sin necesidad de ver la escena del crimen real.

El resultado: ¡Peligro! Incluso si la App FinTech nunca envió sus datos reales al Banco, el Banco podría reconstruirlos usando solo su propia inteligencia y un poco de adivinanza.

🛡️ La Solución: El Disfraz Matemático (Esquemas de Privacidad)

El paper propone una solución brillante. En lugar de intentar ocultar los resultados (lo cual a veces no funciona), proponen disfrazar las reglas del juego (los parámetros del modelo).

La analogía del disfraz:
Imagina que la App FinTech tiene un manual de instrucciones (sus parámetros) que le dice al Banco cómo interpretar los datos.

• Sin protección: El Banco lee el manual tal cual y descubre los secretos.
• Con protección (PPS): La App FinTech toma su manual y lo distorsiona matemáticamente. Cambia un poco las palabras o las reglas, pero de una manera muy inteligente.

¿Qué logra esto?

1. El Banco sigue entendiendo: El manual disfrazado sigue siendo lo suficientemente claro para que el Banco sepa por qué tomó una decisión (ej. "Rechazamos la tarjeta porque el gasto en ropa fue alto"). Esto es la interpretabilidad.
2. El Banco no puede adivinar: Pero, si intenta usar ese manual disfrazado para reconstruir los datos privados (el dinero exacto, la dirección), la matemática falla. El "disfraz" hace que las adivinanzas del Banco sean totalmente incorrectas.

Es como si la App FinTech le diera al Banco un mapa con una brújula que apunta un poco hacia el norte en lugar del sur. El Banco puede navegar y llegar a su destino (tomar la decisión), pero si intenta usar el mapa para encontrar la casa secreta del vecino, terminará en medio del océano.

⚖️ El Equilibrio: ¿Cuánto disfraz es suficiente?

El paper explica que hay un balance (un "trade-off"):

• Si el disfraz es muy fuerte, el Banco no puede adivinar nada (mucha privacidad), pero el manual se vuelve tan raro que el Banco no entiende por qué tomó la decisión (poca interpretabilidad).
• Si el disfraz es muy suave, el Banco entiende todo, pero puede adivinar los secretos (poca privacidad).

La propuesta es encontrar el punto dulce: un nivel de distorsión que haga que el Banco se quede "a medias" satisfecho. Suficiente para entender la decisión, pero no suficiente para robar los datos.

🧪 Los Resultados: ¿Funciona?

Los autores probaron esto con datos reales (como datos bancarios y de imágenes).

• El ataque: Descubrieron que el ataque "agnóstico" funciona muy bien. El Banco puede reconstruir datos privados con bastante precisión usando solo sus propias adivinanzas.
• La defensa: Cuando aplicaron el "disfraz matemático", la capacidad del Banco para adivinar los secretos cayó drásticamente, casi a cero, mientras que el modelo seguía funcionando bien para tomar decisiones.

🎯 En Resumen

Este paper nos dice:

1. Cuidado: En la colaboración de IA, incluso si no compartes tus datos directamente, el otro lado podría "adivinarlos" usando su propia inteligencia y un poco de suerte.
2. Solución: No basta con ocultar los resultados. Hay que modificar las reglas internas del modelo de forma inteligente.
3. Objetivo: Crear un sistema donde ambos lados ganen: el que tiene los datos privados los protege, y el que toma las decisiones sigue entendiendo por qué las toma.

Es como poner un filtro de realidad aumentada en una conversación: puedes seguir hablando y entendiendo el mensaje, pero nadie puede escuchar tus secretos más profundos.

Resumen técnico

1. Problema: Ataques de Inferencia Agnóstica en VFL

El artículo aborda una vulnerabilidad crítica en el Aprendizaje Federado Vertical (VFL). En un escenario VFL típico:

• Dos partes colaboran: una parte activa (que posee las etiquetas de verdad fundamental o ground truth) y una parte pasiva (que posee un conjunto de características o features diferentes para las mismas muestras).
• Se entrena un modelo global (en este caso, regresión logística) de manera colaborativa.
• Tradicionalmente, se ha asumido que los ataques de inferencia (donde la parte activa intenta reconstruir las características privadas de la parte pasiva) requieren que la parte activa tenga acceso a las puntuaciones de confianza (confidence scores) exactas o perturbadas de las muestras objetivo durante la fase de predicción.

La novedad del problema:
El autor propone un nuevo tipo de ataque llamado "Ataque de Inferencia Agnóstica". En este escenario, la parte activa (el adversario) no necesita conocer las puntuaciones de confianza de las muestras objetivo (ni de entrenamiento ni de predicción futura).

• Mecanismo: La parte activa utiliza sus propios datos (características activas + etiquetas) para entrenar un Modelo del Adversario (AM) independiente.
• Este modelo AM estima las puntuaciones de confianza que el modelo VFL global habría generado.
• Con estas estimaciones, el adversario puede reconstruir las características de la parte pasiva utilizando métodos de álgebra lineal, exponiendo así a todas las muestras (incluso las del conjunto de entrenamiento) a riesgos de privacidad, sin necesidad de consultar al coordinador o a la parte pasiva por las puntuaciones reales.

2. Metodología

A. El Ataque Agnóstico

1. Entrenamiento del Modelo del Adversario (AM): La parte activa entrena un clasificador independiente ($f_{\theta_a}$) utilizando solo sus características locales y las etiquetas.
2. Refinamiento (RAM): Si la parte activa ha recibido puntuaciones de confianza de algunas muestras de predicción (antes del ataque), puede refinar su AM en un Modelo del Adversario Refinado (RAM). Esto se logra añadiendo una función de pérdida que minimiza la discrepancia entre las salidas del AM y las puntuaciones reales recibidas del coordinador.
3. Reconstrucción de Características:
   • El adversario utiliza las puntuaciones estimadas ($\hat{c}$) para formar un sistema de ecuaciones lineales basado en la estructura de la regresión logística: $J W_{pas} X = \hat{c}' - J W_{act} Y - Jb$.
   • Dependiendo de la relación entre el número de características pasivas ($d$) y el número de clases ($k$), se utilizan diferentes métodos de resolución:
     • Sobredeterminado ($d < k$): Se usa mínimos cuadrados ordinarios.
     • Subdeterminado ($d \geq k$): Se utiliza el método half o half (propuesto en trabajos anteriores) para encontrar la solución más cercana al centro del espacio de características factibles.

B. Esquemas de Preservación de Privacidad (PPS)

Para contrarrestar este ataque, el autor propone Esquemas de Preservación de Privacidad (PPS) que no alteran las puntuaciones de confianza (manteniendo la utilidad del modelo), sino que distorsionan sistemáticamente los parámetros de la parte pasiva ($W_{pas}$) antes de compartirlos con la parte activa.

• Objetivo: Maximizar el error cuadrático medio (MSE) de la reconstrucción del adversario mientras se mantiene un nivel aceptable de interpretabilidad para la parte activa.
• Enfoque de Optimización:
  • Se formula como un problema de optimización con restricciones de ortogonalidad (variedad de Stiefel).
  • Se busca una matriz de transformación $R$ (ortogonal) tal que los parámetros revelados sean $W_{pas}R$.
  • Se introduce un parámetro de diseño $\varepsilon$ que controla la distancia entre los parámetros originales y los distorsionados, gestionando la compensación (trade-off) entre privacidad y utilidad/interpretabilidad.
• Casos Analizados:
  1. $d \geq k > 2$: Transformación mediante matrices ortogonales.
  2. $1 < d < k$: Transformación similar.
  3. $d = 1$: Optimización directa del vector de parámetros.
  4. $k = 2, d > 1$: Optimización para clasificación binaria con múltiples características.

3. Contribuciones Clave

1. Definición del Ataque Agnóstico: Identificación y formalización de un ataque que no depende de las puntuaciones de confianza reales, poniendo en riesgo todo el conjunto de datos (entrenamiento y predicción).
2. Modelo de Adversario Refinado (RAM): Demostración de que el uso de un pequeño número de puntuaciones de confianza observadas (incluso 50-100) permite al adversario refinar su modelo independiente, mejorando drásticamente la precisión del ataque agnóstico.
3. PPS Basados en Parámetros: Propuesta de defensas que operan directamente sobre los parámetros del modelo en lugar de enmascarar las salidas. Esto permite mantener la utilidad del modelo (puntuaciones exactas) mientras se protege la privacidad.
4. Compensación Privacidad-Interpretabilidad: Formalización matemática de un equilibrio controlable. Los PPS permiten a las partes elegir un nivel de distorsión que satisfaga tanto las necesidades de privacidad de la parte pasiva como la necesidad de explicabilidad de la parte activa (crucial en sectores como banca o salud).
5. Análisis Teórico y Experimental: Derivación de fórmulas para el MSE esperado bajo estos ataques y defensas, validadas en múltiples conjuntos de datos reales.

4. Resultados Experimentales

Los experimentos se realizaron en cinco conjuntos de datos públicos (Bank, Adult, Satellite, PenDigits, Grid) utilizando regresión logística.

• Efectividad del Ataque Agnóstico:

  • El ataque agnóstico (usando solo el AM) logra un rendimiento comparable al ataque tradicional (que usa puntuaciones reales) en conjuntos de datos con alta correlación entre características (ej. Bank, Adult, Satellite).
  • El uso del RAM (con pocas puntuaciones de referencia) reduce significativamente el MSE, haciendo el ataque muy preciso incluso cuando $d$ es pequeño.
  • En datos con características casi independientes (como Grid), el ataque es menos efectivo, comportándose similar a una estimación aleatoria.

• Efectividad de los PPS:

  • Los esquemas de distorsión de parámetros aumentan significativamente el MSE de reconstrucción del adversario.
  • Se observa una curva de compensación (trade-off) clara: al aumentar el parámetro de distorsión $\varepsilon$, la privacidad mejora (MSE más alto) pero la interpretabilidad disminuye (los parámetros revelados se alejan de los reales).
  • Los PPS logran proteger la privacidad incluso cuando el adversario tiene acceso a las puntuaciones de confianza exactas, algo que las defensas basadas en ruido de puntuaciones no logran.

5. Significado e Impacto

Este trabajo es fundamental para el futuro del VFL por varias razones:

1. Cambio de Paradigma de Amenaza: Demuestra que ocultar las puntuaciones de confianza no es suficiente para proteger la privacidad en VFL si el adversario tiene acceso a las etiquetas y características propias. El riesgo es inherente a la estructura del modelo colaborativo.
2. Solución Práctica y Equilibrada: A diferencia de las soluciones de "caja negra" (que ocultan todo y rompen la interpretabilidad) o las de "caja blanca" (que exponen todo), los PPS propuestos ofrecen un punto medio ajustable. Esto es vital para aplicaciones reguladas (como la banca o la medicina) donde se requiere explicar las decisiones del modelo (ej. por qué se denegó un crédito) sin revelar los datos sensibles del cliente.
3. Viabilidad de Implementación: Los PPS se aplican una vez, después del entrenamiento, y no requieren cambios en el protocolo de comunicación ni en la fase de predicción, lo que los hace fáciles de desplegar en sistemas existentes.
4. Advertencia de Seguridad: Señala que la colaboración VFL puede ser riesgosa si las características de las partes están fuertemente correlacionadas, ya que esto facilita la construcción de modelos sustitutos (surrogate models) por parte del adversario.

En resumen, el artículo redefine el panorama de amenazas en VFL y proporciona un marco matemático robusto para diseñar colaboraciones que sean seguras, útiles y explicables simultáneamente.