¿Ha sido alguna vez engañada la comunidad de investigadores por un error tonto?

Question

Esta es una pregunta altamente subjetiva, pero aquí va.

¿Alguien alguna vez ha publicado un resultado que fue "tomado en serio" por la comunidad de investigación, pero luego se descubrió que era incorrecto debido a un "error tonto"?

Permítanme aclarar mis términos (en cierta medida):

1. Por "error tonto", me refiero a "cualquier error que sea inmediatamente obvio para cualquier profesional de la comunidad al señalarse". Otro requisito para que el error cuente como "tonto" es que no haya nada "matemáticamente interesante" o educativo al respecto. Ejemplos incluirían errores aritméticos, errores de álgebra elemental, usar accidentalmente una fórmula en lugar de la que se pretendía, transcribir una ecuación incorrectamente, o errores "obvios" en código informático. Para contar, el error debería poder describirse de manera muy sucinta. Diría que "no poder hacer un 'fácil' salto conceptual" generalmente no contaría, aunque reconozco que todo esto es bastante subjetivo.

2. "Tomado en serio" es definitivamente bastante ambiguo, pero diría que el resultado "causó revuelo" en la comunidad de investigación. Evidencia suficiente para demostrar esto podría ser, por ejemplo, que el artículo que hace la afirmación incorrecta reciba un gran número de citas, o un número significativo de artículos posteriores que dependan de la afirmación, o una declaración de una "figura importante" en el campo que enumere un problema importante que se derive de la afirmación, etc. No cuenta si el error fue señalado casi inmediatamente por otra persona (aunque qué cuenta como "casi inmediatamente" también es ambiguo). Básicamente, el umbral aproximado sobre el que me pregunto es que el error "hizo un daño no trivial al proceso de investigación al desviar a investigadores posteriores durante un tiempo", incluso si finalmente se corrigió.

No estoy buscando realmente un artículo que hiciera una afirmación controvertida, y la mayoría de los expertos asumieron que probablemente estaba equivocada pero les tomó un poco de tiempo encontrar el error. Estoy buscando más bien un artículo que fue ampliamente aceptado como correcto cuando se publicó, y que "pasó desapercibido" por un tiempo antes de que alguien se diera cuenta de que la afirmación era incorrecta.

Answer 1

Las personas en los comentarios ya han señalado la tesis de Daniel Biss. Pero también cometió otros dos errores no relacionados que, en mi opinión, son más interesantes:

1. En su artículo,

   D. Biss & B. Farb, $\mathcal{K}_g$ is not finitely generated, Invent. Math. 163(1), 2006, 213-226.

   Biss y Farb afirman demostrar que el llamado subgrupo núcleo de Johnson del grupo de clases de mapeo no está finitamente generado. La gente definitivamente tomó esto en serio cuando se publicó y tuvo consecuencias para otros tipos de resultados de finitud (ver, por ejemplo, la discusión en el artículo de Farb "Algunos problemas sobre los grupos de clases de mapeo y el espacio de móduli").

   El error aquí fue que dieron un algoritmo para construir un montón de curvas en una superficie y afirmaron que eran disjuntas. Más tarde, Masatoshi Sato (entonces estudiante de doctorado en la Universidad de Tokio) dibujó cuidadosamente imágenes de estas curvas y verificó que no eran disjuntas. La demostración se desmoronó. Mejor aún, más tarde resultó que el subgrupo núcleo de Johnson sí está finitamente generado (lo que podría haber sido descubierto mucho antes si la comunidad no hubiera sido engañada por el teorema de Biss-Farb). Ver

   M. Ershov & S. He, On finiteness properties of the Johnson filtrations, Duke Math. J. 167, 2018, 1713-1759.

   y

   T. Church, M. Ershov, & A. Putman, On finite generation of the Johnson filtrations, J. Eur. Math. Soc. 24, 2022, no.8, 2875-2914.

2. En sus artículos

   D. Biss, A generalized approach to the fundamental group, Amer. Math. Monthly 107 (2000), no. 8, 711-720.

   y

   D. Biss, The topological fundamental group and generalized covering spaces, Topology Appl. 124 (2002), no. 3, 355-371.

   Biss estudió los grupos fundamentales de espacios que no tienen cubiertas universales. Su teorema principal dice que hay una topología natural en estos grupos fundamentales que los convierte en grupos topológicos. Esto ha sido bastante influyente, por ejemplo, formaron parte de su trabajo citado para el premio Morgan, y el segundo artículo tiene 97 citas en Google Académico. Sin embargo, comete algunos errores elementales de topología de conjuntos punto que invalidan sus demostraciones (¡totalmente diferentes de los errores en sus otros artículos!). De hecho, para muchos ejemplos sencillos la "estructura de grupo topológico" que supuestamente definió no es continua. Esto fue señalado en

   P. Fabel, The topological Hawaiian earring group does not embed in the inverse limit of free groups, Algebr. Geom. Topol. 5 (2005), 1585-1587.

   Para obtener una muy buena discusión de la historia, recomiendo la publicación del blog aquí.

Answer 2

En 1970, Irwing Noel Baker "demostró" que una función entera trascendental de una variable compleja puede tener como máximo un componente completamente invariante del conjunto de la normalidad. De hecho, él "demostró" una afirmación más general de que no puede haber dos dominios disjuntos cuyas preimágenes estén conectadas. Su artículo ocupa tres páginas, y contiene un error elemental (una afirmación geométrica que parece completamente evidente a primera vista). Durante el período 1970-2018, el argumento de Baker fue utilizado en varios artículos.

En 2018 intenté explicar el argumento de Baker a Julien Duval, él no pudo entenderlo, y finalmente descubrió que es incorrecto.

En el mismo año se construyó un contraejemplo al teorema de Baker, y la pregunta original sobre los dominios completamente invariantes sigue sin resolverse.

Answer 3

La afirmación de que la convolución de distribuciones unimodales es unimodal apareció como Teorema 3 del §32 en el muy influyente libro de Gnedenko y Kolmogorov (el original ruso de 1949 de la traducción al inglés "Limit Distributions for Sums of Independent Random Variables" de 1954).

Como se discute en el Apéndice II de la traducción al inglés, esta afirmación es incorrecta. Se indican allí dos errores simples en la "demostración" de esta afirmación. De esos dos, al menos el segundo, basado en una identidad incorrecta, ciertamente parece calificar como "tonto".

La afirmación y la "demostración" parecen haberse originado en Lapin, A. I. "On some properties of stable laws." Tesis, en ruso, 1947.

También parece que el primer contraejemplo a esta afirmación fue dado por Chung en 1953 (vea p. 11 en "Unimodality, Convexity, and Applications" de Dharmadhikari y Joag-dev, 1987).

Answer 4

El problema 16 de Hilbert, segunda parte, pide una estimación superior del número de ciclos límites de un sistema polinomial de ecuaciones diferenciales en dimensión 2. Durante mucho tiempo se creyó que Henri Dulac en 1923 demostró que el número de ciclos límites es finito.

Dulac estudió el mapa de Poincaré en un vecindario de un ciclo límite y obtuvo una expansión asintótica infinita para él. Esta derivación ocupa un libro completo (143 páginas). Luego concluyó al final: dado que este mapa es analítico en $(0,\delta]$, y tiene una expansión asintótica infinita cuando $x\to 0$, solo puede tener un número finito de puntos fijos, y así el número de ciclos límites es finito (los ciclos corresponden a los puntos fijos del mapa de Poincaré). Este es un error elemental ya que el mapa puede tener la forma $\phi(x)=x+g(x)$ donde $g$ es plano (tiene una expansión asintótica de cero), por lo tanto no podemos concluir nada sobre el número de puntos fijos cerca de $0$.

Este error fue detectado solo en la década de 1980 (probablemente nadie tuvo paciencia para leer el libro de Dulac hasta el final antes), y desde entonces al menos dos demostraciones del teorema de Dulac fueron publicadas, ambas enormemente largas y complicadas, y no estoy seguro de cuán bien cualquiera de ellas está verificada.

Answer 5

Lo siguiente es un breve resumen de los ataques a OCB2 en Criptografía. Esto es más aplicado que otras respuestas, pero aún se ajusta bastante bien a la pregunta, y tiene el detalle interesante de que solo nos salvamos de lo que posiblemente podría haber sido el fallo práctico más devastador de la criptografía por una patente.

En Criptografía, una técnica común de prueba es la de demostraciones por reducción. Estas son básicamente demostraciones "constructivas" de implicaciones, que tienen la forma general

El esquema $\Pi$ tiene la propiedad $P \implies$ el esquema $F(\Pi)$ tiene la propiedad $Q$.

Lo que significa "constructivo" aquí es la combinación de

• Conservación del Tiempo de Ejecución: Cualquier algoritmo $A$ para romper la propiedad $Q$ de $F(\Pi)$ puede ser transformado en un algoritmo $A'$ para romper la propiedad $P$ de $\Pi$, de manera que los tiempos de ejecución de $A$ y $A'$ sean similares, y
• Conservación de la Ventaja: Para $A$ y $A'$ como se mencionó anteriormente, si $A$ solo rompe la propiedad $Q$ con una probabilidad $p$, entonces $A'$ rompe la propiedad $P$ con una probabilidad $p'$ no demasiado menor que $p$.

Las reducciones son quizás la técnica de prueba central en criptografía. Relevante para la discusión a continuación es su uso en encriptación simétrica. Aquí, se comienza con

• una cifra de bloque $\Pi$, básicamente encriptación para entradas de "longitud fija" (por ejemplo, 128 bits), que
• satisface una propiedad de seguridad débil $P$ (típicamente "Indistinguibilidad bajo Ataque de Texto Plano Elegido", o IND-CPA. A un nivel alto, esto modela a adversarios pasivos que pueden elegir mensajes $m$ para ser encriptados, y ver los textos cifrados resultantes que se transmiten, pero no pueden modificar estos textos cifrados de ninguna manera),

y produce

• un esquema de encriptación general $F(\Pi)$, que puede encriptar mensajes de longitud arbitraria (no a priori acotada), que

• satisface una propiedad de seguridad fuerte $Q$ (por ejemplo, en IND-CCA2, se permite a un adversario modificar arbitrariamente los textos cifrados mencionados).

Para la encriptación simétrica, lo mencionado anteriormente suele llamarse "modos de operación de cifras de bloque". A menudo se necesita no solo una transformación $F$ que tome como entrada una cifra de bloque $\Pi$, sino también un esquema auxiliar $\Gamma$ llamado "Código de Autenticación de Mensajes". Aunque no discutiré este detalle en profundidad.

Hay muchos modos de operación populares. Los modos OCB tienen un rendimiento similar a los modos "clásicos", al mismo tiempo que logran una propiedad de seguridad más fuerte conocida como encriptación autenticada con datos asociados (AEAD). Una cifra AEAD toma como entrada dos mensajes $(m, d)$, donde

1. el mensaje $m$ se mantiene privado (en la línea de IND-CCA2 mencionado anteriormente), mientras que
2. los datos $d$ se transmiten públicamente, pero "autenticados", por lo que un adversario que intente modificar estos datos (públicos) será descubierto.

Esto puede ser útil cuando los mensajes $m$ requieren componentes públicos para su procesamiento. Por ejemplo, los datos $d$ pueden contener el ID del cual se debe usar la clave para descifrar el mensaje. Estos datos deben ser públicos, pero tampoco deben poder ser manipulados.

Durante aproximadamente una década, Phil Rogaway desarrolló los Modos OCB (OCB1, OCB2, OCB3) de operación. Han sido muy populares. OCB2 fue un estándar ISO (hasta el ataque mencionado a continuación), y (una variante de) OCB3 continúa siéndolo (solo se sabe que OCB2 tiene una prueba de seguridad defectuosa). OCB3 fue seleccionado como un "ganador" de la competencia CAESAR (una competencia dirigida por criptógrafos para seleccionar un portafolio de recomendaciones criptográficas para su uso futuro por comités de estandarización). Todos estos esquemas tenían pruebas de seguridad basadas en reducciones. Esto no significa que los esquemas sean seguros, pero debería significar que la única forma "real" de atacarlos es atacando sus componentes base $\Pi$, en lugar de su transformación $F(\Pi)$.

En 2018, Inoue y Minematsu encontraron un ataque simple a OCB2, que atacaba la transformación $F$ en lugar de los componentes $\Pi$. Esto significa que la prueba de Rogaway estaba equivocada. La forma en que estaba equivocada se puede describir de manera simple en un nivel alto. Hablando en términos generales (quizás con conocimiento del ataque después), para OCB2 uno puede dividir $F = G\circ H$ en dos partes.

1. Primero, se muestra que $H(\Pi)$ produce lo que se conoce como una cifra de bloque ajustable a partir de una cifra de bloque $\Pi$ y
2. Luego, se muestra que $G(\Pi')$ mapea una cifra de bloque ajustable etiquetada a un esquema AEAD.

Esto significa que hubo una pequeña discrepancia entre la postcondición de $H$ y la precondición de $G$. Este pequeño espacio produjo un completo fallo en la prueba, en el sentido de que OCB2 permitió rompimientos eficientes y casi completos en la seguridad, incluso para esquemas "base" seguros $\Pi$. Esto pasó desapercibido por varios organismos de estandarización y muchos criptógrafos (hasta el 2024, el artículo de OCB2 tiene casi 600 citas).

---

Como se mencionó anteriormente, afortunadamente este ataque no tuvo mucho impacto práctico. A pesar de que OCB2 tiene muchos beneficios prácticos en comparación con esquemas competidores, Rogaway patentó el esquema, y tenía varias licencias para ello, a saber

1. Uso gratuito en software de código abierto
2. Licencias de pago disponibles en software comercial no militar

Esto no fue suficiente para que los autores de librerías criptográficas adoptaran ampliamente los modos OCB (ver alguna discusión aquí), por lo que la presencia de las patentes disuadió la adopción de los modos OCB, lo que nos salvó de que OCB2 fallara, a pesar de su prueba de seguridad.