La esteganografía digital, formidable herramienta para el ciberespionaje

«Hay que tener mucho cuidado con el uso de la palabra espionaje, aunque se utilicen  técnicas antiguas – micrófonos ocultos, subversión, el sexo, etc-,  cada vez más se recurre a nuevas técnicas de guerra económica», advertía hace casi una década Jean-François Bianchi, de la Escuela de Guerra Económica en París. Razón no le faltaba. Ya en aquellos entonces la ciberdelincuencia había comprobado de que en el ámbito de la ciberseguridad era posible montar los más sorprendentes y rentables tipos de ataques.

Todos sabemos lo que significa “leer entre líneas” en sentido figurado. Pero antes de utilizar la tecnología actual para comunicarnos entre nosotros, la gente se lo tomaba al pie de la letra y escribía con tinta invisible mensajes secretos entre líneas en una carta aparentemente normal.

Esta técnica, a través de la cual el autor de un mensaje oculta información secreta en algo que parece inocente a simple vista, se conoce como esteganografía y es casi tan antigua como la escritura. A diferencia de la criptografía, que cifra el mensaje para que no se pueda leer sin la clave de descifrado, el objetivo de la esteganografía es ocultar de las miradas indiscretas la existencia del mensaje. Al igual que con otros métodos de gestión de la información, la esteganografía también se utiliza en las tecnologías digitales. Y de qué forma.

Partamos de la base que en casi cualquier objeto digital se puede ocultar un mensaje secreto, ya sea en un documento de texto, en una clave de licencia o, incluso, en la extensión de un archivo. Ahí está el caso de los editores de Genius.com, sitio web dedicado a analizar canciones de raperos, que utilizaron dos tipos de apóstrofes en sus letras online que, una vez combinados, formaban las palabras “red handed“ (in fraganti) en código morse, para evitar que alguien copiara su contenido único.

Unos de los “contenedores” preferidos de los estenógrafos son los archivos multimedia (imágenes, audios, vídeos, etc.) ya que, para empezar, suelen ser bastante grandes, lo que permite que el extra añadido sea mucho más rentable que en un documento de texto, por ejemplo.

La información secreta se puede escribir en los metadatos del archivo o directamente en el contenido principal. Imaginemos una imagen. Desde el punto de vista del ordenador, se trata de la recopilación de cientos de miles de píxeles y cada píxel tiene una “descripción” que informa sobre su color. En cuanto al formato RVA, que se utiliza en la mayoría de las imágenes de color, esta descripción ocupa 24 bits de memoria. Si solo de 1 a 3 bits de la descripción de algunos o, incluso, de todos los píxeles contienen información secreta, los cambios de la imagen en general son imperceptibles. Dado el gran número de píxeles en imágenes, se pueden escribir muchos datos en ellos.

Esteganografía digital, técnica a través de la cual el autor de un mensaje oculta información secreta en algo que parece inocente a simple vista.
La imagen de la izquierda (foto 1) no contiene mensajes ocultos, la de la derecha ( 2) contiene los 10 primeros capítulos de la novela Lolita de Nabokov.

En la mayoría de los casos, la información se oculta en los píxeles y se extrae mediante herramientas especiales. Para ello, los estenógrafos actuales a veces escriben scripts personalizados o añaden la funcionalidad que necesitan los programas destinados a otros fines. Y, ocasionalmente, utilizan código preparado, muy abundante online.

La esteganografía se puede incorporar a las tecnologías informáticas de diferentes formas. Se puede ocultar texto en una imagen, vídeo o canción, ya sea por diversión o, como en el caso anterior, para proteger un archivo de la copia ilegal. La ocultación de marcas de agua es otro buen ejemplo de esteganografía. No obstante, lo primero que pensamos cuando hablamos de mensajes secretos, ya sea en forma digital o física, es en la correspondencia secreta y el espionaje.

Los expertos de Kaspersky registraron ya hace 18 meses cómo había aumentado el interés de los ciberdelincuentes por la esteganografía. Entonces, ya se habían detectado no menos de tres campañas de spyware en las que los datos de las víctimas se habían enviado a los servidores de mando y control ocultos tras fotos y vídeos.

Desde el punto de vista de los sistemas de seguridad y de los empleados cuyo trabajo consiste en supervisar el tráfico saliente, nada hacía sospechar de la subida online de estos archivos multimedia. Que es con lo que contaban los delincuentes.

El medio más sutil: los memes. Mientras, otro spyware recibía las órdenes mediante imágenes. El malware se comunicaba con los ciberdelincuentes mediante una fuente muy sutil: los memes publicados en Twitter.

Una vez en el ordenador de la víctima, el malware abría el tuit y extraía las instrucciones de la imagen. Entre las órdenes se encontraba:

  • Tomar una captura de pantalla del escritorio.
  • Recopilar información sobre los procesos en ejecución.
  • Copiar los datos del portapapeles.
  • Escribir los nombres de los archivos de carpetas específicas.

Código en imágenes. Los archivos multimedia no solo ocultan texto, sino también partes de código malicioso, por lo que otros ciberdelincuentes comenzaron a seguir la estela de los espías. El uso de la esteganografía no convierte una imagen, vídeo o canción en malware, pero sí que se puede utilizar para ocultar una carga de los análisis de los antivirus.

Banner con código oculto
Banner con código oculto. Fuente: blog Confiant

Por ejemplo, en enero los atacantes distribuyeron un banner por las redes publicitarias que no contenía ningún tipo de anuncio y que no era más que un pequeño rectángulo blanco, pero dentro había un script que debía ejecutarse en un navegador. Eso es, se puede cargar un script en un anuncio para permitir a las empresas recopilar estadísticas sobre la visualización, por ejemplo.

El script de los ciberdelincuentes reconoció el color de los píxeles de la imagen e inició sesión como un conjunto de letras y números. Puede parecer inútil, puesto que no había nada más que un rectángulo blanco. Sin embargo, para el programa los píxeles no eran blancos, sino casi blancos y ese “casi” se convirtió en un código malicioso que se ejecutó debidamente.

El código extraído de la imagen redirigió al usuario al sitio web de los ciberdelincuentes. Ahí la víctima se encontró con un troyano disfrazado de actualización de Adobe Flash Player que descargó otros objetos maliciosos, en concreto, adware.

Datos para un informe
 

Detectar la esteganografía no es fácil.  Como ya afirmó el experto Simon Wiseman en la conferencia RSA 2018, es muy complicado detectar la esteganografía de calidad. Y deshacerse tampoco es una tarea sencilla. Existen métodos para integrar mensajes en imágenes de una forma tan profunda que siguen ahí después de imprimirla y escanearla o, incluso, cambiarle el tamaño o realizar cualquier otro tipo de edición.

Sin embargo, como ya hemos comentado, la información (incluido el código) se extrae de imágenes y vídeos mediante una herramienta especial. Es decir, los archivos no roban ni descargan nada en tu ordenador. Por lo tanto, puedes mantener a salvo tu dispositivo protegiéndolo de los componentes de malware que ocultan texto o código malicioso en archivos multimedia:

  • No tenga prisa a la hora de abrir enlaces o archivos adjuntos en correos electrónicos y lea el mensaje de forma minuciosa. Si la dirección del remitente o cualquier otro contenido resulta sospechoso, es mejor ignorarlo.
  • Si tiene que descargar un archivo, utilice siempre fuentes de confianza; por ejemplo, descargue las aplicaciones de las tiendas oficiales o de los sitios web de los desarrolladores. Lo mismo sucede con las películas y la música; no descargue nada de fuentes desconocidas.

Dejar respuesta

Please enter your comment!
Please enter your name here

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.