Estega… ¿qué? ‘Esteganografía… Claro que sí guapi’. Bajo este título tan ‘aclarador’ se presentó cargadito de ejemplos y pruebas prácticas José Aurelio García en el Congreso de Seguridad HoneyCON para dar primero una charla junto a Ruth Sala y luego un taller de esteganografía que ya se encuentra disponible en mi canal Palabra de hacker tanto en vídeo como en podcast como puedes ver recopilado en esta entrada.
Tanto si te estás preguntando de qué se trata como si conoces de estas técnicas, estoy convencida que este taller no te resultará indiferente ya que recopila la experiencia y resultados que obtuvo José Aurelio probando durante semanas qué técnicas de esteganografía resultan las más adecuadas para subir contenidos ocultos a las redes sociales más utilizadas y que no suene la campana. Conocer estas técnicas que no son complicadas de aplicar ¿hará que miremos ahora de forma diferente las inocentes imágenes que vemos en las redes sociales? ¿tendrán mensajes ocultos?
José Aurelio García (@JagmTwit) es Ingeniero Técnico en Informática de Sistemas y diplomado como Perito en Piratería Industrial e Intelectual, su ámbito de actuación es principalmente la informática forense, las evidencias electrónicas y la cadena de custodia. Auditor y Perito Informático. Además de ser miembro de la Asociación Nacional de Ciberseguridad y Pericia Tecnológica (ANCITE) es co-Director del Máster en Derecho Tecnológico e Informática Forense de la UEX y profesor en el Máster Universitario de Abogacía Digital y Nuevas Tecnologías impartido en la Universidad de Salamanca, en colaboración con ENATIC.
Puedes echar un vistazo a esta charla que ofreció José Aurelio en las pasadas jornadas de HoneyCON sobre ‘Cómo hacer una forense y no morir en el intento‘, la ponencia que dio junto a Ruth Sala en las Jornadas PaellaCON ‘Retos jurídicos, técnicos y forenses de la tecnología‘ o los ciberdebates en los que ha participado ‘Cibercrimen: la autoría de los ciberdelitos‘ y ‘Análisis forense digital: qué es y cómo se investigan las evidencias‘.
Qué es la esteganografía y qué herramientas se usan para el estegoanálisis
Si te estás preguntando en qué consiste la definición acertada sería que la esteganografía es el estudio y aplicación de técnicas que permiten ocultar mensajes u objetos dentro de otros haciendo imperceptible su existencia. De esta forma tan solo el emisor y el receptor conocerían de la presencia de ese contenido oculto a la vista de todos, bueno solo ellos y aquellos que intentasen comprobar si hay algo más y dieran con la herramienta adecuada para hacerlo aunque a simple vista no hubiera nada que llamara la atención.
Puedes pensar que la criptografía también oculta mensajes y es así, pero en ese caso se sabe y se ve que la información va cifrada, aquí no. Podemos estar viendo una imagen o un texto sin ser conscientes de que incluyen mensajes ocultos y ahí está la gracia de esta técnica que ha perdurado en el tiempo siglos y siglos y que ahora dispone de herramientas y tecnología que hace más sencilla la ocultación de mensajes y su aplicación. Vamos una técnica que ha hecho las delicias de los espías y que hoy en día sigue de plena actualidad.
Como sucede para casi cualquier cosa existen herramientas para realizar el estegoanálisis, la detección de estos archivos o mensajes enviados mediante estas técnicas, que son tanto de pago como de software abierto.
Entre las aplicaciones de pago destacan:
- SARC, Steganography Analysis and Research Center.
- StegoSuite: StegoHunt, StegoWatch, StegoAnalyst y StegoBreak.
Aplicaciones Open Source tales como:
- StegSecret.
- F5.
- 2Mosaic.
- StegDetect.
- StegBreak.
- StirMarc.
- StegSpy.
- SetExpose
- Y un largo etcétera.
Algunas de las herramientas que se mencionan en el taller para poder insertar los mensajes son: OpenStego, JPHide, DeEgger o Gif Shuffle.
Prácticas de esteganografía desarrolladas en el taller
Tras la explicación más teórica sobre en qué consisten estas técnicas de ocultación y las diferentes herramientas que se pueden realizar, José Aurelio entra de lleno en su taller a describir diferentes prácticas que recomiendo complementar con una serie de artículos que ha publicado en su web sobre este tema: ‘Esteganofragía y técnica EOF‘, ‘Esteganografía y técnica ADS‘ y ‘Esteganografía y técnica UFS‘.
- Esteganografía básica:
- Ocultación binaria.
- UFS y ADS.
- Técnica EOF.
- Esteganografía en redes sociales, el plato fuerte del taller para saber cómo ocultar mensajes, enlaces y hasta ficheros en:
- LinkedIn.
- Flickr.
- WhatsApp.
- Twitter.
- Facebook.
- Esteganografía en otros medios:
- Captchas: PNG y JPG.
- Mensajes cifrados.
- Animaciones GIF.
Una edición más estuve acompañando a los amigos de HoneySEC grabando y presentando las conferencias de su Congreso HoneyCON así que en el canal de YouTube encontrarás tanto los vídeos de las charlas de la edición anterior como este taller y los vídeos de las nuevas charlas que voy a ir publicando en la lista de reproducción HoneyCON para que no te pierdas ninguno.
Si te ha gustado puedes dejarme abajo un comentario y compartir la entrada, el vídeo o el podcast para que otros también puedan disfrutarlo. ¡Gracias!
Vídeo
Podcast
¿Tienes Telegram? Suscríbete al canal de Palabra de hacker: https://t.me/palabradehacker
Periodista y formadora especializada en ciberseguridad de tú a tú y competencias digitales. Fundadora del canal divulgativo HangoutNEO y del canal especializado en ciberseguridad Palabra de hacker. Autora del libro «Ciberseguridad de tú a tú. Lo que tienes que conocer para sentirte más seguro» de la editorial 0xWord. Si quieres adquirir un ejemplar del libro y que te lo envíe firmado, escríbeme.
Me defino curiosa por naturaleza, apasionada de la comunicación, abanderada de la educación y amante del social media. Soy la profesional que te puede ayudar a mejorar tu seguridad digital, tu identidad digital y tus competencias digitales así que ¡lánzame un reto!