Una novedosa amenaza de ciberseguridad comenzó a expandirse en los últimos días. Se trata de la transmisión de virus malware a través de imágenes que se comparten por internet, ya sea por email o mensajes multimedia en aplicaciones.
La técnica es conocida como esteganografía, una disciplina que consiste en ocultar información dentro de otro tipo de datos, de modo que no quede visible. Mientras la criptografía se centra en hacer que la información sea ilegible, la esteganografía se enfoca en hacer que la información pase desapercibida. En un contexto de seguridad informática, se utiliza principalmente para incrustar código malicioso en archivos multimedia, como imágenes o videos.
Aunque no es una técnica nueva, su empleo en la distribución de malware está en aumento: muchos ciberdelincuentes la adoptaron como una herramienta eficaz para eludir los sistemas de detección de amenazas convencionales, por su facilidad de implementación y para llegar a sus objetivos sin levantar sospechas.
“La expansión o transmisión de malware por imágenes puede ocurrir de varias formas”, explicó Tecno Fabiana Ramírez, investigadora de seguridad informática de ESET Latinoamérica. “Los casos más comunes se dan a partir de la distribución de imágenes con código malicioso a través de correos electrónicos, mensajes de texto, redes sociales y aplicaciones de mensajería instantánea, por ejemplo”. Además, los cibercriminales pueden comprometer sitios web legítimos e incrustar este tipo de imágenes en las portadas de las páginas web o dentro de su contenido.
¿Cómo funcionan las técnicas para esconder códigos maliciosos dentro de imágenes?
Existen dos técnicas para esconder virus dentro de imágenes. Ambas trabajan sobre el archivo: “Una imagen digital está formada básicamente de píxeles. Cada pixel tiene un valor en bits que define su color. La esteganografía consiste en aprovechar ciertas características de los archivos, en este caso, una imagen, para ocultar información”, explicó Ramírez.
La llamada Codificación LSB modifica los bits menos significativos de los píxeles para codificar la información oculta. Y el enmascaramiento de datos oculta la información dentro de áreas de la imagen que son menos perceptibles para el ojo humano, como áreas de baja frecuencia o ruido.
¿Cómo se ejecuta el código malicioso y se activa el virus?
“En principio, una imagen no ejecuta código en un sistema por sí sola. Sin embargo, existen casos en los que los archivos de imagen han sido manipulados para explotar vulnerabilidades en el software que los procesa, lo que podría llevar a la ejecución de código malicioso”, aclaró la especialista.
Para que esto pase es necesario encontrar una vulnerabilidad en el software de visualización de imágenes y que de alguna forma ejecute los comandos que un atacante desea al leer el comando malicioso incrustado en la imagen. La explicación técnica requiere de experiencia y conocimiento en programación: “Se transforma la imagen en un contenedor de código Javascript de forma que, cuando se cargue un navegador con el elemento HTML 5 Canvas, se ejecute este código. Este concepto de imagen más código Javascript se llama IMAJS (IMAge+JavaScript)”, describió Ramírez. Y agregó: “Ahora bien, esto resulta complejo y pueden mencionarse otros métodos, como por ejemplo que los atacantes envíen la imagen a través de un correo electrónico o mensaje de texto con instrucciones persuasivas para que el usuario la abra”.
¿Cómo se puede detectar un virus dentro de una imagen?
La realidad es que es difícil detectar la presencia de código malicioso en imágenes sin herramientas específicas de análisis. “Considerando que las imágenes son un formato de archivo común y ampliamente utilizado en Internet, proporciona a los atacantes una amplia superficie de ataque para distribuir malware”, afirmó Fabiana Ramírez. “Si tenemos en cuenta que los malware distribuidos en este tipo de amenaza son de distinto tipo y capaces de generar una gran variedad de daño, podemos decir que la gravedad de la esteganografía dependerá del código malicioso que logre infectar a la víctima”, aseguró.
Como explicó Ramírez, detectar este tipo de amenaza es bastante complicado y muchas veces requiere de habilidades técnicas con las que un usuario no cuenta. La especialista enumeró algunos ejemplos: “El análisis de metadatos de una imagen permitiría obtener información mediante la cual, en algunos casos, se podría detectar información maliciosa o al menos dar con una pista. También existen técnicas de análisis forense de imágenes que permiten encontrar anomalías en su estructura”.
Para el usuario común u hogareño, la forma más fácil o accesible para al menos evaluar las imágenes es a través de alguna solución de seguridad informática, como un antivirus o antimalware, aunque no siempre garantizan el éxito en este tipo de amenazas.
Por otra parte, la especialista afirmó que la educación en ciberseguridad resulta ser una pata importante para la prevención, ya que le da al usuario herramientas para estar atento frente a emails, mensajes o webs sospechosas: “Entre muchos factores, se recomienda tener actualizado el sistema operativo, el software y aplicaciones para contar con los últimos parches y mantenerse protegidos de vulnerabilidades conocidas. Además, ser cuidadoso al abrir imágenes o archivos adjuntos en correos electrónicos, mensajes de texto o enlaces de fuentes desconocidas, es crucial”, concluyó Fabiana Ramírez.