Todos los que estamos en el medio de los peritajes informáticos estamos familiarizados con la esteganografía digital, con esto nos referimos a anexar información no visible en una imagen o algún otro tipo de archivo, esta información pueden ser textos o archivos completos que queremos queden ocultos. Bueno la definición de esteganografía digital no es nuestro tema de hoy sino que hacer cuando nos topamos en nuestra profesión con un caso de este tipo.
Creación de una imagen con información oculta
Primero vamos a crear un archivo de imagen con un mensaje oculto adentro, para esto vamos a utilizar nuestro sistema operativo Linux en cualquier distro que tengamos, vamos a utilizar el programa steghide si no lo tienen instalado, en sistemas Debian/Ubuntu solo ingresen en la línea de comandos:
sudo apt-get install steghide
Steghide soporta diferentes tipos de archivos en los cuales puede ocultar información:
- Archivos de imagen como JPEG y BMP.
- Archivos de audio como WAV y AU.
Para que el procedimiento sea mas sencillo debemos tener el archivo de imagen en el que vamos a ocultar el mensaje y un archivo de texto con el mensaje en la misma carpeta, ingresamos el siguiente comando:
$ steghide embed -cf imagen.jpg -ef mensaje.txt
Ingresamos una contraseña y la confirmamos, vamos a obtener un resultado como este:
Enter passphrase:
Re-Enter passphrase:
embedding "mensaje.txt" in "imagen.jpg"... done
Con este procedimiento ya esta listo un archivo de texto oculto en una imagen, ahora para poder extraer la información oculta necesitamos ejecutar este comando y saber la contraseña:
$ steghide extract -sf imagen.jpg
Si todo ha salido bien vamos a obtener la siguiente salida:
Enter passphrase:
wrote extracted data to "mensaje.txt"
Con este fácil procedimiento podemos ocultar información para enviarla o transportarla a otro lugar y después recuperarla sin que nadie pueda saber que estamos llevando información oculta.
La pregunta importante es, ¿Podemos saber cuando una imagen contiene información oculta?
En este punto varios pueden coincidir en que es muy fácil ver que una imagen ha sido manipulada, sin embargo esto solo son especulaciones, corazonadas, decimos el clásico «como que parece…» y esto esta bien para un experto en informática o para un hacker, pero para un perito profesional esto significa perder un juicio sin poder llegar a la verdad que buscamos como único fin.
Si se nos ocurre llegar a decir que efectivamente esta imagen tiene información oculta y no podemos demostrarlo reproduciendo el procedimiento que utilizamos un abogado cualquiera desecharía nuestro estudio sin mucho esfuerzo.
¿Entonces que podemos hacer?
Bueno como peritos en informática forense lo menos que podemos hacer es realizar un estudio formal el tratamiento normal que le damos a las evidencias recolectadas, una vez hecho la formalidad podemos utilizar el comando exiftoolpara ver un resumen de sus propiedades y comparar con el original si es que lo tuviésemos, realizamos un checksum, a continuación hacemos una revisión general con el editor hexadecimal de nuestras confianzas para corroborar que tenga los encabezados normales de un archivo de imagen, en este punto realizamos una inspección de todo el archivo intentando buscar alguna coherencia en los datos, esto obviamente es una tarea titánica y es como estar luchando contra molinos de viento, sin embargo nunca hay que descartar esta opción, en nuestra experiencia hemos podido detectar algunos archivos con una esteganografía muy básica realizados con la técnica simple de comprimir 2 archivos en un rar, una imagen y un texto, al cambiarle la extensión de rar a una de imagen por ejemplo jpg, el sistema operativo detecta internamente la secuencia de la imagen y la presenta como si fuera una imagen, pero al revisarla con un editor de texto hemos podido encontrar sin problemas los archivos de texto, esta técnica sin embargo es muy simple y no necesita mucha explicación de como decodificarla, el real problema es cuando se utiliza una herramienta profesional como steghide y si aparte utilizaron criptografía para cifrar el mensaje es extremadamente complicado determinar que estamos ante un caso de información oculta.
Todo esto debemos anotarlo en nuestra bitácora y en el informe pericial.
Recomendamos que para este tipo de evidencia no se desperdicie mucho tiempo, ya que el trabajo mucho y se deben tener muchos conocimientos, esto se traduce en mucho dinero y nunca hay que olvidar que estamos contratados para realizar una opinión o dictamen pericial, sin embargo desde el punto de vista científico siempre es interesante intentar decodificar este tipo de archivos.
Deja una respuesta