Un canal encubierto es un tipo de ataque de seguridad que opera fuera de los parámetros habituales asociados con los protocolos de seguridad informática utilizados para proteger el sistema. Esencialmente, este tipo de brecha de seguridad informática hace posible que se acceda a los datos y se transfieran entre procesos de una manera que normalmente no estaría permitida por esos protocolos. Identificar la presencia de un canal encubierto no es necesariamente difícil, aunque la mayoría de las infracciones de este tipo intentarán imitar operaciones legítimas y, por lo tanto, no serán detectadas por las medidas de seguridad. Dependiendo del tipo de software de vigilancia informática utilizado para monitorear un sistema y la presencia de algún tipo de fallas que permitan vulnerabilidades de seguridad informática, el monitoreo a menudo detectará algo inusual en la forma en que se utilizan los datos y, en última instancia, se dará cuenta del ataque.
Una de las formas más fáciles de entender cómo funciona un canal encubierto es pensar en términos de dos personas que mantienen una conversación en lo que creen que es un lugar seguro. Lo que no saben es que un tercero ha colocado un dispositivo de escucha en la habitación con ellos y está capturando cada palabra que dicen. El dispositivo no interfiere con el intercambio de información entre las dos partes, pero permite que una parte no autorizada obtenga acceso a esa información y posiblemente la use para propósitos que no están autorizados por ninguno de los dos oradores. En cierto sentido, esto es lo que proporciona un canal encubierto; acceso a datos que de otro modo no serían posibles, permitiendo al destinatario utilizarlos sin el permiso de los propietarios de los datos accedidos.
Normalmente, un canal encubierto no es de la más alta calidad. La necesidad de crear una huella lo más pequeña posible significa que el ancho de banda utilizado para impulsar el canal será bajo. Esto, a su vez, puede significar que capturar y transferir datos puede llevar más tiempo que utilizar los protocolos permitidos por las medidas de seguridad del sistema. Dado que la velocidad de transferencia se limita a bloques de datos más pequeños, la transferencia puede ser extremadamente tediosa y requiere mucha paciencia. Las posibilidades de que se descubra el canal encubierto son mayores cuanto más tiempo esté activo, por lo que los autores del ataque de seguridad normalmente solo permitirán un tiempo para una sesión activa antes de cerrar el canal y regresar más tarde para otra sesión.
Muchos de los protocolos de seguridad diseñados e implementados tanto en sistemas informáticos comerciales como domésticos desde principios del siglo XXI incluyen la capacidad de tomar nota de las irregularidades en el uso de recursos y la pequeña cantidad de energía que suelen generar los ataques de canales encubiertos. Suponiendo que el canal se deja abierto el tiempo suficiente para que los mecanismos de seguridad detecten la infracción, el problema normalmente se puede resolver en un corto período de tiempo. Esto, a su vez, permite a los propietarios y operadores del sistema diseñar medidas de seguridad adicionales que ayuden a minimizar la recurrencia de este tipo de brecha de seguridad en una fecha posterior.