Esteganografía en Facebook

De todas las redes sociales, sin duda alguna Facebook es la más conocida y utilizada por los internautas, con una gran diferencia sobre el resto. En enero de 2019, se estimaba que había una comunidad de usuarios de Facebook cercana a los 2.170 millones y, aunque con menor ritmo, ésta sigue creciendo de forma constante.

Discrepancias aparte, sobre si los chicos de Mark Zuckerber nos espían, o si almacenaban las claves de todos los usuarios en una base de datos a la que cualquier trabajador de esta empresa podía acceder, lo cierto es que poco o nada importa a la gran mayoría de usuarios de esta red, el hecho de que sus datos -incluso los marcados como privados-, puedan ser curioseados o vendidos al mejor postor.

Cada vez que hacemos algo en esta red (un like, compartir, escribir, etc.), queda constancia de lo hecho; y Facebook utiliza esta información para rentabilizar su negocio. Además, utilizan a mayores los datos que introducimos en Whatsapp, o Instagram (también de Zuckerber, recordemos), para casarlos y sacar su tajada. Pero no todo acaba aquí.

Donde nosotros simplemente vemos una imagen de una cara, como por ejemplo en los nuevos terminales telefónicos que se desbloquean con nuestra imagen, ellos están viendo cuál es nuestro aspecto, o el de las personas que identificamos, si introducimos sus nombres en las fotos en las que aparecemos junto con más gente.

A nadie le resulta nuevo esto que digo. Y hay multitud de información en las redes al respecto, sobre cómo Facebook hace magia con los datos que les regalamos.

Magia aparte,  lo cierto es que a través de esta red social también es posible enviar información de forma completamente inadvertida. Esto es: utilizando esteganografía. No es fácil hacerlo, pues Facebook tiene sus propios algoritmos de detección de código oculto, amén de otras técnicas de inserción, como el cambio de resoluciones de imágenes, una vez subidas a la plataforma, etc. Pero esto no quiere decir que sea imposible conseguirlo.

Richard Hartley, o los propios Tejas Dakve o Jason Hiney, entre otros, han elaborado trabajos muy interesantes sobre cómo saltarase los protocolos de alteración y compresión de imágenes utilizados por Facebook. En sus conclusiones indican que se puede engañar a esta red social, hasta en un 50% de ocasiones. Sin embargo, y tomando unas pocas precauciones, podemos llegar a esteganografiar, casi en el 100% de los intentos. Vamos a ver cómo conseguirlo:

Picando con el botón derecho del ratón, sobre una foto previamente subida a Facebook (ojo, hay que subirla en formato .JPG), para descargarla después en nuestro ordenador (conviene subir imágenes con resoluciones inferiores a 960 ppp), ya habremos conseguido la mitad del trabajo. Como decíamos antes, Facebook comprime y baja la resolución de la foto, una vez que se sube a su plataforma. Esto provoca que, al transformarse la foto según los criterios de resolución, profundidad de bits, tamaño, etc., el contenido esteganografiado se transforme de igual manera. De esta forma, y descargando fotos previamente filtradas por sus algoritmos, obtendremos imágenes contenedoras de objetos, que podremos subir a Facebook, sin miedo a que nos las vuelvan a limpiar sus algoritmos.

Limpia la foto, filtrada y descargada ya en nuestro equipo, solo resta eliminar la foto subida por primera vez a esta red. Acto seguido utilizaremos la herramienta de compresión JpHide (podemos añadir una clave en el proceso), ocultando la imagen o el texto que queramos enviar y hacer pasar inadvertido a Facebook, en la imagen descargada. Sirva de ejemplo la imagen que, desde 2017 puede verse en mi perfil personal.

Terminado este proceso, finalmente subiremos la imagen resultante y “Voilá”: podremos compartir el contenido oculto, con quien queramos, sin miedo a que Facebook sepa qué hemos enviado en realidad.

Quiero acabar este artículo diciendo que, a diferencia de otras redes sociales, no es fácil enviar por Facebook texto oculto “tal cual”, en una imagen.

Como siempre ocurre en informática, todo es infinitamente diferente, dependiendo de si es cero, o es uno; O, en este caso, los límites de la esteganografía están allí donde se encuentren los límites de nuestra imaginación.

José Aurelio García

Auditor y Perito Informático-Perito en Piratería Industrial e Intelectual-Informático Forense

Co-Director del Tïtulo Propio “Derecho Tecnológico e Informática Forense”, impartido por la UnEx dtif.unex.es

Coordinador del Máster de “Prueba Electrónica e Informática Forense”, impartido por la USAL

Profesor en el “Máster de Abogacía Digital”, impartido por la USAL

Socio Fundador Asociación Nacional de Ciberseguridad y Pericia Tecnológica – ANCITE

Informático Forense – El Blog de Auditores y Peritos Informáticos

[email protected] 

Leave a Reply