Todos sabemos lo que significa “leer entre líneas” en sentido figurado, pero antes de utilizar la tecnología actual para comunicarnos entre nosotros, la gente se lo tomaba al pie de la letra y escribían con tinta invisible mensajes secretos entre líneas en una carta aparentemente normal.
Esta técnica, a través de la cual el autor de un mensaje oculta la información secreta en algo que parece inocente a simple vista, se conoce como esteganografía y es casi tan antigua como la escritura. A diferencia de la criptografía, que cifra el mensaje para que no se pueda leer sin la clave de descifrado, el objetivo de la esteganografía es ocultar de las miradas indiscretas la existencia del mensaje. Al igual que con otros métodos de gestión de la información, la esteganografía también se utiliza en las tecnologías digitales.
¿Cómo funciona la esteganografía digital?
En casi cualquier objeto digital se puede ocultar un mensaje secreto, ya sea en un documento de texto, en una clave de licencia o, incluso, en la extensión de un archivo. Por ejemplo, los editores de Genius.com, un sitio web dedicado a analizar canciones de raperos, utilizaron dos tipos de apóstrofos en sus letras online que, una vez combinados, formaban las palabras “red handed“ (in fraganti) en código morse, para evitar que alguien copiara su contenido único.
Unos de los “contenedores” preferidos de los estenógrafos son los archivos multimedia (imágenes, audios, vídeos, etc.) ya que, para empezar, suelen ser bastante grandes, lo que permite que el extra añadido sea más jugoso que en un documento de texto, por ejemplo.
La información secreta se puede escribir en los metadatos del archivo o directamente en el contenido principal. Imagínate una imagen. Desde el punto de vista del ordenador, se trata de la recopilación de cientos de miles de píxeles y cada píxel tiene una “descripción” que informa sobre su color.
En cuanto al formato RVA, que se utiliza en la mayoría de las imágenes de color, esta descripción ocupa 24 bits de memoria. Si solo de 1 a 3 bits de la descripción de algunos o, incluso, de todos los píxeles contienen información secreta, los cambios de la imagen en general son imperceptibles. Dado el gran número de píxeles en imágenes, se pueden escribir muchos datos en ellos.
La imagen de la izquierda no contiene mensajes ocultos, la de la derecha contiene los 10 primeros capítulos de la novela Lolita de Nabokov
En la mayoría de los casos, la información se oculta en los píxeles y se extrae mediante herramientas especiales. Para ello, los estenógrafos actuales a veces escriben scripts personalizados o añaden la funcionalidad que necesitan los programas destinados a otros fines. Y, ocasionalmente, utilizan código preparado, muy abundante online.
¿Cómo se utiliza la esteganografía digital?
La esteganografía se puede incorporar a las tecnologías informáticas de diferentes formas. Se puede ocultar texto en una imagen, vídeo o canción, ya sea por diversión o, como en el caso anterior, para proteger un archivo de la copia ilegal.
La ocultación de marcas de agua es otro buen ejemplo de esteganografía. No obstante, lo primero que pensamos cuando hablamos de mensajes secretos, ya sea en forma digital o física, es en la correspondencia secreta y el espionaje.
Una bendición para los ciberespías
Nuestros expertos registraron ya hace 18 meses cómo había aumentado el interés de los ciberdelincuentes por la esteganografía. Entonces, ya se habían detectado no menos de tres campañas de spyware en las que los datos de las víctimas se habían enviado a los servidores de mando y control ocultos tras fotos y vídeos.
Desde el punto de vista de los sistemas de seguridad y de los empleados cuyo trabajo consiste en supervisar el tráfico saliente, nada hacía sospechar de la subida online de estos archivos multimedia. Y esto es con lo que contaban los delincuentes.
El medio más sutil: los memes
Mientras, otro spyware recibía las órdenes mediante imágenes. El malware se comunicaba con los ciberdelincuentes mediante una fuente muy sutil: los memes publicados en Twitter.
Una vez en el ordenador de la víctima, el malware abría el tuit y extraía las instrucciones de la imagen. Entre las órdenes se encontraba:
- Tomar una captura de pantalla del escritorio.
- Recopilar información sobre los procesos en ejecución.
- Copiar los datos del portapapeles.
- Escribir los nombres de los archivos de carpetas específicas.
Código en imágenes
Los archivos multimedia no solo ocultan texto, sino también partes de código malicioso, por lo que otros ciberdelincuentes comenzaron a seguir la estela de los espías. El uso de la esteganografía no convierte una imagen, vídeo o canción en malware, pero sí que se puede utilizar para ocultar una carga de los análisis de los antivirus.
Por ejemplo, en enero los atacantes distribuyeron un banner por las redes publicitarias que no contenía ningún tipo de anuncio y que no era más que un pequeño rectángulo blanco, pero dentro había un script que debía ejecutarse en un navegador. Eso es, se puede cargar un script en un anuncio para permitir a las empresas recopilar estadísticas sobre la visualización, por ejemplo.
El script de los ciberdelincuentes reconoció el color de los píxeles de la imagen e inició sesión como un conjunto de letras y números. Puede parecer inútil, puesto que no había nada más que un rectángulo blanco. Sin embargo, para el programa los píxeles no eran blancos, sino casi blancos y ese “casi” se convirtió en un código malicioso que se ejecutó debidamente.
El código extraído de la imagen redirigió al usuario al sitio web de los ciberdelincuentes. Ahí la víctima se encontró con un troyano disfrazado de actualización de Adobe Flash Player que descargó otros objetos maliciosos, en concreto, adware.
Detectar la esteganografía no es fácil
Como ya afirmó el experto Simon Wiseman en la conferencia RSA 2018, es muy complicado detectar la esteganografía de calidad. Y deshacerse tampoco es una tarea sencilla. Existen métodos para integrar mensajes en imágenes de una forma tan profunda que siguen ahí después de imprimirla y escanearla o, incluso, cambiarle el tamaño o realizar cualquier otro tipo de edición.
Sin embargo, como ya hemos comentado, la información (incluido el código) se extrae de imágenes y vídeos mediante una herramienta especial. Es decir, los archivos no roban ni descargan nada en tu ordenador. Por lo tanto, puedes mantener a salvo tu dispositivo protegiéndolo de los componentes de malware que ocultan texto o código malicioso en archivos multimedia:
- No tengas prisa a la hora de abrir enlaces o archivos adjuntos en correos electrónicos y lee el mensaje de forma minuciosa. Si la dirección del remitente o cualquier otro contenido resulta sospechoso, es mejor que lo ignores.
- Si tienes que descargar un archivo, utiliza siempre fuentes de confianza; por ejemplo, descarga las aplicaciones de las tiendas oficiales o de los sitios web de los desarrolladores. Lo mismo sucede con las películas y la música; no descargues nada de fuentes desconocidas.
- Utiliza una Kaspersky Security Cloud ya que, aunque no reconozca el código en imagen, puede interceptar las acciones sospechosas de otros módulos de malware.