La esteganografía, la práctica de ocultar información, existe desde hace siglos. Recientemente, se la ha asociado con algunas formas de ciberataques. Sigue leyendo para saber más sobre los ejemplos de la esteganografía, sus tipos y su uso en ciberseguridad.
¿Qué es la esteganografía?
La esteganografía es la práctica de ocultar información dentro de otro mensaje u objeto físico para evitar su detección. Se puede usar para ocultar prácticamente cualquier tipo de contenido digital, ya sea texto, imágenes, videos o audios. Luego, dichos datos ocultos se extraen en su destino.
A veces, el contenido oculto mediante esteganografía se cifra antes de ocultarlo dentro de otro formato de archivo. Si no está cifrado, es posible que se procese de alguna manera para que sea más difícil de detectar.
Como forma de comunicación encubierta, la esteganografía se compara a veces con la criptografía. Sin embargo, no son lo mismo, ya que la esteganografía no consiste en codificar los datos al enviarlos ni en usar una clave para descodificarlos al recibirlos.
El término “esteganografía” procede de las palabras griegas “steganos” (que significa oculto o cubierto) y “graphein” (que significa escritura). Se ha practicado de diversas formas durante miles de años para mantener la privacidad de las comunicaciones. Por ejemplo, en la antigua Grecia, las personas grababan mensajes en madera y luego los ocultaban con cera. Los romanos usaban diversas formas de tintas invisibles, que podían descifrarse al aplicar luz o calor.
La esteganografía es un elemento importante para la ciberseguridad, ya que los grupos de ransomware y otras amenazas suelen ocultar información cuando atacan a un objetivo. Por ejemplo, pueden ocultar datos, una herramienta maliciosa o enviar instrucciones a los servidores de comando y control. Podrían colocar toda esta información en archivos de imagen, video, sonido o texto que parecen inofensivos.
¿Cómo funciona la esteganografía?
La esteganografía consiste en ocultar información de forma que se evite cualquier sospecha. Una de las técnicas más comunes es la esteganografía de “bits menos significativos” (LSB). Se trata de incrustar la información secreta en los bits menos significativos de un archivo multimedia. Por ejemplo:
- En un archivo de imagen, cada píxel está formado por tres bytes de datos correspondientes a los colores rojo, verde y azul. Algunos formatos de imagen asignan un cuarto byte adicional a la transparencia, o “alfa”.
- La esteganografía de LSB modifica el último bit de cada uno de estos bytes para ocultar un bit de datos. Por lo tanto, para ocultar un megabyte de datos con este método, necesitarías un archivo de imagen de ocho megabytes.
- Modificar el último bit del valor del píxel no produce un cambio visualmente perceptible en la imagen, lo que significa que cualquiera que vea la imagen original y la modificada con esteganografía no podrá diferenciarlas.
El mismo método puede aplicarse a otros medios digitales, como audio y video, en los que los datos se ocultan en partes del archivo que producen el menor cambio en la salida audible o visual.
Otra técnica de la esteganografía es el uso de la sustitución de palabras o letras. Consiste en que el remitente de un mensaje secreto oculta el texto distribuyéndolo dentro de otro mucho más grande y colocando las palabras a intervalos específicos. Si bien este método de sustitución es fácil de usar, también puede hacer que el texto parezca extraño y fuera de lugar, ya que las palabras secretas podrían no ser coherentes con las oraciones de destino.
Otros métodos de esteganografía consisten en ocultar una partición entera de un disco duro o incrustar datos en la sección de encabezado de archivos y paquetes de red. La eficacia de estos métodos depende de la cantidad de datos que puedan ocultar y de lo fáciles que sean de detectar.
Tipos de esteganografía
Desde una perspectiva digital, existen cinco tipos principales de esteganografía. Estas son:
- Esteganografía de texto
- Esteganografía de imagen
- Esteganografía de video
- Esteganografía de audio
- Esteganografía de red
Veamos cada uno de estos tipos en mayor profundidad:
Esteganografía de texto
La esteganografía de texto consiste en ocultar información dentro de archivos de texto. Esto incluye cambiar el formato de un texto existente, cambiar palabras dentro de un texto, usar gramáticas libres de contexto para generar textos legibles o generar secuencias de caracteres aleatorias.
Esteganografía de imagen
Esta técnica consiste en ocultar información dentro de archivos de imagen. En la esteganografía digital, las imágenes suelen usarse para ocultar información porque hay un gran número de elementos dentro de la representación digital de una imagen, y hay varias formas de ocultar información dentro de una imagen.
Esteganografía de audio
La esteganografía de audio consiste en incrustar mensajes secretos en una señal de audio que modifica la secuencia binaria del archivo de audio correspondiente. Ocultar mensajes secretos en sonido digital es un proceso más difícil en comparación con otros.
Esteganografía de video
En este caso, los datos se ocultan dentro de los formatos de video digital. La esteganografía de video permite ocultar grandes cantidades de datos dentro de un flujo de imágenes y sonidos en movimiento. Existen dos tipos de esteganografía de video:
- Incrustar datos en video sin comprimir y luego comprimirlos
- Incrustar datos directamente en el flujo de datos comprimidos
Esteganografía de red
La esteganografía de red, a veces conocida como esteganografía de protocolo, es la técnica de incrustar información en los protocolos de control de red que se usan en la transmisión de datos, como TCP, UDP, ICMP, etc.
Comparación entre esteganografía y criptografía
La esteganografía y la criptografía comparten el mismo objetivo, proteger un mensaje o determinada información de terceros, pero usan mecanismos diferentes para lograrlo. La criptografía cambia la información a texto cifrado que solo puede entenderse con una clave de descifrado. Esto quiere decir que si alguien interceptara este mensaje cifrado, fácilmente podría ver que se aplicó alguna forma de cifrado. En cambio, la esteganografía no cambia el formato de la información, pero sí oculta la existencia del mensaje.
Esteganografía y NFT
Es posible que algunos aspectos se superpongan entre la esteganografía y los NFT o tokens no fungibles. La esteganografía es una técnica para ocultar archivos dentro de otros archivos, ya sea una imagen, un texto, un video u otro formato de archivo.
Por lo general, cuando creas un NFT, tienes la opción de agregar contenido adicional que solo el titular del NFT puede revelar. Ese contenido puede ser cualquier cosa, incluidos contenidos de alta definición, mensajes, contenidos de video, acceso a comunidades secretas, códigos de descuento o incluso contratos inteligentes o “tesoros”.
A medida que el mundo del arte sigue evolucionando, las técnicas de NFT cambian con este. El diseño de NFT con metadatos privados es algo que veremos con más frecuencia en el futuro y que se aplicará de distintas formas, como en los juegos, los paywalls, la venta de entradas para eventos, etc.
Usos de la esteganografía
En los últimos tiempos, la esteganografía se ha usado principalmente en computadoras, en las que los datos digitales son las operadoras y las redes son los canales de propagación de alta velocidad. Entre los usos de la esteganografía se incluyen los siguientes:
- Evitar la censura: se usa para enviar información de actualidad sin que sea censurada y sin temor a que se haga un seguimiento de los mensajes hasta su remitente.
- Marca de agua digital: se usa para crear marcas de agua invisibles que no distorsionan la imagen, y al mismo tiempo se puede hacer un seguimiento para saber si se ha utilizado sin autorización.
- Proteger la información: las fuerzas de seguridad y los organismos gubernamentales la usan para enviar información muy confidencial a otras partes sin levantar sospechas.
Cómo se usa la esteganografía para realizar ataques
Desde el punto de vista de la ciberseguridad, los atacantes pueden usar la esteganografía para incrustar datos maliciosos en archivos que parecen inofensivos. Debido a que la esteganografía exige un esfuerzo y unos matices importantes para funcionar correctamente, con frecuencia su uso es responsabilidad de atacantes avanzados con objetivos específicos en mente. Aquí hay algunas maneras en que se pueden realizar los ataques a través de la esteganografía:
Ocultar cargas útiles maliciosas en archivos multimedia digitales
Las imágenes digitales pueden ser los objetivos principales porque contienen muchos datos redundantes que pueden manipularse sin modificar de forma perceptible la apariencia de la imagen. Debido a que su uso está tan extendido en el panorama digital, los archivos de imágenes no suelen despertar sospechas de intenciones maliciosas. Los videos, documentos, archivos de audio e incluso las firmas de correo electrónico también ofrecen medios alternativos potenciales para el uso de la esteganografía con el fin de infiltrar cargas maliciosas.
Ransomware y exfiltración de datos
Además, los grupos de ransomware han descubierto que el uso de la esteganografía puede ayudarles a llevar a cabo sus ataques. La esteganografía también puede usarse en la etapa de exfiltración de datos de un ciberataque. Al ocultar datos confidenciales dentro de comunicaciones legítimas, la esteganografía proporciona un medio para extraer datos sin ser detectados. Ahora que muchos atacantes consideran que la exfiltración de datos es el principal objetivo de los ciberataques, los especialistas en seguridad están mejorando la implementación de medidas para detectar la extracción de datos, a menudo mediante la supervisión del tráfico de red cifrado.
Ocultar comandos en las páginas web
Los atacantes pueden ocultar comandos para sus implantes en las páginas web con espacios en blanco y en los registros de depuración publicados en los foros, cargar de forma encubierta los datos robados en imágenes y mantener la persistencia almacenando el código cifrado en localizaciones específicas.
Publicidad maliciosa
Los atacantes que llevan a cabo campañas de malvertising pueden aprovecharse de la esteganografía. Pueden incrustar código malicioso dentro de los anuncios de banner en línea que, cuando se cargan, extraen código malicioso y redirigen a los usuarios a una página de destino del kit de exploits.
Ejemplos de esteganografía usada en ciberataques
Fraude de comercio electrónico
En 2020, la plataforma holandesa de seguridad de comercio electrónico Sansec publicó una investigación que revelaba que los atacantes habían incrustado malware de fraude (skimming) dentro de gráficos vectoriales escalables (SVG) en páginas de pago de comercio electrónico. Los ataques consistían en una carga maliciosa oculta dentro de imágenes SVG y un descodificador oculto por separado en otras partes de las páginas web.
Los usuarios que introdujeron sus datos en las páginas de pago vulneradas no advirtieron nada sospechoso porque las imágenes eran simples logotipos de empresas conocidas. Debido a que la carga estaba incluida en lo que parecía ser el uso correcto de la sintaxis de elementos SVG, los escáneres de seguridad estándar que buscaban sintaxis no válida no detectaron la actividad maliciosa.
SolarWinds
Además, en 2020, un grupo de piratas informáticos ocultó malware dentro de una actualización de software legítima de SolarWinds, fabricante de una popular plataforma de administración de infraestructuras de TI. Los piratas informáticos lograron infiltrarse en Microsoft, Intel y Cisco, además de en varios organismos gubernamentales estadounidenses. A continuación, utilizaban la esteganografía para ocultar la información que robaban en forma de archivos XML en apariencia inofensivos que se incluían en los mensajes de respuesta HTTP de los servidores de control. Los datos de los comandos dentro de dichos archivos se ocultaban como diferentes cadenas de texto.
Empresas industriales
De nuevo, en 2020, empresas del Reino Unido, Alemania, Italia y Japón se vieron afectadas por una campaña que usó documentos esteganográficos. Los piratas informáticos evitaron la detección mediante el uso de una imagen esteganográfica cargada en plataformas de imágenes de confianza, como Imgur, para infectar un documento de Excel. Mimikatz, un malware que roba contraseñas de Windows, se descargó a través de un script secreto que se incluía en la imagen.
Cómo se detecta la esteganografía
La práctica de detectar la esteganografía se denomina “esteganálisis”. Existen varias herramientas que pueden detectar la presencia de datos ocultos, como StegExpose y StegAlyze. Los analistas pueden usar otras herramientas de análisis general, como visores hexadecimales, para detectar anomalías en los archivos.
Sin embargo, buscar archivos modificados mediante la esteganografía es todo un desafío, sobre todo porque es prácticamente imposible saber por dónde empezar a buscar datos ocultos en las millones de imágenes que se cargan cada día en las redes sociales.
Mitigación de los ataques basados en la esteganografía
El uso de la esteganografía durante un ataque es bastante simple. Protegerse contra ella es mucho más complicado, ya que los atacantes son cada vez más innovadores y creativos. Entre algunas de las medidas de mitigación se incluyen las siguientes:
- La formación en ciberseguridad puede ayudar a conocer mejor los riesgos que conlleva la descarga de archivos multimedia de fuentes no confiables. También puede enseñar a detectar los correos electrónicos de suplantación de identidad (phishing) que contienen archivos maliciosos y a comprender la importancia de la esteganografía como ciberamenaza. En un nivel básico, hay que enseñarles a las personas a buscar imágenes con un tamaño de archivo inusualmente grande, ya que eso podría indicar la presencia de esteganografía.
- Las organizaciones deben implementar el filtrado web para navegar de forma más segura y también deben estar al día con los últimos parches de seguridad cuando haya actualizaciones disponibles.
- Las empresas deben usar tecnologías modernas de protección de endpoints que vayan más allá de las comprobaciones estáticas, las firmas básicas y otros componentes desactualizados, ya que es más probable que un motor de comportamiento detecte de forma dinámica el código oculto en las imágenes y otras formas de ofuscación. Las empresas deben centrar sus actividades de detección directamente en los endpoints, en los que el cifrado y la ofuscación son más fáciles de detectar.
- Asimismo, las empresas deberían usar la inteligencia de amenazas de diversas fuentes para mantenerse actualizadas con las tendencias, incluidos los ciberataques que afectan a su industria en los que se ha detectado la esteganografía.
- El uso de una solución antivirus completa te ayudará a detectar, poner en cuarentena y eliminar el código malicioso de tus dispositivos. Los productos antivirus modernos se actualizan automáticamente para brindar protección contra los virus y otros tipos de malware más recientes.
Productos relacionados:
Otros artículos: