MADRID, 16 (Portaltic/EP)
La esteganografía es una técnica utilizada para ocultar un código malicioso dentro de un archivo de distinto formato, como por ejemplo ocultar un texto dentro de una imagen. Esta técnica ha sido utilizada durante cientos de años e incluso hoy en día se siguen desarrollando nuevas técnicas para aplicarla gracias a los avances tecnológicos.
Se trata de una rama de la criptografía, sin embargo la principal diferencia es que la criptografía pretende que el mensaje no pueda ser leído por el atacante mientras que la esteganografía tiene como objetivo ocultar que está habiendo cualquier tipo de comunicación.
ORIGEN Y EVOLUCIÓN
Como explica la compañía en ciberseguridad S2 Grupo, en su blog Security at Work, la estenografía proviene del griego steganos (oculto) y graphos (escritura). Esta técnica existe desde hace muchos años, ya en Historias de Heródoto se hablaba de la ocultación de mensajes utilizando escrituras recubiertas en cera e incluso mensajes tatuados en la cabeza tapados por el pelo.
Con el paso de los años esta técnica se fue desarrollando y adaptando a las nuevas tecnologías. Fue usada, por ejemplo, durante la Segunda Guerra Mundial con el recurso de la tinta invisible o con el microfilme, por el que se aprovechan los puntos de letras como la i o la j, o los signos de puntuación, para ocultar mensajes en código morse.
En la actualidad la esteganografía sigue siendo una práctica recurrente de la mano de los cibercriminales, quienes han sabido adaptar esta técnica a las ventajas que ofrecen Internet y los ordenadores, y que mediante canales digitales como archivos de texto, audio, imágenes y vídeos envían mensajes ocultos, a veces con fines maliciosos.
Uno de los primeros ejemplos de la esteganografía digital fue en 2011 en Berlín, cuando un sospechoso de pertenecer a la banda terrorista Al-Qaeda fue detenido por la policía alemana. Como explica el diario alemán Zeit, al detenido se le incautó una tarjeta de memoria que contenía una carpeta protegida por una contraseña.
Después de que la policía científica descifrara la carpeta solamente se encontró un vídeo con material pornográfico. Que un archivo de ese tipo estuviera cifrado, levantó sospechas entre los agentes que decidieron analizar más a fondo el material.
Consiguieron extraer 141 archivos de texto ocultos en el vídeo, en los que aparecía información relevante sobre la organización y sus planes futuros.
CóMO FUNCIONA
Como explica el FBI en un artículo, la esteganografía incrusta el mensaje oculto en un archivo de transporte, llamado portador. Después se le añade una clave de esteganografía para cifrar dicho mensaje y solo el receptor pueda acceder a dicha información.
Casi cualquier objeto digital puede ocultar un mensaje secreto, sin embargo los ciberdelincuentes tienen preferencia por los archivos multimedia como imágenes, audios o vídeos ya que son archivos grandes que permiten que se incluya más información que por ejemplo en un documento de texto. El fin es evitar ser identificados por los programas antivirus.
En la mayoría de los casos los archivos utilizados por los esteganógrafos son los archivos de imágenes JPEG y PNG. Una imagen es la recopilación de miles de píxeles y cada píxel tiene su propia descripción. Normalmente la información se oculta en cada uno de ellos y se extrae mediante herramientas especiales.
Sin embargo, esta técnica sigue evolucionando y en los últimos meses se ha descubierto que los operadores de 'malware' están experimentando con el uso de archivos de audio WAV para ocultar el código malicioso.
Estos ataques mediante WAV no solo busca transferir información sino que la investigación llevada a cabo por Blackberry Cylance descubrió que se trataba de una operación de criptomineros. La compañía Symantec también ha detectado su uso en archivos WAV, en ataques vinculados al grupo cibercriminal ruso Turla, dedicado al espionaje.
Incluso la compañía de ciberseguridad Trend Micro descubrió otro medio para transferir archivos, los memes. Haciendo uso de la red social Twitter, los cibercriminales insertaron un comando malicioso incrustado en memes, que es analizado por el 'malware' desde la cuenta de Twitter una vez que el archivo es descargado en el dispositivo.
Los investigadores indican que, en este caso, el malware no se descargó de Twitter, pero tampoco lograron descubrir cómo llegó a infectar los equipos de las víctimas. El peligro de esta técnica reside en que el malware se envía a través de un servicio legítimo como Twitter además de que la única manera de quitarlo es cerrando dicha cuenta.
Uno de los casos más recientes fue el revelado por la compañía de ciberseguridad Malware bytes, que descubrió el primer 'skimmer' - dispositivo clonador de tarjetas- de tarjetas de crédito escondido detrás de una imagen que había en una página web de comercio electrónico.
Esta web mostraba una imagen con una insignia que indicaba envíos gratuitos. En un análisis, los investigadores de Malware bytes descubrieron que había más datos después del final del archivo que, en un análisis más exhaustivo, resultó ser cógido insertado para cpiar tarjetas de crédito.
Aparte de los casos mencionados, existen otros formatos digitales que también han sido utilizados, como el GIF, MP3, MP4 o los protocolos de red.
¿POR QUÉ ESTA TÉCNICA?
Según las declaraciones del doctor en Tecnología de la Información y Redes por la Universitat Oberta de Catalunya(UOC), Daniel Lerch para Panda Security, "el papel principal de la esteganografía en los próximos años lo veremos en su aplicación como herramienta para ocultar 'malware' y para enviar a dicho 'malware' comandos de control."
También añadió que "el uso de técnicas de esteganografía modernas para ocultar código malicioso dificultará enormemente su detección". Esto hará que se tengan que desarrollar nuevas herramientas de seguridad de estegoanálisis.
La principal ventaja de la esteganografía es que permite la comunicación sin ser detectado. Los mensajes pasan totalmente desapercibidos por el ojo humano y ni si quiera los 'software' de seguridad pueden identificarlos.
CÓMO DETECTARLO
El estegoanálisis es la técnica que permite detectar de información oculta en un archivo. Como explican desde S2 Grupo, en otra publicación en su blog oficial, se puede realizar de dos formas. Por un lado está el estegoanálisis manual, que consiste en buscar las diferencias entre la imagen normal y la imagen con el mensaje oculto buscando en la estructura de dicho archivo.
La otra técnica es el estegoanálisis estadístico, que consiste en buscar modificaciones esteganográficas mediante la detección de desviaciones respecto a la norma en las propiedades del archivo portador.
Por otro lado, la compañía de ciberseguridad Kaspersky en su blog oficial explica que tanto detectarla como deshacerse de ella es muy complicado, sin embargo los usuarios pueden proteger sus dispositivos siguiendo un comportamiento seguro en la red.
En primer lugar cuando un correo electrónico es sospechoso o poco fiable, es recomendable no abrir los enlaces o archivos adjuntos que incluya. También es importante descargar los archivos desde fuentes de confianza ya sean películas, música o aplicaciones.
Kaspersky aconseja, además, contar con una solución antimalware. Si bien no pueden detectar el código malicioso incrustado en el archivo, sí pueden identificar e interceptar acciones sospechosas de otros módulos de 'malware'.
La esteganografía es una técnica conocida desde hace mucho tiempo, desarrollada para guardar y comunicar informaciones secretas, que ha ido evolucionando con los años al mismo tiempo que los avances tecnológicos se iban sucediendo, y que ha acabado dando el salto al cibercrimen, por ser casi imposible de detectar.