Eso es posible mediante una herramienta llamada Stegosploit, con la que podemos ocultar código dentro de un archivo de imagen aprovechando el elemento Canvas del estándar HTML5. Dicho elemento es capaz de renderizar imágenes y figuras a partir de un script. Y la fotografía, a menos que amplíes mucho su zoom, parece completamente inofensiva a simple vista.
La técnica sólo funciona si abrimos la imagen desde un navegador, ya que hay que aprovechar el motor HTML que lleva. Si abrimos la imagen desde cualquier otro programa (Visor de imágenes, Photoshop...) no ocurre absolutamente nada. Pero el problema sigue ahí: cualquier experto podría utilizar este método para instalar aplicaciones como spyware o adware en nuestros sistemas.
Un simple tuit que enlace a una imagen manipulada puede ser una arma muy potente para engañar a incautos.
La buena noticia es que, como todas las vulnerabilidades de seguridad, esto es un problema que se podrá resolver en cuanto los navegadores se actualicen con algún parche. También habría que ver si estas imágenes "infectadas" pasan las rutinas de seguridad de servicios como Dropbox, que permiten almacenar y compartir imágenes.
Pero aún así es tan simple como temible: estamos ante un nuevo frente por el que poder atacar a usuarios incautos. Tan fácil como tuitear algún mensaje que llame la atención junto a un enlace a la imagen y listo, ya somos víctimas. No hace falta hacer nada más que abrir la imagen, ni siquiera hay que guardarla en el ordenador para que el exploit funcione. Esperemos que haya modos efectivos de frenar esta vulnerabilidad.
