El esteganálisis es el estudio de la detección de mensajes ocultos mediante esteganografía ; esto es análogo al criptoanálisis aplicado a la criptografía .
El objetivo del estegoanálisis es identificar paquetes sospechosos, determinar si tienen o no una carga útil codificada y, si es posible, recuperar dicha carga.
A diferencia del criptoanálisis, en el que los datos interceptados contienen un mensaje (aunque ese mensaje esté cifrado ), el esteganálisis generalmente comienza con una pila de archivos de datos sospechosos, pero con poca información sobre cuáles de los archivos, si es que hay alguno, contienen una carga útil. El esteganalista suele ser una especie de estadístico forense y debe comenzar por reducir este conjunto de archivos de datos (que a menudo es bastante grande; en muchos casos, puede ser el conjunto completo de archivos de una computadora) al subconjunto que es más probable que haya sido alterado.
El problema se suele solucionar con análisis estadístico. Se analiza un conjunto de archivos no modificados del mismo tipo, e idealmente de la misma fuente (por ejemplo, el mismo modelo de cámara digital o, si es posible, la misma cámara digital; audio digital de un CD del que se han "extraido" archivos MP3; etc.) que el conjunto que se está inspeccionando, para obtener diversas estadísticas. Algunas de ellas son tan sencillas como el análisis de espectro, pero como la mayoría de los archivos de imagen y audio de la actualidad se comprimen con algoritmos de compresión con pérdida , como JPEG y MP3 , también intentan buscar inconsistencias en la forma en que se han comprimido estos datos. Por ejemplo, un artefacto común en la compresión JPEG es el "ringing de bordes", donde los componentes de alta frecuencia (como los bordes de alto contraste de un texto negro sobre un fondo blanco) distorsionan los píxeles vecinos. Esta distorsión es predecible y los algoritmos de codificación esteganográfica simples producirán artefactos que son detectablemente improbables.
Un caso en el que la detección de archivos sospechosos es sencilla es cuando se dispone del portador original sin modificar para su comparación. Al comparar el paquete con el archivo original se obtendrán las diferencias causadas por la codificación de la carga útil y, por lo tanto, se podrá extraer la carga útil.
En algunos casos, como cuando sólo se dispone de una única imagen, pueden ser necesarias técnicas de análisis más complicadas. En general, la esteganografía intenta hacer que la distorsión de la portadora sea indistinguible del ruido de fondo de la portadora . En la práctica, sin embargo, esto a menudo se simplifica incorrectamente para decidir hacer que las modificaciones de la portadora se asemejen al ruido blanco lo más posible, en lugar de analizar, modelar y luego emular de manera consistente las características reales del ruido de la portadora. En particular, muchos sistemas esteganográficos simples simplemente modifican el bit menos significativo (LSB) de una muestra; esto hace que las muestras modificadas no sólo tengan perfiles de ruido diferentes a las muestras no modificadas, sino también que sus LSB tengan perfiles de ruido diferentes de los que podrían esperarse del análisis de sus bits de orden superior, que aún mostrarán cierta cantidad de ruido. Dicha modificación de sólo LSB se puede detectar con algoritmos apropiados, en algunos casos detectando densidades de codificación tan bajas como 1% con una fiabilidad razonable. [1]
La detección de una probable carga útil esteganográfica es a menudo sólo una parte del problema, ya que es posible que la carga útil haya sido cifrada primero. El cifrado de la carga útil no siempre se realiza únicamente para dificultar su recuperación. La mayoría de los cifrados fuertes tienen la propiedad deseable de hacer que la carga útil parezca indistinguible del ruido distribuido uniformemente, lo que puede dificultar los esfuerzos de detección y ahorrar a la técnica de codificación esteganográfica el problema de tener que distribuir la energía de la señal de manera uniforme (pero consulte lo anterior sobre los errores que emulan el ruido nativo de la portadora).
Si se considera muy probable la inspección de un dispositivo de almacenamiento, el esteganógrafo puede intentar bombardear a un posible analista con, en efecto, información errónea . Puede tratarse de un gran conjunto de archivos codificados con cualquier cosa, desde datos aleatorios hasta ruido blanco, tonterías sin sentido o información deliberadamente engañosa. La densidad de codificación de estos archivos puede ser ligeramente superior a la de los "reales"; asimismo, se debe considerar el posible uso de múltiples algoritmos de detectabilidad variable. El esteganólogo puede verse obligado a comprobar primero estos señuelos, lo que podría suponer una pérdida de tiempo y de recursos informáticos importantes. La desventaja de esta técnica es que hace mucho más evidente que había software esteganográfico disponible y que se utilizó.
Obtener una orden judicial o tomar otras medidas basándose únicamente en pruebas esteganográficas es una propuesta muy arriesgada a menos que se haya recuperado y descifrado por completo una carga útil , porque de lo contrario todo lo que tiene el analista es una estadística que indica que un archivo puede haber sido modificado, y que esa modificación puede haber sido el resultado de la codificación esteganográfica. Como es probable que esto suceda con frecuencia, las sospechas esteganográficas a menudo tendrán que respaldarse con otras técnicas de investigación.