La esteganografía es una técnica que consiste en ocultar información dentro de otro mensaje u objeto físico para evitar que sea detectada. Se puede utilizar para ocultar cualquier tipo de contenido digital, como texto, imágenes, videos o audios.

Decenas de años atrás, cuando todavía era posible la vida sin internet, usábamos esta técnica para enviarnos mensajes, contraseñas y hasta porciones de código escondidos en imágenes a través de los foros y salas de chat de los BBS, para evitar que ojos curiosos o los propios administradores pudieran detectarlos. Y no habíamos inventado nada: Ya Herodoto nos contó como un tipo le afeitó la cabeza a un esclavo, le tatuó un mensaje en el cuero cabelludo y, cuando le volvió a crecer el pelo, lo mandó a llevar el secreto a su destinatario. No es difícil imaginarse que, siglos despues, la técnica evolucionó lo suficiente como para esconder casi cualquier información dentro de cualquier cosa.

Y resulta que, si puede esconderse información en cualquier archivo digital, no hay problemas en esonder del mismo modo código ejecutable. Si alguien se toma el trabajo de esconderlo, obviamente no será por nada bueno.

Queda claro entonces que no es imprescindible descargar una aplicación infectada y ejecutarla para comprometer nuestra computadora: abrir una simple foto que nos haya enviado alguien con malas intenciones podría llegar a infectar con malware cualquier dispositivo.

Mails, WhatsApp, redes sociales y hasta cualquier sitio WEB

Estas semanas vuelven a circular falsos correos con intimaciones de pago o solicitud de confirmación de datos de entrega que incluyen en el cuerpo del mensaje una imagen insertada que, a simple vista, no es sino la copia de una factura, remito o comprobante de envío que no parece revestir ningún peligro. Incluso los links para descargar el documento o información adicional, apuntan a la misma imagen y tampoco parece peligroso.

Sin embargo, haciendo un análisis un poco más profundo, resulta que diferentes versiones de correos incluyen, escondido dentro de esa imagen, un virus troyano capaz de descargar y ejecutar otro malware más complejo y con diferentes fines según sean el objetivo de cada campaña delictiva. Sólo es necesario abrir ese archivo para que el visor de imágenes de tu dispositivo complete la misión del atacante.

Esta misma técnica se aplica ya con imágenes enviadas a través de WhatsApp (las interminables cadenas de reenvíos de lo que parece ser un meme gracioso e inofensivo terminan creando incontrolables cadenas de distribución de infecciones…), y redes sociales. Incluso las imágenes que ves en un sitio web pueden estar adulteradas con el mismo fin. No es raro que los delincuentes creen avisos infectados y paguen publicidad para que esas publicidades aparezcan en cuanto sitio sea posible para cazar la mayor cantidad de víctimas.

No sólo imágenes

Podría ser un audio, un video o cualquier clase de archivo digital. En algunas campañas los PDFs son los preferidos. En otras, los archivos de Word. Las planillas de Excel no estan excentas ni mucho menos pero suelen ser preferidas para otro tipo de técnicas: se ofrecen por internet planillas con macros programados para realizar todo tipo de tareas: cálculos de interes, liquidaciones de sueldos e impuestos, etcétera. Y dentro de esos macros, puede ocultarse alguna acción adicional no deseada.

Cómo prevenir?

Las buenas prácticas aconsejadas para el uso general de cualquier dispositivo, aplican en este caso:

Mantener el sistema y aplicaciones actualizadas. El uso de versiones obsoletas de aplicaciones y, especialemente, de sistemas operativos, es sumamente riesgoso pues no cuentan con las últimas correcciones y medidas de seguridad frente a las nuevas amenazas.
Un antivirus confiable, actualizado y siempre activado. Evitar configurar excepciones para poder instalar software de origen dudoso.
No descargar e instalar software desde cualquier lado por la desesperación de conseguir gratis aplicaciones o juegos carísimos. Por supuesto lo ideal (y legal) es adquirir los originales pero, si no es posible, consultar con alguien que esté más o menos informado al respecto de dónde podría obtenerse una alternativa segura.
En los clientes de correo (Outlook, Thunderbird, Mail…) mantener desactivada la descarga automática de imágenes y contenido externo. Entiendo que es engorroso ver los correos con cuadritos vacíos y tener que hacer clicks adicionales para tener el contenido, pero es lo más seguro y sólo debe permitirse la descarga del contenido cuando el correo proviene de remitentes confiables.
Evitar el envío indiscriminado de contenidos a través de redes sociales: además de peligroso, el exceso termina siendo hasta molesto para el resto de la humanidad, que termina recibiendo 35 veces el mismo adorable gatito o el mismo video de la señora que no puede estacionar el auto.

Conclusión

Al ser víctimas de una estafa, el robo de cuentas bancarias o la pérdida de archivos por un virus, si no hemos recibido una llamada sospechosa, no descargamos software pirata ni hicimos click en una oferta de iPhone 38, tendemos a pensar que fuimos víctimas de algun súper hacker internacional con increíbles habilidades, cuando quizás simplemente sucedió que ese meme del cachorrito mimoso que tanto nos enterneció, en realidad venía con premio.

Salute!

Gracias por compartir!