En 2011 varios investigadores del Laboratorio de Criptografía y Seguridad de Sistemas en Budapest (Hungría) descubrieron una forma inusual de software malicioso. Este malware se incrusta en dispositivos con Microsoft Windows, recopila información en particular sobre los sistemas de control industrial y después la envía a través de internet a su centro de comando y control. Después de 36 días, el malware se autoelimina automáticamente, por lo que resulta particularmente difícil de encontrar.

El malware ha recibido el nombre de Duqu porque crea archivos con el prefijo "~ DQ".

El software resultó inusual por varios motivos. En primer lugar, los investigadores de seguridad observaron que Duqu guarda un notable parecido con el malware Stuxnet, supuestamente desarrollado por equipos de guerra cibernética de EEUU e Israel para atacar las capacidades nucleares de Irán. Un equipo de seguridad afirmó que era casi idéntico a Stuxnet, aunque el propósito es completamente diferente ya que se dedica a recopilar información en lugar de atacar.

Sin embargo, lo más intrigante es la forma en que Duqu transmite la información de vuelta al centro de control. En primer lugar encripta la información y luego la incrusta en un archivo JPEG para que parezca una inocente imagen, una práctica conocida como esteganografía. El cifrado protege la información, pero la esteganografía oculta la existencia del mensaje en primer lugar.

Los investigadores aún están estudiando Duqu para saber exactamente su propósito y entender a su creador. Pero el hecho de que este malware utilice la esteganografía para enviar información a través de internet es parte de una tendencia preocupante. En 2008, el Departamento de Justicia de EEUU fue víctima de la esteganografía cuando ciertos detalles financieros confidenciales fueron supuestamente filtrados ocultos en imágenes JPEG. En 2002, se encontró que una red de pornografía infantil intercambiaba información usando la esteganografía. Y se sabe que una red de espionaje rusa descubierta en Nueva York (EEUU) utilizaba la esteganografía para enviar información a sus propietarios.

Esto plantea una serie de cuestiones importantes. ¿Cuál es el grado de generalización de la esteganografía basada en internet, qué tipo de técnicas aprovecha y cómo puede combatirse?

Hoy nos llega una respuesta parcial gracias al trabajo de Steffen Wendzel en el grupo de investigación de defensa cibernética del Instituto Fraunhofer de Comunicación, Procesamiento de la Información y Ergonomía en Bonn (Alemania). El equipo de investigadores nos ofrece una idea general de cómo oculta el malware la información secreta dentro de las transmisiones de red comunes, y nos muestra que el número de métodos para hacerlo se ha incrementado radicalmente en los últimos años.

Se han centrado particularmente en la esteganografía de red, es decir, el ocultamiento de información dentro de transmisiones de red ordinarias y no en memorias USB, en imágenes físicas o soportes similares. Señalan que la esteganografía de red resulta particularmente atractiva porque en principio la cantidad de información que puede ser enviada no tiene limite, a diferencia de por ejemplo una memoria USB.

Además, las oportunidades para ocultar información en transmisiones de red han estado creciendo rápidamente. En particular, han surgido varios enfoques que utilizan programas de telefonía IP como Skype, cuya popularidad ha ido en aumento durante los últimos años.

Hasta ahora, los esteganógrafos de red usaban los protocolos TCP/IP, que contienen cabeceras con información para el enrutamiento de los datos por internet. Estas cabeceras también contienen campos no utilizados que se pueden usar para transportar información oculta con relativa facilidad.

Wendzel y su equipo afirman que en los últimos años el objetivo de los ataques han sido aplicaciones y servicios de capa superior como Skype, Bit Torrent y búsquedas de Google, y se dirige hacia nuevos entornos de red como la computación en nube. "Recientemente, hemos visto un cambio en la selección del vehículo para enviar datos ocultos", aseguran.

Por ejemplo, un enfoque conocido como esteganografía de transcodificación o TranSteg, consiste en comprimir datos de voz para que ocupen menos espacio y utilizar el espacio libre para transportar datos encubiertos.

Otro ataque relacionado con los datos de voz consiste en identificar paquetes de datos asociados con el silencio entre palabras, y añadir datos encubiertos en dichos paquetes.

Un enfoque alternativo consiste en atacar las búsquedas de Google, que generan una lista de las 10 frases de búsqueda relacionadas más populares a medida que el usuario escribe con el teclado. Un ataque intercepta las sugerencias de los servidores de Google y añade una palabra única al final de cada una de las 10 frases sugeridas. El receptor simplemente extrae estas palabras añadidas y las convierte en un mensaje usando una tabla de consulta previamente compartida.

Quizá la tendencia más preocupante sea la creciente capacidad de los teléfonos inteligentes, que hoy día cuentan con capacidades que hasta hace poco sólo estaban disponibles en equipos de sobremesa y portátiles. Los teléfonos inteligentes ofrecen varias posibilidades esteganográficas gracias a su capacidad para grabar y enviar audio, vídeo, imágenes fijas, además de archivos de texto de varios tipos distintos. Es más, son obviamente móviles y pueden conectarse automáticamente a varias redes distintas.

Lo más aterrador es que estos dispositivos son especialmente vulnerables. "Las capas de seguridad utilizadas en los sistemas operativos móviles son apenas suficientes", señala Wendzel.

Una forma de malware llamada SoundComber captura datos personales como por ejemplo los dígitos introducidos en un teclado de teléfono inteligente durante una llamada telefónica, para después transmitirlos utilizando uno entre varios métodos distintos, como por ejempo patrones predefinidos de vibración, cambios en el nivel de volumen del tono de llamada, mediante el bloqueo y desbloqueo de la pantalla y así sucesivamente.

Todo esto representa una amenaza significativa. "Siguen existiendo más de cien técnicas de transferencia de datos secretos que utilizan información de metadatos, como por ejemplo los elementos en las cabeceras o la cadencia de los paquetes de red", señalan los investigadores.

Por supuesto el problema es cómo identificar los ordenadores infectados con malware esteganográfico ya sea mediante la búsqueda directa del propio malware o de signos que pongan de manifiesto el uso de esteganografía en los datos que transmiten.

Esto se dice pronto. El software antimalware en general busca conjuntos predefinidos de archivos que hayan sido identificados previamente como problemáticos. También existe un software que ofrece protección frente a las fugas de datos, y que normaliza el tráfico emitido con la esperanza de evitar el uso de la esteganografía de red. Otros sistemas utilizan el aprendizaje de máquinas para detectar signos que evidencien el uso de esteganografía.

Sin embargo, ninguno de estos enfoques es ni mucho menos perfecto. "Las contramedidas no pueden abordar todas las técnicas de ocultación disponibles simultáneamente dada la complejidad y diversidad de los protocolos y los servicios", asegura Wendzel.

Señalan que antes de poder construir una contramedida que sí pueda hacerlo, los investigadores tendrán que crear un nuevo conjunto de enfoques fundamentales para hacer frente a las nuevas y cambiantes formas de esteganografía.

Hay algo que está claro: la detección y prevención de la esteganografía de red será cada vez más difícil a medida que se extienda la amenaza de malware como Duqu. ¡Habrá que tener cuidado!

Ref: arxiv.org/abs/1407.2029 : Hidden and Uncontrolled - On the Emergence of Network Steganographic Threats