Los ciberdelincuenes usan cada vez más la técnica de la esteganografía

Mónica Tilves,

La versión digital de esta técnica les permite insertar información robada dentro del código de una imagen o vídeo para evitar la detección.

La esteganografía no es una técnica moderna. Se ha utilizado desde hace mucho tiempo para ocultar mensajes en imágenes. Pero ahora se le está dando un uso renovado.

La firma de seguridad Kaspersky Lab advierte sobre la versión digital de esta técnica. Los ciberdelincuentes la están utilizando cada vez más para ocultar su actividad maliciosa. Ya sea para temas de ciberespionaje como para hacerse con información financiera. El caso es que la tendencia es “preocupante” porque al carro de la esteganografía no se suman sólo los hackers más avanzados, sino también criminales comunes. Kaspersky Lab ha encontrado su rastro en versiones actualizadas de troyanos como Zerp, ZeusVM, Kins o Triton.

“Aunque ésta no es la primera vez que hemos presenciado una técnica maliciosa, originalmente utilizada por actores de amenazas sofisticadas, encontrar su camino en el panorama de malware mainstream, el caso de esteganografía es especialmente importante”, comenta Alexey Shulmin, investigador de seguridad de Kaspersky Lab.

“Hasta ahora”, dice Shulmin, “la industria de seguridad no ha encontrado una manera de detectar de forma fiable la exfiltración de datos realizada de esta manera”. La información robada se inserta dentro del código de una imagen o vídeo para enviarla al servidor de comando y control. A pesar de la modificación sufrida, la imagen no varía visualmente y la mayoría de los parámetros se mantienen.

“Las imágenes utilizadas por los atacantes como una herramienta de transporte de información robada son muy grandes, y aunque hay algunos algoritmos que podrían detectar de forma automática la técnica, su implementación a gran escala requeriría toneladas de poder computacional y tendría un coste prohibitivo”, continúa Alexey Shulmin.

Este experto añade que “es relativamente fácil identificar una imagen ‘cargada’ con datos confidenciales robados con la ayuda del análisis manual. Sin embargo”, matiza, “este método tiene limitaciones, ya que un analista de seguridad sólo sería capaz de analizar un número muy limitado de imágenes por día”.

“Tal vez”, resuelve desde Kaspersky Lab, “la respuesta sea una mezcla de los dos” métodos de detección.