HayCanal.com

La esteganografía frente a la criptografía

La esteganografía frente a la criptografía

Los ciberdelincuentes cada vez usan técnicas más sofisticadas para esconder la información que quieren transmitir.

Para alertar sobre esta amenaza, que va en aumento, y combatirla se ha invitado al investigador principal del grupo de investigación K-riptography and Information Security for Open Networks (KISON) de la UOC, David Megías, a formar parte de la iniciativa Uso Delictivo de la Ocultación de Información (CUIng), que coopera con el Centro Europeo de Ciberdelincuencia de la Europol (EC3).

Megías es uno de los pocos en el Estado que son expertos en una técnica muy desarrollada para ocultar información en ficheros digitales: la esteganografía. Esta técnica permite esconder a simple vista información en imágenes, vídeos, audios, documentos de texto e incluso protocolos de comunicación. Es el equivalente digital de la tinta invisible. «Por ejemplo, se puede publicar una foto en Instagram con información secreta incrustada y que solo  sean conscientes las personas que se han conchabado previamente para consultarla por esta vía», explica el experto.

Utilizan la esteganografía los espías, como pasó con la red descubierta en Estados Unidos en 2010, y los terroristas. En este último caso, los delincuentes se han mandado mensajes codificados por medio de las plataformas eBay y Reddit o por vídeos. A un miembro de Al Qaeda, arrestado en Berlín en 2011, se le encontró lo que parecía un vídeo pornográfico en una tarjeta de memoria; pero, gracias a técnicas forenses digitales, fue posible descubrir que contenía 141 documentos escondidos con detalles de las operaciones y planes de futuro de esta organización terrorista.

Los ciberdelincuentes también son un colectivo que usa estos sistemas de camuflaje en los ciberataques. Su finalidad es introducir código malicioso (malware) encubierto en las redes informáticas. Los últimos casos conocidos de códigos secretos introducidos por ciberdelincuentes rusos, entre otros, son el Hammertoss, el Stegoloader, el Regin o el Duqu.

Ante este contexto, la iniciativa CUIng, creada en 2016 y formada por varios expertos del ámbito académico, la industria, las fuerzas o cuerpos de seguridad y las instituciones, entre otros, trabaja para abordar este problema y evitar así que se generalice. Tiene como principales objetivos concienciar de las amenazas, hacer un seguimiento de los adelantos en este ámbito, compartir información estratégica frente a posibles amenazas, trabajar conjuntamente para desarrollar contramedidas efectivas e integrarlas a escala global –o al menos en la UE– y educar y formar expertos en estas tecnologías.

«Con esta iniciativa se quiere poner énfasis en una problemática que es muy fácil que pase inadvertida. Actualmente las protecciones contra este tipo de técnicas son muy bajas y es importante extremar la vigilancia», señala Megías, también director del instituto de investigación Internet Interdisciplinary Institute (IN3) de la UOC.

La esteganografía versus la criptografía

La esteganografía a menudo se confunde con criptografía porque ambas tienen un propósito común: proporcionar confidencialidad. La diferencia se puede encontrar mirando la etimología de estas dos palabras. Esteganografía en griego significa 'escritura escondida', mientras que la criptografía significa 'escritura secreta'. La primera utiliza técnicas para crear un canal de comunicación oculto y, la segunda, en cambio, no esconde la información enviada sino que la hace ininteligible para las personas que no están autorizadas a leerla. Es decir, en una se aplica un método para mantener confidencial el canal de comunicación y en la otra para mantener indescifrable el mensaje.

En la esteganografía existen varias formas de incrustar información camuflada en ficheros digitales. «En el caso de fotografías, se pueden ocultar datos en las imágenes alterando por ejemplo las propiedades específicas de los píxeles. En todo caso, el objetivo es que la transmisión de la información escondida pase totalmente inadvertida», explica Megías.

Para concluir, el experto subraya que esta técnica también se puede utilizar para fines beneficiosos como son la protección de datos personales o la transmisión de información confidencial dentro de una organización y entre trabajadores, por ejemplo para protegerla del espionaje industrial.


Noticias que marcan tendencia en el sector IT

Últimas Noticias

Nombramientos