Asalto al tren del correo: el Bueno, el CEO y el Malo
Durante la primera jornada de RootedCON 2026, los investigadores Pedro Marco y Javier Sevillano presentaron una ponencia que combinó análisis forense, detección de anomalías y técnicas de ocultación (esteganografía) de datos en correo electrónico.
Bajo el título “Asalto al tren del correo: el Bueno, el CEO y el Malo”, los ponentes explicaron cómo, durante la investigación de un incidente en una entidad bancaria europea, descubrieron que el servidor de correo corporativo estaba siendo utilizado como canal de comunicación para un troyano, ocultando instrucciones dentro de imágenes aparentemente idénticas.
El primer indicio: un usuario enviando demasiados correos
El incidente comenzó cuando los sistemas de monitorización detectaron un comportamiento anómalo en un usuario del sistema de correo. Ese usuario empezó a enviar una gran cantidad de correos electrónicos por segundo, algo completamente fuera de su patrón habitual de actividad.
Además del volumen, había otro factor que llamó la atención de los analistas: el tipo de información que estaba enviando no coincidía con su “nivel del agua”. Este término se utiliza de forma coloquial para describir la línea base de comportamiento de un usuario dentro de una organización.
Es decir, el tipo de actividad que normalmente se espera de esa cuenta: qué información maneja, a quién suele escribir o qué volumen de correos envía. Cuando un usuario empieza a operar muy por encima o fuera de ese comportamiento habitual, los sistemas de detección de anomalías pueden identificarlo como un posible incidente de seguridad.
Verificando si los correos eran legítimos
Antes de profundizar en el contenido de los mensajes, los analistas comprobaron si se trataba de correos falsificados o si realmente estaban siendo enviados desde la infraestructura del banco. Para ello revisaron las cabeceras completas de los mensajes, donde se encuentra la información técnica sobre el origen y el recorrido del correo.
Durante ese análisis observaron que en las cabeceras aparecen dos campos relacionados con el remitente (From), aunque se denominan de forma diferente. Cuando estos campos están alineados correctamente, significa que el dominio que aparece como remitente coincide con el origen real del mensaje, lo que permite verificar que el correo es legítimo.
En este caso, los correos estaban correctamente alineados, lo que indicaba que realmente estaban siendo enviados desde el servidor de correo del banco y no desde un sistema externo mediante ténicas de spoofing. Esto confirmaba una hipótesis preocupante: la propia infraestructura de correo de la organización estaba siendo utilizada dentro del ataque.
Correos idénticos… pero con hashes distintos
Una vez confirmado el origen de los mensajes, los investigadores analizaron su contenido. El patrón era curioso: el servidor estaba enviando centenares de correos aparentemente idénticos. Todos contenían el mismo mensaje, el mismo formato y una única imagen adjunta Sin embargo, al calcular el hash de los correos apareció un detalle inesperado: todos tenían hashes diferentes. Si los archivos fueran exactamente iguales a nivel binario, el hash debería coincidir. El hecho de que cada correo produjera un hash distinto indicaba que existía alguna diferencia interna, aunque visualmente los mensajes parecieran iguales.
Una imagen idéntica… con un byte diferente
El análisis se centró entonces en el único elemento variable: la imagen adjunta en cada correo. Visualmente, todas las imágenes eran idénticas. Pero al compararlas a nivel binario apareció el patrón que explicaba la diferencia entre hashes:
- El byte número 401 cambiaba en cada imagen.
- Ese único byte era diferente en cada archivo enviado.
Este tipo de manipulación encaja con técnicas de esteganografía, en las que se introducen pequeños fragmentos de información dentro de archivos aparentemente inocuos.
Extrayendo el mensaje oculto
Para reconstruir el contenido que se estaba transmitiendo, los investigadores analizaron ese byte en todas las imágenes.
El procedimiento fue el siguiente:
- Extraer el valor hexadecimal del byte 401 de cada imagen.
- Concatenar todos esos valores en una única cadena.
- Se obtuvo lo que parecía un mensaje codificado en base64, pero su longitud no era múltiplo de 64. Para ello se añadió «==» al final.
El resultado era una cadena codificada en Base64. Al decodificarla apareció el contenido real: un JSON con mensajes dirigidos a un troyano.
Un canal de mando escondido en correos legítimos
En la práctica, el atacante había construido un canal de comunicación fragmentado hacia el malware utilizando el propio sistema de correo del banco. Cada correo transportaba una pequeña pieza de información dentro de una imagen. Al reunir todas esas piezas era posible reconstruir las instrucciones completas enviadas al troyano o APT situado en otro nodo.
De esta forma, el atacante conseguía:
- utilizar infraestructura legítima de la organización
- ocultar datos dentro de archivos aparentemente inofensivos
- fragmentar la información para dificultar su detección
Cuando una anomalía mínima revela un ataque
El caso presentado por Pedro Marco y Javier Sevillano ilustra cómo pequeñas anomalías pueden revelar operaciones de malware sofisticadas. En este incidente no hubo grandes cargas de datos ni archivos claramente maliciosos. Solo correos aparentemente normales con imágenes idénticas.
Solo bastó con modificar un único byte en cada imagen para construir un canal de comunicación completo entre el servidor comprometido y un troyano. Y todo empezó con una señal casi imperceptible para un usuario, pero muy clara para un sistema de detección de anomalías: un empleado enviando muchos más correos de lo habitual, modificando su “nivel del agua”.
Síguenos en araintel.com
