Por Alan Woodward
Para la BBC
¿Existe una amenaza oculta justo delante de nuestras narices? Cada día miles de millones de mensajes se envían a través de internet y no sorprende que algunos contengan información muy sensible.
Hasta ahora, se ha hecho un gran esfuerzo para lograr que estos textos no puedan ser leídos por ninguna persona que no sean los destinatarios.
Esta es la esencia de la criptografía. Sin embargo, hay otra opción: los mensajes ocultos a plena vista, el equivalente electrónico de la tinta invisible.
Podemos decir que todos los mensajes entran en alguna de estas tres categorías:
- Con sentido o sense - el mensaje se envía "limpiamente" y cualquier persona que intercepte los datos los puede leer tan fácilmente como si fuera el destinatario.
- Sin sentido o nonsense - la información interceptada se convierte en un mensaje sin sentido para que sólo la gente con la llave correcta lo pueda descifrar, al reconvertirlo de "sin sentido" a "con sentido". Eso es la criptografía.
- Sentido equivocado o missense - en el mensaje se insertan algunos datos inocuos para que nadie sospeche que allí hay un mensaje oculto. Esto se conoce como esteganografía.
Aunque no nos demos cuenta, probablemente ya estemos utilizando la esteganografía en nuestra vida electrónica diaria. Y es que se usa ampliamente para poner una "marca de agua digital" sobre datos electrónicos con información como la de derechos de autor.
Las nuevas tecnologías son capaces de contener una considerable cantidad de información, sin tener ningún efecto perceptible sobre el objeto que se está marcando digitalmente. Fotografías, música e incluso los libros electrónicos utilizan esta tecnología, para disuadir a los piratas.
Datos no tan inocentes
Mientras que las marcas de agua digitales están diseñadas para guardar información como los datos de derechos de autor, esas técnicas también se pueden utilizar para insertar mensajes ocultos en objetos digitales, lo que plantea un problema para las agencias que vigilan la aplicación de la ley.
Si hay algo que se envía "limpiamente", se pueden configurar filtros para buscar palabras de interés y así lograr dar un vistazo a los datos en cuestión.
Ahora mejor si algo parece no tener sentido. Porque es bastante probable que en realidad, lo tenga. Después de todo, si alguien se ha tomado la molestia de cifrar datos para que se vea como una tontería entonces se puede asumir que se trata de algo importante para el emisor y por lo tanto vale la pena prestarle una mayor atención.
Por el contrario, todo lo que se envía como "sentido equivocado" es altamente probable que se pase por alto, pues aparecerá para todo el mundo como una pieza inocente de datos.
Es el clásico truco de la distracción. Esto es importante en el mundo moderno ya que los volúmenes de datos que un intruso tiene que tamizar son enormes.
Nadie puede analizar cada una de las piezas de datos que pueden potencialmente ser interceptadas. Así, si la pieza de datos se ve como una foto, pero en realidad contiene detrás un mensaje secreto, nadie sabrá que tiene que llevar a cabo un análisis más detallado sobre esa foto.
Gobiernos y militares no son los únicos que quieren transmitir mensajes de forma segura.
Código criminal
Los candidatos obvios para esto son grupos terroristas y la delincuencia organizada. Aquellos que tienen razones para pensar que están bajo vigilancia pueden encontrar la esteganografía como algo muy atractivo, ya que este tipo de mensajes no pueden enviarse por correo electrónico simple.
Imaginemos, por ejemplo, que alguien publica fotografías aparentemente inocentes en un sitio de redes sociales, pero, en realidad, contienen un mensaje secreto.
Todo el mundo puede verlo, pero sólo los que saben dónde buscar pueden ver el mensaje deseado.
Es como cuando un empleado descontento con su trabajo envía por correo electrónico una foto de sus niños a un amigo, pero que en realidad está enviando la información más sensible de la empresa para efectos comerciales.
El capital intelectual podría estar desapareciendo ante los ojos del empleador y no lo sabría nunca, aún si leyera todos sus correos electrónicos.
Leer entre líneas
A veces es difícil saber incluso en qué tipo de objeto se puede ocultar un mensaje. Algunas formas muy innovadoras han surgido en los últimos años.
Una de las que me pareció más impresionante está en la variación sutil de la distancia de separación entre las letras de una página web, de tal manera que allí se transmiten mensajes ocultos. Las páginas se leen con absoluta normalidad, pero todo el tiempo se están viendo datos ocultos que no se reconocen como tal.
También hay una manera de tener lo mejor de ambos mundos: cifrar un secreto y luego integrarlo usando la esteganografía. De esta manera, incluso si el mensaje oculto se detecta, no se podrá leer.
En tanto, mientras que la investigación de marca de agua digital continúa madurando, la investigación sobre la detección de mensajes ocultos se encuentra todavía en pañales.
La decodificación de mensajes encriptados (llamado criptoanálisis) ha sido estudiada en profundidad, con avances como los ampliamente celebrados de Bletchley Park durante la II Guerra Mundial.
En cambio, la detección de mensajes ocultos -conocido como steganalysis- no tiene una historia así de exitosa. En parte, esto se debe a que diversos estudios de grandes conjuntos de datos puestos en internet fallaron en la detección del uso de la esteganografía. Por ello no se considera una amenaza.
Pero, si las técnicas utilizadas para ocultar datos han avanzado lo suficiente, la falta de madurez de las técnicas de detección significa que estos estudios fallan desde la base.
¿Se volverá popular en algún momento la técnica de ocultar mensajes? Creo que es inevitable que los chicos malos ya las estén utilizando en internet.
Hay herramientas disponibles libremente que permiten hacer todo lo que he descrito anteriormente y estas herramientas siguen avanzando.
Lo que hace falta es la financiación adecuada para las técnicas de detección, o como mínimo, un método más fiable para determinar si se está usando esteganografía para ocultar mensajes en masa, si es que queremos tener una comprensión adecuada de la amenaza.
Alan Woodward es profesor visitante del departamento de Informática de la Universidad de Surrey. Ha trabajado para el gobierno de Reino Unido y aún proporciona asesoramiento en temas como seguridad cibernética, comunicaciones secretas e informática forense.
No hay comentarios:
Publicar un comentario