Ocultar secretos en los archivos de audio de un CD. Este es el método que emplea Elliot Alderson para esconder información. Sin embargo, la técnica que utiliza el famoso hacker protagonista de la ficción televisiva “Mr Robot” no tiene nada de ficción. Esta es solo una de las múltiples técnicas de esteganografía que utilizan hackers y cibercriminales para evadir los sistemas de seguridad.
Del griego steganos (oculto) y graphos (escritura), la esteganografía es un método no solo de esconder información, también la propia acción de encubrimiento. Para analizar cómo actuar ante esta amenaza, contamos con la colaboración de Daniel Lerch, Doctor en Tecnologías de la Información y de Redes por la UOC y uno de los mayores expertos en esteganografía de España.
Panda Security: ¿Cómo definiría la esteganografía? ¿Qué la diferencia de la criptografía?
Daniel Lerch: La esteganografía estudia cómo ocultar información en un objeto portador (una imagen, un archivo de audio, un texto o un protocolo de red). Mientras que en la criptografía se pretende que el mensaje enviado no pueda ser leído por un atacante, en la esteganografía el objetivo es ocultar incluso el hecho de que la comunicación está teniendo lugar.
Ambas ciencias no son excluyentes. De hecho, en esteganografía se suele usar criptografía para cifrar el mensaje antes de ocultarlo. Pero sus objetivos son diferentes: no todo el que necesita proteger la información, necesita también esconderla. Por tanto, la esteganografía sería una capa adicional de seguridad.
PS: Para quién ofrece mayores ventajas, ¿para los cibercriminales o para los responsables de seguridad de empresas e instituciones?
DL: Sin duda, para los cibercriminales. Los responsables de seguridad de empresas e instituciones no necesitan ocultar sus comunicaciones. Para mantenerlas seguras, basta con usar criptografía.
La esteganografía es una herramienta de gran interés para diferentes tipos de criminales, puesto que permite comunicarse sin ser detectado. Son ejemplos típicos las comunicaciones entre células terroristas, la difusión de material ilegal, la extracción de secretos empresariales, o su uso como herramienta para ocultar malware o los comandos que permiten controlar remotamente este malware.
PS: ¿Cómo ha evolucionado esta técnica en los últimos tiempos?
DL: En función del medio sobre el que se aplica la esteganografía, la evolución ha sido diferente.
La que más ha evolucionado es la esteganografía en imágenes. Son tan difíciles de modelar estadísticamente que es muy sencillo realizar modificaciones sin que se note. Por ejemplo, el valor de un píxel en una imagen en blanco y negro se puede representar por un byte, es decir, un número entre 0 y 255. Si ese valor lo modificamos en una unidad (escondiendo un bit) el ojo humano no puede percibirlo. Pero es que, además, un análisis estadístico de la imagen tampoco lo tiene fácil para detectar esta alteración. Son un medio excelente para ocultar información, como el vídeo y el audio.
Otro medio que ha recibido bastante atención es la esteganografía en los protocolos de red. Sin embargo, a diferencia de lo que ocurre con las imágenes, los protocolos de red están bien definidos. Si cambiamos información de un paquete se nota, por lo que hay menos margen de maniobra a la hora de esconder información. Aunque de entrada pueden parecer fáciles de detectar, estas técnicas pueden resultar efectivas por la dificultad de analizar la gran cantidad de tráfico que hay en las redes actuales.
Uno de los medios portadores más antiguos, pero que menos ha evolucionado en la era digital es el texto. Sin embargo, la esteganografía en texto podría realizar un salto significativo gracias al machine learning. En las técnicas desarrolladas durante los últimos años, el proceso de ocultación de información es tedioso y requiere la asistencia manual del usuario para generar un texto inocuo que tenga sentido y que lleve un mensaje oculto. Sin embargo, los avances actuales en deep learning aplicado al NLP permiten generar cada vez textos más realistas, por lo que es posible que veamos pronto herramientas de esteganografía en texto realmente difíciles de detectar.
PS: ¿Qué aplicaciones tiene el estegoanálisis en el ámbito de la seguridad informática? ¿Qué técnicas se suelen utilizar?
DL: Desde el punto de vista de la seguridad empresarial, las aplicaciones principales son la detección de malware que usa esteganografía para ocultarse y la detección de usuarios maliciosos intentando extraer secretos.
Desde el punto de vista de las agencias de seguridad nacional, las aplicaciones principales del estegoanálisis son la detección de comunicaciones terroristas o de espionaje.
Aunque la mayor parte de las herramientas de esteganografía que podemos encontrar en Internet son poco sofisticadas y se podrían detectar con ataques sencillos y conocidos, no existen herramientas públicas de calidad que nos permitan automatizar el proceso, detectando esteganografía en protocolos de red, en imágenes, en video, en audio, en texto, etc.
Quizás esto no sea posible todavía. Por ejemplo, en el campo de la esteganografía en imágenes las técnicas avanzadas con las que se investiga actualmente, a duras penas pueden ser detectadas usando machine learning. Si además la información se distribuye entre diferentes medios reduciendo significativamente la cantidad de información por objeto portador, su detección con la tecnología actual se vuelve prácticamente imposible.
PS: ¿Qué papel cree que jugará la esteganografía en los próximos años? ¿Será cada vez más un arma de ataque o una herramienta de defensa?
DL: La esteganografía como herramienta de defensa no es habitual, aunque existen ejemplos, como la extracción de información por parte de activistas de países totalitarios.
El papel principal de la esteganografía en los próximos años lo veremos en su aplicación como herramienta para ocultar malware y para enviar a dicho malware comandos de control. Actualmente ya se está haciendo, aunque con técnicas bastante rudimentarias. El uso de técnicas de esteganografía modernas para ocultar código malicioso dificultará enormemente su detección, obligando a las herramientas de seguridad a usar técnicas de estegoanálisis avanzadas.
PS: ¿Qué consejos daría a un profesional de seguridad informática que está pensando en utilizar estegoanálisis?
DL: Seguramente estará interesado en detectar malware o exfiltrar datos. Lo primero es documentarse bien, conocer qué herramientas existen y cuándo y cómo usarlas. Después, practicar. Disponer de datos prueba y validar con ellos las tecnologías que implementamos.
Si usa machine learning para realizar estegoanálisis, debe tener cuidado con qué datos emplea para entrenar el sistema. El modelo tiene que ser capaz de predecir datos que no ha visto nunca. Incurriría en un error si, para validar el modelo, usa datos que ha empleado para entrenarlo. En machine learning se suele decir que un modelo es tan bueno como lo son los datos de entrenamiento. Por lo que si nuestros datos de entrenamiento no son completos las predicciones que realizará nuestro modelo no serán fiables. Cuantos más datos usemos para entrenar el modelo, menos probabilidades habrá de que sea incompleto. De lo contrario, corremos el riesgo de acabar desarrollando herramientas que solo funcionan bien en el laboratorio, con nuestros datos de prueba.
PS: ¿Qué rol desempeñarán la inteligencia artificial y el machine learning en las estrategias de ciberseguridad empresarial?
DL: Un ejemplo sería la detección automática de fallos de seguridad en el software. También la sustitución de un software antivirus que detecta firmas de virus conocidos por un sistema de inteligencia artificial que identifica los virus en base a sus características comunes y comportamiento.
PS: En un entorno en el que cada vez existen más dispositivos conectados, ¿qué medidas de seguridad se deberían adoptar para proteger la privacidad de loT datos a nivel empresarial?
DL: Las medidas de seguridad en dispositivos IoT tienen que ser las mismas que se aplican a otros dispositivos conectados a la misma red. Puede parecer extraño tener que gestionar la seguridad del termostato de la oficina al mismo nivel que un PC, pero desde el punto de vista de un atacante, este es un punto de acceso a la red tan bueno como cualquier otro.
Panda Security es una empresa especializada en la creación de productos de seguridad para endpoints que son parte del portfolio de soluciones de seguridad IT de WatchGuard. Centrada inicialmente en la creación de software antivirus, la compañía ha ampliado sus objetivos expandiendo su línea de negocio hacia los servicios de ciberseguridad avanzada con tecnologías para la prevención del cibercrimen.
