¿Puede un malware ocultarse en fotos?

Las imágenes pueden ser utilizadas para ocultar código malicioso. En este artículo analizaremos cómo es posible que una inocente fotografía contenga malware y qué indicios indican que pudo ser alterada.

La esteganografía es la gran respuesta al interrogante que plantea este artículo. Es la que confirma que sí es posible ocultar código malicioso en imágenes; también videos, audios, PDFs y cualquier otro tipo de archivo ejecutable. A continuación, analizaremos cómo es posible ocultar malware en fotografías, y cuáles son las principales señales de que la imagen pudo ser alterada.

¿Cómo se oculta malware en una foto?

Han sido varios los casos en los que las imágenes fueron utilizadas, de una forma u otra, para la distribución de código malicioso. Así, una imagen adorable de un gatito pudo ser usada como método de ocultación para otros archivos con malware o bien para descargar aplicaciones maliciosas en Android.

Ahora bien, ¿cómo sucede esto? Al utilizar esteganografía en una imagen es probable que ésta se vea alterada, dando así la pauta de que ha sido modificada. Esta técnica permite ocultar el código en aquellos bits menos significativos de una imagen. Es decir, reemplazar la información de ciertos pixeles logrando que las alteraciones sean prácticamente imperceptibles, sobre todo si se utiliza formato PNG antes que el JPG, por las mayores posibilidades de codificación que ofrece.

¿Puede una imagen ejecutar código malicioso?

Ahora bien, ¿cómo es que no estamos todos infectados con malware en el contexto en el que se comparten hoy fotos en WhatsApp, Facebook o Instagram? ¿Es tan fácil como parece?

La realidad es que fácil no es, pero tampoco imposible. Lo cierto es que, si un archivo de imagen es alterado con código malicioso, es muy probable que se corrompa. O lo que es lo mismo, que no cumpla con las normas del formato y no se muestre correctamente.

¿Cómo se consigue esto? Transformando la imagen en un contenedor de código Javascript de forma que, cuando la cargue un navegador con el elemento HTML 5 Canvas, se ejecute este código. Este concepto de imagen más código Javascript es denominado por el investigador como IMAJS (IMAge+JavaScript).

Conclusión

Con las redes sociales como principal epicentro de intercambio de imágenes, es muy probable que los cibercriminales continúen ocultando malware en una imagen gracias a las facilidades de la esteganografía.

Y si bien la infección no es tan fácil como con otros vectores, es importante prestar atención a ciertos detalles, como pequeñas diferencias en el color de la imagen, colores duplicados o si la imagen es mucho más grande que la original. Por supuesto, una solución de seguridad siempre será fundamental a la hora de detectar este y otro tipo de ataques.