es

¿Qué es un canal encubierto de Internet?

29 de agosto de 2016

Dave Piscitello

Además de estar disponible en los seis idiomas de las Naciones Unidas, este contenido también está disponible en

null

Un canal encubierto es una técnica de evasión o ataque que se utiliza para transferir información de una manera secreta, no autorizada o ilícita. Un canal encubierto puede ser utilizado para extraer información de o implantar información en una organización. Un canal encubierto de Internet es el equivalente digital de un maletín con un compartimiento secreto que un espía podría utilizar para deslizar documentos sensibles a espaldas de los guardias de seguridad dentro o fuera de una instalación de seguridad. Un atacante puede usar los canales encubiertos de Internet para transmitir documentos sensibles sin ser observado; en este caso, eludiendo las medidas de seguridad de red en lugar de eludir a los guardias de seguridad. Y al igual que un espía puede usar el mismo compartimiento secreto para ocultar un arma de los guardias de seguridad al entrar en una instalación de seguridad, un atacante puede utilizar canales encubiertos de Internet para ocultar un arma informática, por ejemplo, una descarga de malware de un servidor externo a un host dentro de una red privada de la organización.

Conceptos básicos de los canales encubiertos de Internet

Los canales encubiertos de Internet pueden utilizar protocolos de Internet convencionales, en formas no convencionales. Los puntos finales del canal (una computadora infectada, y la computadora de control y el comando del atacante) deben utilizar este software de evasión o ataque que reconoce y procesa estas técnicas no convencionales. Este software puede ser instalado ya sea por un usuario o por un malware, o bien un atacante puede instalar el software utilizando una herramienta de administración remota (RAT). Los canales encubiertos de Internet son diferentes de los túneles cifrados. Ellos pueden y de hecho transfieren información en texto plano, pero no son observados. Mientras que no requieren métodos de cifrado o claves, ciertos canales encubiertos emplean cifrado u otros medios para ocultar datos.

Veamos las dos técnicas. La primera técnica consiste en la transmisión de información en forma encubierta, un carácter a la vez, en el campo de identificación (ID) del encabezado del Protocolo de Internet (IP). Las implementaciones populares de esta técnica multiplican los valores ASCII de cada carácter por 256 para crear valores de 16 bits para este campo de identificación. Para transmitir el acrónimo "ICANN", el remitente enviaría 5 paquetes de IP, con el campo de identificación codificado de la siguiente manera:

Paquete Valor decimal ASCII Campo de identificación IP (multiplicado por 256)
1 71 (“I”) 18176
2 67 (“C”) 17152
3 65 (“A”) 16640
4 78 (“N”) 19968
5 78 (“N”) 19968

La computadora receptora decodifica el campo de identificación IP dividiendo el valor por 256. Estos valores no son sospechosos, y dado que el IP tolera paquetes duplicados, es probable que este tráfico eluda la detección. Es lenta, pero sigilosa.

Una segunda técnica consiste en la creación de un canal encubierto que utiliza una carga útil del protocolo: la información que un protocolo transfiere entre computadoras. Esta técnica anexa datos a los mensajes de petición y respuesta ECHO del Protocolo de Mensajes de Control de Internet (ICMP). ECHO se utiliza comúnmente para un servicio llamado ping. Debido a que los administradores de red suelen utilizar el servicio de ping para probar si un host remoto es accesible, es probable que el tráfico ECHO del ICMP pase por alto las medidas de seguridad tales como los cortafuegos (firewalls).

Encabezado MAC
por ejemplo, Ethernet)
Encabezado del Protocolo de Internet
(Información de Control del Protocolo)
Encabezado ICMP
(Petición y Respuesta ECHO)
Carga útil ICMP
(Datos transmitidos en forma encubierta)

Si siente curiosidad por aprender más acerca de estas técnicas, lea la sección de preguntas y respuestas sobre ID (IDFAQ) de SANS, en relación a los canales encubiertos y los Canales encubiertos en el ICMP [PDF, 740 KB].

Siguiente: Canales encubiertos en el DNS

El protocolo del Sistema de Nombres de Dominio (DNS) tiene varias características que lo hacen atractivo para su uso como canal encubierto. Los cortafuegos (firewalls) permiten que el tráfico del DNS pase en ambas direcciones. Es frecuente pasar por alto o subestimar el riesgo de que el DNS sea utilizado como un canal encubierto, por lo cual las organizaciones o los proveedores de servicios de Internet no siempre inspeccionan el tráfico del DNS en busca de signos de ataques. Antes de poder completarse las funciones de acceso o muro de pago, en ocasiones el tráfico del DNS pasa a la Internet pública para resolver los nombres de dominio, de modo que un canal encubierto en el DNS pasa a ser útil para eludir estos controles de acceso.

En nuestra siguiente publicación de blog, veremos cómo los canales encubiertos en el DNS pueden ser utilizados para retirar datos, eludir muros de pago o descargar malware.

Dave Piscitello