Probablemente uno de los ejemplos más antiguos del uso de la esteganografía sea el referido por Heródoto en “Las historias”. En esta relata cómo un personaje de su obra había afeitado a navaja la cabeza de su esclavo de mayor confianza, le tatuó un mensaje en el cuero cabelludo, esperó a que le volviera a crecer el cabello y lo mandó al receptor del mensaje, con instrucciones de que le rapara la cabeza.

La esteganografía (del griego steganos, "cubierto" u "oculto", y graphos, "escritura") trata del estudio y aplicación de técnicas que permiten ocultar mensajes u objetos, dentro de otros, llamados “portadores” y de esta forma establecer un canal encubierto de comunicación, de modo que el propio acto de la comunicación pase inadvertido para observadores que tienen acceso a ese canal.

Una forma de diferenciar la esteganografía con la criptografía común es que la criptografía solo encripta los archivos manteniendo el contenido original inalterable, pero al abrirlo mostrará una secuencia de caracteres que no permitirá su lectura y para ver su contenido original es necesario conocer la clave.

La esteganografía, en cambio, es normalmente utilizada como vector de construcción de instrumentos para atacar mediante técnicas de “phishing” que transportan malware del tipo “ransomware”. La esteganografía clásica se basa únicamente en el desconocimiento del canal encubierto utilizado, que en la actualidad hace uso de recursos digitales como imágenes fijas, audios, videos, protocolos de comunicaciones, entre otros, para transportar programas maliciosos.

En la mayoría de los casos, el instrumento contenedor intenta adoptar la identidad de “conocido y autentico” y lo que se ignora es el algoritmo “incrustado" de manera subrepticia en dicho objeto. Para que pueda hablarse de esteganografía, debe haber voluntad de comunicación encubierta entre el emisor y el receptor.

Estas técnicas han suscitado mucho interés en los últimos años, especialmente para el desarrollo de estructuras criminales y terroristas que utilizan la tecnología informática y digital como un ARMA.

Las primeras modalidades de ataque de ransomware datan de la década del 90. Típicamente han sido utilizadas por instituciones policiales, militares y de inteligencia, y también criminales o civiles que desean bypassear un control gubernamental, especialmente en regímenes autoritarios.

Desde Heródoto hasta la actualidad, la esteganografía evolucionó facilitando que una secuencia de ataque involucre el lanzamiento de campañas de phishing. Desde nuestra tarea de monitoreo continuo hemos calculado un promedio de 600 diariamente durante la cuarentena por la pandemia. Los mails son los predilectos para engañar a los usuarios a la hora de suplantar identidad y transportar adjuntos que, gracias a la esteganografía, ocultan programas maliciosos. Estos softwares se instalan y despliegan procesos de encriptación y finalmente extorsión, pedido de rescate, con ciclos de vencimiento que duplican el pago, y la amenaza de publicar una copia de los datos cifrados y, en algunas ocasiones, subastarlos al mejor postor en el mercado negro.

Las estructuras mafiosas de las bandas que operan estas técnicas engrosan sus arcas y mantienen su anonimato. El alcance de sus acciones es global. Entidades gubernamentales, servicios públicos y de misión crítica, compañías tecnológicas y banca son los blancos más buscados. La posibilidad de asociar la identidad física con la digital y la autoría de la extorsión continúa siendo remota.

La experiencia nos demuestra que, a pesar de atender todos los reclamos y pedidos de los delincuentes, la probabilidad de que no cumplan con lo pactado es alta. La innovación que preocupa estos días está vinculada a las capacidades de un mismo grupo de ciberdelincuentes de atacar, en simultáneo, en cuatro países en diferentes continentes utilizando un modelo de “sicariato” para ejecutar RAAS (Ransomware as a Service). El malware que observamos tiene cada vez con mayor frecuencia estructura polimórfica, lo que significa que tiene la capacidad de cambiar constantemente su código para evadir la detección.

Las empresas tienden a verse más afectadas por los ataques basados en el correo electrónico, ya que este sigue siendo su principal herramienta de comunicación. El 45 % de los ciberdelitos analizados por nuestra práctica profesional incluyen algún tipo de phishing.

Desde el establecimiento de la pandemia y la cuarentena en sus distintas modalidades, el método principal de distribución de ransomware a través de correo electrónico lo constituye el argumento central y más poderoso que impulsaron los ciberdelincuentes, que se llama COVID-19. Este ha sido el punto de ingreso por el que se ha explotado el eslabón más frágil de la cadena, “EL FACTOR HUMANO”. Diría nuestro querido Heródoto, “Es más fácil embaucar a muchos juntos que a uno solo”.

 

CEO de BTR Consulting.
Especialista en ciberseguridad, riesgo tecnológico y de negocios