La esteganografía, la práctica de ocultar información, existe desde hace siglos. Desde hace poco tiempo, se la asocia con algunas formas de ciberataques. Sigue leyendo para obtener más información sobre ejemplos de esteganografía, sus tipos y su uso en ciberseguridad.
¿Qué es la esteganografía?
La esteganografía es la práctica de ocultar información dentro de otro mensaje u objeto físico para evitar su detección. Se puede usar para ocultar casi cualquier tipo de contenido digital, ya sea texto, imágenes, videos o audios. Luego, dichos datos ocultos se extraen en destino.
A veces, el contenido encubierto mediante esteganografía se cifra antes de ocultarlo dentro de otro formato de archivo. Si no está cifrado, es posible que se procese de alguna manera para que sea más difícil de detectar.
Como forma de comunicación encubierta, la esteganografía se compara a veces con la criptografía. Sin embargo, no son lo mismo, ya que la esteganografía no consiste en codificar los datos al enviarlos ni en usar una clave para descodificarlos al recibirlos.
El término "esteganografía" procede de las palabras griegas "steganos" (que significa oculto o cubierto) y "graphein" (que significa escritura). Se ha practicado de diversas formas durante miles de años para mantener la privacidad de las comunicaciones. Por ejemplo, en la antigua Grecia, las personas grababan mensajes en madera y luego los ocultaban con cera. Los romanos usaban diversas formas de tintas invisibles, que podían descifrarse al aplicar luz o calor.
La esteganografía es un elemento importante para la ciberseguridad, ya que los grupos de ransomware y otras amenazas suelen ocultar información cuando atacan a un objetivo. Por ejemplo, pueden ocultar datos o una herramienta maliciosa, o enviar instrucciones a servidores de comando y control. Podrían colocar toda esta información en archivos de imagen, video, sonido o texto que parecen inofensivos.
¿Cómo funciona la esteganografía?
La esteganografía consiste en ocultar información de forma que no se levanten sospechas. Una de las técnicas más comunes es la esteganografía de "bits menos significativos" (LSB). Consiste en incrustar la información secreta en los bits menos significativos de un archivo multimedia. Por ejemplo:
- En un archivo de imagen, cada píxel está formado por tres bytes de datos correspondientes a los colores rojo, verde y azul. Algunos formatos de imagen asignan un cuarto byte adicional a la transparencia o "alfa".
- La esteganografía de LSB modifica el último bit de cada uno de estos bytes para ocultar un bit de datos. Por lo tanto, para ocultar un megabyte de datos con este método, se necesitaría un archivo de imagen de ocho megabytes.
- Modificar el último bit del valor del píxel no produce un cambio perceptible con notoriedad en la imagen, lo que significa que cualquier persona que vea la imagen original y la modificada con esteganografía no podrá diferenciarlas.
El mismo método puede aplicarse a otros medios digitales, como audio y video, en los que los datos se ocultan en partes del archivo que producen el menor cambio en la salida audible o visual.
Otra técnica de la esteganografía es el uso de la sustitución de palabras o letras. Consiste en que el remitente de un mensaje secreto oculta el texto distribuyéndolo dentro de otro mucho más grande y colocando las palabras a intervalos específicos. Si bien este método de sustitución es fácil de usar, también puede hacer que el texto parezca extraño y fuera de lugar, ya que las palabras secretas podrían no ser coherentes con las oraciones de destino.
Otros métodos de esteganografía consisten en ocultar una partición entera de un disco duro o incrustar datos en la sección de encabezado de archivos y paquetes de red. La eficacia de estos métodos depende de la cantidad de datos que puedan ocultar y lo fáciles que sean de detectar.
Tipos de esteganografía
Desde una perspectiva digital, existen cinco tipos principales de esteganografía que se enumeran a continuación:
- Esteganografía de texto
- Esteganografía de imagen
- Esteganografía de video
- Esteganografía de audio
- Esteganografía de red
Veamos cada uno de estos tipos en mayor profundidad:
Esteganografía de texto
La esteganografía de texto consiste en ocultar información en archivos de texto. Esto incluye cambiar el formato de un texto existente, modificar palabras en un texto, usar gramática sin contexto para generar textos legibles o generar secuencias de caracteres aleatorias.
Esteganografía de imagen
Esta técnica consiste en ocultar información en archivos de imagen. En la esteganografía digital, las imágenes suelen usarse para ocultar información porque hay un gran número de elementos dentro de la representación digital de una imagen, y existen varias formas para ocultar información en una imagen.
Esteganografía de audio
La esteganografía de audio consiste en incrustar mensajes secretos en una señal de audio que modifica la secuencia binaria del archivo de audio correspondiente. Ocultar mensajes secretos en sonido digital es un proceso más difícil en comparación con otros.
Esteganografía de video
En este caso, los datos se ocultan en formatos digitales de video. La esteganografía de video permite ocultar grandes cantidades de datos a lo largo de un flujo de imágenes y sonidos en movimiento. Existen dos tipos de esteganografía de video:
- Incrustar datos en video sin comprimir y luego comprimirlos
- Incrustar datos directamente en el flujo de datos comprimidos
Esteganografía de red
La esteganografía de red, a veces conocida como esteganografía de protocolo, es la técnica mediante la cual se incrusta información en los protocolos de control de red que se usan en la transmisión de datos, como TCP, UDP, ICMP, etc.
Comparación entre esteganografía y criptografía
La esteganografía y la criptografía comparten el mismo objetivo: proteger un mensaje o determinada información de terceros, pero usan mecanismos diferentes para lograrlo. La criptografía cambia la información a texto cifrado que solo puede entenderse con una clave de descifrado. Esto quiere decir que si alguien interceptara este mensaje cifrado, podría ver con facilidad que se aplicó alguna forma de cifrado. En cambio, la esteganografía no cambia el formato de la información, pero sí oculta la existencia del mensaje.
Esteganografía y NFT
Es posible que algunos aspectos se superpongan entre la esteganografía y los NFT o tokens no fungibles. La esteganografía es una técnica para ocultar archivos dentro de otros archivos, ya sea una imagen, un texto, un video u otro formato de archivo.
Por lo general, al crear un NFT, tienes la opción de agregar contenido adicional que solo el titular del NFT puede revelar. Esta información adicional puede ser cualquier cosa, incluso contenido de alta definición, mensajes, contenido de video, acceso a comunidades secretas, códigos de descuento o incluso contratos inteligentes o "tesoros".
A medida que el mundo del arte sigue evolucionando, a su vez cambian las técnicas de NFT. El diseño de NFT con metadatos privados es algo que veremos con más frecuencia en el futuro y se aplicará de distintas formas, como en juegos, muros de pago, venta de entradas para eventos, etc.
Usos de la esteganografía
En los últimos tiempos, la esteganografía se usa sobre todo en computadoras, en donde los datos digitales son las operadoras y las redes son los canales de propagación de alta velocidad. Entre los usos de la esteganografía se incluyen los siguientes:
- Evitar la censura: Se usa para enviar información de actualidad sin que sea censurada y sin temor a que se haga un seguimiento de los mensajes hasta su remitente.
- Marca de agua digital: Se usa para crear marcas de agua invisibles que no distorsionan la imagen, y al mismo tiempo se puede hacer un seguimiento para saber si se utilizó sin autorización.
- Proteger la información: Las fuerzas de seguridad y los organismos gubernamentales la usan para enviar información muy confidencial a otras partes sin levantar sospechas.
Cómo se usa la esteganografía para realizar ataques
Desde el punto de vista de la ciberseguridad, los atacantes pueden usar la esteganografía para incrustar datos maliciosos en archivos que parecen inofensivos. Debido a que la esteganografía exige esfuerzos y características importantes para funcionar de forma correcta, con frecuencia su uso es responsabilidad de atacantes avanzados con objetivos específicos en mente. Aquí hay algunas maneras en que se pueden realizar ataques mediante la esteganografía:
Ocultamiento de cargas útiles maliciosas en archivos multimedia digitales
Las imágenes digitales pueden ser los objetivos principales porque contienen muchos datos redundantes que pueden manipularse sin modificar de forma perceptible la apariencia de la imagen. Debido a que su uso está tan extendido en el panorama digital, los archivos de imágenes no suelen despertar sospechas de intenciones maliciosas. Los videos, documentos, archivos de audio e incluso las firmas de correo electrónico también ofrecen posibles medios alternativos para aplicar la esteganografía con el fin de infiltrar cargas maliciosas.
Ransomware y exfiltración de datos
Además, los grupos de ransomware descubrieron que el uso de la esteganografía puede permitirles llevar a cabo sus ataques. La esteganografía también puede usarse en la etapa de exfiltración de datos de un ciberataque. Al ocultar datos confidenciales en comunicaciones legítimas, la esteganografía brinda un medio para extraer datos sin que se detecte. Ahora que muchos atacantes consideran que la exfiltración de datos es el principal objetivo de los ciberataques, los especialistas en seguridad están mejorando la implementación de medidas para detectar la extracción de datos, a menudo mediante la supervisión del tráfico de red cifrado.
Ocultamiento de comandos en páginas web
Los atacantes pueden ocultar comandos para sus implantes en las páginas web con espacios en blanco y en registros de depuración publicados en foros, cargar de forma encubierta los datos robados en imágenes y mantener la persistencia almacenando el código cifrado en localizaciones específicas.
Publicidad maliciosa
Los atacantes que llevan a cabo campañas de publicidad maliciosa pueden aprovecharse de la esteganografía. Pueden incrustar código malicioso dentro de los anuncios de banner en línea que, al cargarse, extraen código malicioso y redirigen a los usuarios a una página de inicio del kit de exploits.
Ejemplos de esteganografía usada en ciberataques
Fraude de comercio electrónico
En 2020, la plataforma holandesa de seguridad de comercio electrónico Sansec publicó una investigación que revelaba que los atacantes habían incrustado malware de fraude (skimming) dentro de gráficos vectoriales escalables (SVG) en páginas de pago de comercio electrónico. Los ataques consistían en una carga maliciosa oculta dentro de imágenes SVG y un descodificador oculto por separado en otras partes de las páginas web.
Los usuarios que ingresaron sus datos en las páginas de pago en riesgo no advirtieron nada sospechoso porque las imágenes eran simples logotipos de empresas conocidas. Debido a que la carga estaba incluida en lo que parecía ser el uso correcto de la sintaxis de elementos SVG, los escáneres de seguridad estándar que buscaban sintaxis no válida no detectaron la actividad maliciosa.
SolarWinds
Además, en 2020, un grupo de hackers ocultó malware dentro de una actualización de software legítima de SolarWinds, fabricante de una popular plataforma de administración de infraestructuras de TI. Los hackers lograron infiltrarse en Microsoft, Intel y Cisco, además de en varios organismos gubernamentales estadounidenses. A continuación, utilizaron la esteganografía para ocultar la información que robaban en forma de archivos XML (en apariencia inofensivos) que se incluían en mensajes de respuesta HTTP de los servidores de control. Los datos de los comandos en dichos archivos se ocultaban como diferentes cadenas de texto.
Empresas industriales
De nuevo, en 2020, empresas del Reino Unido, Alemania, Italia y Japón se vieron afectadas por una campaña que usó documentos esteganográficos. Los hackers evitaron la detección mediante el uso de una imagen esteganográfica cargada en plataformas de imágenes de confianza, como Imgur, para infectar un documento de Excel. Mimikatz, un malware que roba contraseñas de Windows, se descargó a través de un script secreto que se incluía en la imagen.
Cómo se detecta la esteganografía
La práctica de detectar la esteganografía se denomina "esteganálisis". Existen varias herramientas que pueden detectar la presencia de datos ocultos, como StegExpose y StegAlyze. Los analistas pueden usar otras herramientas de análisis general, como visores hexadecimales, para detectar anomalías en archivos.
Sin embargo, buscar archivos modificados mediante la esteganografía es todo un desafío, sobre todo porque es casi imposible saber por dónde empezar a buscar datos ocultos en las millones de imágenes que se cargan cada día en redes sociales.
Mitigación de los ataques basados en la esteganografía
El uso de la esteganografía durante un ataque es bastante simple. Protegerse contra ella es mucho más complicado, ya que los atacantes actúan de formas cada vez más creativas e innovadoras. Entre algunas de las medidas de mitigación se incluyen las siguientes:
- La capacitación en ciberseguridad puede ayudar a conocer mejor los riesgos que conlleva la descarga de archivos multimedia de fuentes no confiables. También puede enseñar a detectar los correos electrónicos de suplantación de identidad (phishing) que contienen archivos maliciosos y a comprender la importancia de la esteganografía como ciberamenaza. En un nivel básico, las personas deben aprender a buscar imágenes con un tamaño de archivo inusualmente grande, ya que eso podría indicar la presencia de esteganografía.
- Las organizaciones deben implementar el filtrado web para navegar de forma más segura y también deben estar al día con los últimos parches de seguridad cuando haya actualizaciones disponibles.
- Las empresas deben usar tecnologías modernas de protección de endpoints que vayan más allá de las comprobaciones estáticas, las firmas básicas y otros componentes desactualizados, ya que es más probable que un motor de comportamiento detecte de forma dinámica el código oculto en imágenes y otras formas de ocultamiento. Las empresas deben dedicar sus actividades de detección directamente en endpoints, donde el cifrado y el ocultamiento son más fáciles de detectar.
- Asimismo, las empresas deberían usar la inteligencia de amenazas de diversas fuentes para mantenerse actualizadas con las tendencias, incluidos los ciberataques que afectan a su industria en los que se detectó esteganografía.
- El uso de una solución antivirus integral permitirá detectar, poner en cuarentena y eliminar el código malicioso de tus dispositivos. Los productos antivirus modernos se actualizan de forma automática para brindar protección contra virus y otros tipos de malware más recientes.
Productos relacionados:
Más artículos: