Esteganografía
Técnica de ocultación de información dentro de archivos aparentemente normales (imágenes, audio, vídeo, texto) de forma que su existencia pase desapercibida, utilizada tanto para proteger datos como para evadir análisis forense.
¿Qué es la esteganografía?
En 2025, Kaspersky identificó múltiples campañas de malware que utilizaban esteganografía en imágenes PNG para distribuir payloads maliciosos sin activar los antivirus convencionales. La técnica no es nueva — su nombre proviene del griego steganos (oculto) y graphein (escritura) — pero su aplicación en ciberataques modernos la convierte en un desafío crítico para el análisis forense digital.
La esteganografía es la práctica de ocultar información dentro de archivos portadores aparentemente normales — imágenes, pistas de audio, vídeos o documentos de texto — de forma que un observador no detecte la presencia de datos ocultos. A diferencia del cifrado, que hace los datos ilegibles pero visibles, la esteganografía esconde la propia existencia del mensaje.
Esteganografía vs. cifrado
El cifrado protege el contenido del mensaje (confidencialidad). La esteganografía protege la existencia del mensaje (ocultación). En investigaciones forenses, un archivo cifrado levanta sospechas; un archivo esteganográfico pasa desapercibido si no se busca específicamente.
Tipos de esteganografía digital
1. Esteganografía en imágenes
La técnica más utilizada. Los métodos principales son:
| Técnica | Mecanismo | Capacidad | Detectabilidad |
|---|---|---|---|
| LSB (Least Significant Bit) | Modifica el bit menos significativo de cada píxel | Alta (hasta 12,5% del tamaño de imagen) | Media — análisis estadístico |
| DCT (Discrete Cosine Transform) | Altera coeficientes DCT en JPEG | Media | Baja — difícil de detectar |
| Palette-based | Modifica la paleta de colores PNG/GIF | Baja | Alta — cambios en paleta |
| Spread spectrum | Distribuye datos por toda la imagen | Baja | Muy baja |
Funcionamiento del método LSB
Píxel original: R=10110100 G=11001010 B=01110110
Datos a ocultar: 1 0 1
Píxel modificado: R=10110101 G=11001010 B=01110111
↑ ↑ ↑
Bit modificado Sin cambio Bit modificadoEl cambio en el bit menos significativo produce una variación de color imperceptible para el ojo humano (diferencia de 1 en un rango de 0-255), pero permite almacenar un bit de información por canal de color.
2. Esteganografía en audio
| Técnica | Formato compatible | Descripción |
|---|---|---|
| LSB en audio | WAV, AIFF | Modifica bits menos significativos de muestras de audio |
| Phase coding | WAV | Altera la fase de segmentos de audio |
| Echo hiding | WAV, MP3 | Introduce ecos imperceptibles que codifican datos |
| Spread spectrum | WAV | Distribuye señal oculta en todo el espectro |
3. Esteganografía en vídeo
Combina técnicas de imagen y audio aplicadas frame a frame. La gran cantidad de datos en un vídeo ofrece una capacidad de ocultación enorme — un vídeo de 10 minutos en 1080p puede ocultar varios megabytes sin degradación perceptible.
4. Esteganografía en texto y red
- Espacios en blanco: Caracteres Unicode invisibles entre palabras
- Formato oculto: Variaciones tipográficas imperceptibles
- Esteganografía de red: Datos ocultos en cabeceras TCP/IP, campos no utilizados de protocolos o tiempos de transmisión (covert channels)
Uso en ciberataques
Grupos APT como Turla y OceanLotus han utilizado esteganografía en imágenes para transmitir comandos C2 (Command and Control) a malware instalado en sistemas comprometidos, evadiendo la detección de sistemas IDS/IPS convencionales.
Herramientas de esteganografía y steganalysis
Herramientas de ocultación (uso investigativo)
| Herramienta | Tipo | Plataforma | Licencia | Características |
|---|---|---|---|---|
| OpenStego | Imagen | Multiplataforma | Open source | LSB en BMP/PNG, marca de agua digital |
| Steghide | Imagen/Audio | Linux/Windows | GPL | JPEG, BMP, WAV, AU con cifrado AES |
| OutGuess | Imagen | Linux | BSD | JPEG con preservación estadística |
| Snow | Texto | Multiplataforma | Open source | Espacios en blanco y tabulaciones |
| DeepSound | Audio | Windows | Freeware | WAV, FLAC con cifrado AES-256 |
Herramientas de detección (steganalysis)
| Herramienta | Técnica de detección | Uso forense |
|---|---|---|
| StegExpose | Análisis estadístico múltiple (RS, chi-cuadrado, sample pairs) | Detección automatizada en lotes |
| Stegdetect | Chi-cuadrado, análisis DCT | Detección en JPEG (JSteg, OutGuess, F5) |
| Binwalk | Búsqueda de firmas de archivo embebidas | Extracción de archivos ocultos en firmware e imágenes |
| zsteg | Análisis LSB multicanal | Detección en PNG y BMP |
| Autopsy/Sleuth Kit | Módulo de steganalysis integrado | Análisis forense completo de disco |
Proceso de detección forense (steganalysis)
Identificación de archivos sospechosos
Buscar archivos de imagen o audio con características anómalas:
- Tamaño inusualmente grande para su resolución
- Imágenes genéricas descargadas de internet (portadores típicos)
- Archivos duplicados con hashes diferentes
- Imágenes en ubicaciones inusuales del sistema de archivos
Análisis visual y de metadatos
Comparar metadatos EXIF del archivo sospechoso:
- Software de edición registrado (herramientas stego dejan rastros)
- Inconsistencias en timestamps de creación/modificación
- Metadatos eliminados o manipulados (indicador de actividad sospechosa)
Análisis estadístico automatizado
# StegExpose - análisis de directorio completo java -jar StegExpose.jar /ruta/imagenes/ default default results.csv # zsteg - análisis de PNG específico zsteg -a imagen_sospechosa.png # Binwalk - búsqueda de archivos embebidos binwalk -e imagen_sospechosa.jpgVerificación de resultados
Los falsos positivos son frecuentes. Verificar:
- Comparar con imagen original si existe (análisis diferencial)
- Confirmar coherencia del contenido extraído
- Documentar técnica y herramienta utilizada para el informe pericial
Extracción y documentación
Si se confirma contenido oculto:
- Calcular hash del archivo portador antes y después
- Extraer contenido con la herramienta apropiada
- Documentar todo el proceso para mantener la cadena de custodia
Caso práctico: Exfiltración de datos mediante esteganografía
Contexto: Una empresa detecta que información confidencial de clientes aparece en un competidor. No hay registros de transferencia de archivos sospechosos en los logs del servidor ni del proxy corporativo.
Caso ilustrativo
Este caso se basa en patrones observados en investigaciones forenses corporativas. Los detalles se han adaptado con fines educativos.
Análisis forense realizado:
Análisis de tráfico de red
Revisión del proxy corporativo: el empleado sospechoso subía regularmente fotografías a una plataforma de almacenamiento en la nube personal. Las imágenes parecían fotos personales normales.
Examen de las imágenes
Se recuperaron las imágenes del historial de navegación:
foto_vacaciones_01.jpg - 4.8 MB (inusual para 1920x1080) foto_vacaciones_02.jpg - 5.2 MB (inusual para 1920x1080) foto_familia_03.png - 8.1 MB (excesivo para la resolución)Steganalysis
StegExpose detectó anomalías estadísticas en los tres archivos. La extracción con Steghide (tras obtener la contraseña del equipo del sospechoso) reveló:
- Archivo 1: base de datos de clientes en CSV (12,000 registros)
- Archivo 2: propuestas comerciales confidenciales (PDF)
- Archivo 3: código fuente propietario (ZIP)
Correlación temporal
Las fechas de subida coincidían con los periodos en que la información apareció en el competidor. El software Steghide se encontraba instalado en el portátil del empleado.
Resultado: El informe pericial documentó la cadena completa de exfiltración. Las imágenes con datos ocultos, junto con la instalación de herramientas esteganográficas, constituyeron evidencia determinante.
Marco legal en España
Normativa aplicable
| Norma | Artículos relevantes | Aplicación a esteganografía |
|---|---|---|
| Código Penal | Art. 197-197 quater | Descubrimiento y revelación de secretos mediante acceso ilícito |
| Código Penal | Art. 264-264 quater | Daños informáticos si se altera integridad de sistemas |
| Código Penal | Art. 456, 465 | Obstrucción a justicia, destrucción/ocultación de pruebas |
| LECrim | Art. 478-479 | Prueba pericial: el perito puede analizar archivos sospechosos |
| RGPD / LOPDGDD | Arts. 5, 32 | Obligación de proteger datos; la esteganografía como medida complementaria legítima |
| Ley 34/2002 LSSI | Art. 12 | Retención de datos de comunicaciones electrónicas |
Consideraciones para el perito informático
La esteganografía presenta un reto probatorio particular: demostrar que datos ocultos existen requiere herramientas especializadas y un proceso reproducible. El informe pericial debe:
- Documentar la herramienta de steganalysis utilizada y su metodología
- Preservar el archivo portador original (con su hash SHA-256)
- Describir el proceso de extracción paso a paso
- Incluir los resultados estadísticos que sustentan la detección
- Mantener la imagen forense intacta como respaldo
Validez probatoria
Un análisis de steganalysis que no documente adecuadamente la metodología y las herramientas empleadas puede ser impugnado por la defensa como especulativo. La reproducibilidad del resultado es clave para su admisión como prueba pericial.
Esteganografía en ciberataques reales
La esteganografía no es solo una curiosidad teórica. Múltiples campañas de malware documentadas la han utilizado como vector de evasión:
| Campaña / Grupo | Año | Técnica | Descripción |
|---|---|---|---|
| Turla (Snake) | 2023-2025 | Datos C2 en imágenes JPEG en redes sociales | Comandos para backdoor ocultos en comentarios de fotos públicas |
| OceanLotus (APT32) | 2022-2024 | Payloads en PNG con LSB | Ejecutables cifrados distribuidos en imágenes de apariencia normal |
| Worok | 2023 | PNG con datos en bit planes | Múltiples capas de esteganografía para evadir detección |
| SteganoPDF | 2024 | Datos ocultos en estructura PDF | Información de C2 embebida en objetos PDF no renderizados |
| AdGholas | 2022-2023 | Fingerprinting en imágenes de anuncios | Selección de víctimas mediante datos codificados en banners publicitarios |
Tendencias actuales (2025-2026)
- Esteganografía en tráfico DNS: Codificación de datos en consultas DNS aparentemente legítimas
- Esteganografía en blockchain: Datos ocultos en transacciones de criptomonedas
- Esteganografía en IA: Uso de modelos generativos para crear imágenes con datos ocultos que resisten steganalysis convencional
- Esteganografía en streaming: Datos codificados en flujos de vídeo en tiempo real
Implicación forense
Para el perito informático, la presencia de herramientas esteganográficas instaladas en un equipo investigado (OpenStego, Steghide, DeepSound) es un indicador relevante. Incluso si no se detectan datos ocultos, la instalación de estas herramientas puede documentarse como evidencia circunstancial.
Relación con otras técnicas forenses
- Anti-Forense: La esteganografía es una de las principales técnicas de ocultación anti-forense
- EXIF y Metadatos: Los metadatos pueden revelar uso de herramientas esteganográficas
- Imagen Forense: La copia forense preserva archivos portadores para análisis posterior
- File Carving: Puede recuperar archivos portadores eliminados del espacio no asignado
- Hash Criptográfico: Permite verificar si un archivo portador ha sido modificado respecto al original
Preguntas relacionadas
¿Cuántos datos se pueden ocultar con esteganografía en una imagen? Depende de la técnica y resolución. Con LSB básico en una imagen de 1920x1080 a 24 bits, la capacidad teórica es de aproximadamente 760 KB (3 bits por píxel x 2.073.600 píxeles / 8). En la práctica, se usa una fracción para evitar detección estadística.
¿La compresión JPEG destruye los datos ocultos? La compresión JPEG con pérdida destruye datos LSB. Por eso existen técnicas específicas como DCT steganography (JSteg, F5) diseñadas para sobrevivir a la compresión JPEG. Los formatos sin pérdida (PNG, BMP, WAV) preservan mejor los datos ocultos.
¿Pueden los antivirus detectar esteganografía? Los antivirus convencionales no detectan esteganografía porque los archivos portadores son técnicamente válidos y no contienen código ejecutable visible. Solo herramientas especializadas de steganalysis pueden identificar anomalías estadísticas indicativas de contenido oculto.
Conclusión
La esteganografía representa uno de los desafíos más sofisticados para el análisis forense digital. Su capacidad para ocultar información sin alterar la apariencia de archivos normales la convierte en una herramienta poderosa tanto para la protección legítima de datos como para la exfiltración maliciosa.
El perito informático forense debe dominar tanto las técnicas de ocultación como las de detección (steganalysis) para identificar datos ocultos en investigaciones judiciales y corporativas. La combinación de análisis estadístico automatizado con revisión experta maximiza las probabilidades de detección.
¿Sospechas que se han ocultado datos mediante esteganografía? En Digital Perito realizamos análisis forense especializado con herramientas de steganalysis profesionales. Contacta con nosotros para una evaluación de tu caso.
Última actualización: Febrero 2026 Categoría: Anti-Forense Código: AF-001
Preguntas Frecuentes
¿Se puede detectar la esteganografía en una imagen?
Sí, mediante técnicas de steganalysis como análisis estadístico chi-cuadrado, RS analysis o comparación con la imagen original. Herramientas como StegExpose analizan desviaciones en la distribución de bits menos significativos. Sin embargo, técnicas avanzadas pueden ser muy difíciles de detectar sin el archivo original.
¿Es ilegal usar esteganografía en España?
El uso de esteganografía no es ilegal per se. Se convierte en problemático cuando se utiliza para ocultar evidencia en procedimientos judiciales (obstrucción a la justicia, art. 456 CP) o para comunicar información relacionada con actividades delictivas (art. 197 CP si implica acceso ilícito a datos).
¿Qué diferencia hay entre esteganografía y cifrado?
El cifrado transforma datos en texto ilegible visible, mientras que la esteganografía oculta la propia existencia de los datos dentro de archivos portadores. Un archivo cifrado es detectable aunque ilegible; un archivo con esteganografía parece completamente normal. Ambas técnicas pueden combinarse para máxima protección.
Términos Relacionados
Anti-Forense
Conjunto de técnicas, herramientas y procedimientos diseñados para impedir, dificultar o invalidar el análisis forense digital, incluyendo destrucción de datos, ocultación de información y manipulación de metadatos.
EXIF y Metadatos
Datos embebidos en archivos digitales (especialmente imágenes) que contienen información sobre el dispositivo, fecha, ubicación GPS y configuraciones técnicas de captura.
Imagen Forense
Copia exacta bit a bit de un dispositivo de almacenamiento que preserva toda la información original, incluyendo archivos borrados y espacio no asignado, para su análisis forense.
File Carving
Técnica forense que permite recuperar archivos eliminados o fragmentados buscando firmas de archivo (headers y footers) en el espacio no asignado del disco, sin depender del sistema de archivos.
Hash Criptográfico
Función matemática que genera una cadena única de caracteres (huella digital) a partir de cualquier conjunto de datos, permitiendo verificar que no han sido alterados.
¿Necesitas un peritaje forense?
Si necesitas ayuda profesional con análisis forense digital, estoy aquí para ayudarte.
Solicitar Consulta Gratuita