Is the image or message uploaded to a server?

No. Embedding, encryption and extraction happen locally in your browser using the Canvas and Web Crypto APIs. Your image, message and passphrase never leave the device.

Why must the output be a PNG?

LSB steganography stores data in the least significant bits of pixels. Lossy formats like JPEG recompress and destroy those bits, so the stego image is exported as lossless PNG to keep the hidden data intact.

What is the difference between Base64, XOR and AES here?

Base64 only encodes the text and offers no secrecy. The XOR passphrase cipher provides light obfuscation. AES-256-GCM with PBKDF2 provides real authenticated encryption, so without the passphrase the hidden message cannot be read or tampered with undetected.

PWN-ALL · STEGO-LAB

MODO: OCULTAR Logarítmico · Lineal FUERA: Papúa Nueva Guinea

listo

Esteganografía en imágenes

Ocultar un mensaje en una imagen

Incorporación de LSB con cifrado opcional Base64, XOR o AES-256-GCM, todo ello en tu navegador.

01 · Imagen de la portada

Imagen de portada PNG, JPG, WebP: el formato de salida es siempre PNG

02 · Carga útil

Mensaje secreto

03 · Cifrado

Cifrado frase de contraseña

Solo para fines de investigación y educativos. Esta herramienta se proporciona con el fin de estudiar la esteganografía y la criptografía del lado del cliente. No la utilices para ocultar, transmitir o filtrar datos de forma ilegal o infringiendo cualquier política. Eres el único responsable del uso que le des y del cumplimiento de la legislación de tu jurisdicción.

La privacidad es lo primero

Esteganografía local con cifrado real

La imagen de portada, el mensaje secreto y la frase de contraseña se procesan localmente mediante las API de Canvas y Web Crypto: no se sube nada y no hay rastreadores. Una vez cargado, funciona sin conexión. Los datos ocultos se escriben en el bit menos significativo de los canales R, G y B, lo cual es imperceptible a simple vista, y se exportan como PNG sin pérdida de calidad para que se conserven.

¿Por qué el archivo de salida tiene que ser un PNG?

Los datos LSB se almacenan en el bit menos significativo de cada píxel. Los formatos con pérdida, como el JPEG, vuelven a comprimir y destruyen esos bits, por lo que la imagen esteganográfica se exporta como PNG sin pérdida para mantener el mensaje intacto.

¿Cuál es la diferencia entre Base64, XOR y AES?

Base64 solo codifica; no ofrece confidencialidad. El XOR con una frase de contraseña es un método de ofuscación básico. AES-256-GCM con PBKDF2 es un verdadero cifrado autenticado: sin la frase de contraseña, el mensaje no se puede leer ni modificar de forma encubierta.

¿Es indetectable la esteganografía LSB?

No. Es invisible a simple vista, pero el esteganálisis estadístico puede detectarlo, y cualquier proceso de recodificación (aplicaciones de mensajería, redes sociales) puede eliminarlo. Considéralo como un método de ofuscación, no como una garantía de confidencialidad.

¿Se puede recuperar el mensaje sin la contraseña?

En el caso de «None/Base64», sí: cualquiera que tenga el archivo puede descifrarlo. Para XOR y AES se requiere la contraseña correcta; además, AES falla directamente si los datos han sido manipulados.