Si ves estas imágenes iguales, te colaron un virus

Las dos imágenes parecen ser idénticas y, de hecho, originalmente ‘pesaban’ lo mismo: 786.486 bytes. Sin embargo, la fotografía de la derecha contiene los diez primeros caracteres de la novela Lolita de Nabokov. Así de sencillo resulta ocultar mensajes cifrados, embebidos en imágenes que, aparentemente, son sólo eso, imágenes pero que en realidad oculta mucha más información.

Esta técnica, denominada esteganografía, se ha hecho muy popular en los últimos años –aunque se creó en el siglo XX- y saltó a las primeras planas por ser utilizada por terroristas para camuflar sus mensajes. Ahora, además, se ha extendido entre los desarrolladores de malware y spyware. Y es que los antivirus y demás software anti-malware poco pueden hacer contra el código insertado en imágenes, pasando inadvertidas.

Microcin (alias Six Little Monkeys), NetTraveler. Zberp, Enfal (Zero.T) o Triton (Fibbit) son sólo algunos de los últimos programas de malware o de ciberespionaje que contenían esteganografía. Los programas específicos para la detección de esteganografía aún se encuentran en un estado demasiado incipiente y todavía llevará tiempo en poder ser integradas en las herramientas antivirus de consumo doméstico.

Esto propicia que los malhechores que utilizan esta técnica, no sólo oculten los datos que quieren, si no que, además, consigan que no se detecte que esos datos se está cargando y descargando. Ni siquiera el software de seguridad de las empresas (sistemas DPI y anti-APT) pueden hacer frente a estos ficheros, pues no procesan archivos de imágenes por la cantidad de ellas que hay en las redes corporativas y, hoy por hoy, los algoritmo de análisis para este tipo de protección tienen precios desorbitados.

Pues bien, las noticias aún pueden ser peores, puesto que los malos parecen siempre ir un paso por delante de los buenos y han hallado un nuevo tipo de esteganografía… a través de los servidores DNS. ¿Cómo lo hacen? En realidad es más sencillo de lo que pudiera parecer.  Cuando se realiza una solicitud de DNS en el servidor DNS, el ciberdelincuente puede extraer la información que necesita del nombre de dominio que ha recibido descodificando su primera parte. De vuelta, el ciberdelincuente envía información en formato descodificado pero ubicándolo en el nombre de dominio de tercer nivel o superior.

Quien quiera ocultar información en una resolución de DNS, dispone nada menos que de 255 caracteres de reserva para ello, y de 63 caracteres para los subdominios. Dicho de otro modo, para quien sepa utilizarlo, puede llegar a ser un canal de comunicación muy útil que, además, resulta imperceptible para quien no lo busque específicamente.

El tema es mucho más complejo de lo que es posible describir en este artículo, pero éste resulta suficiente para transmitir la idea de lo complicada que puede llegar a ser la misión de los servicios de inteligencia antiterrorista que, a pesar de contar con tecnología de última generación, se enfrentan a una avalancha de amenazas inabarcables.