El mundo del hacking es inagotable, basta que alguien encuentre un nuevo sistema de protección para que alguien encuentre un nuevo método para saltárselo. Concretamente, encuentro recientemente dos métodos bastante curiosos e inesperados para conseguir contraseñas y PINs, uno relacionado con los cajeros automáticos y otro con los teléfonos móviles.
Respecto a los PINs de los cajeros automáticos, habrás escuchado que es buena idea tapar con una mano el teclado numérico del cajero mientras con la otra introduces el PIN de cuatro números y otros trucos relacionados con la seguridad. Ahora unos investigadores de la Universidad de California han encontrado un método basado en cámaras térmicas.
La idea es bastante simple, tus dedos tienen una temperatura más alta que las teclas del cajero, por lo tanto, después de usarla aquellas teclas que has pulsado estarán ligeramente más calientes. Una cámara térmica lo suficientemente sensible puede saber cuáles son estas teclas tomando una imagen. Obviamente, la operación se debe realizar justo cuando acabas de dejar el cajero antes de que todas las teclas vuelvan a enfriarse, pero el riesgo está ahí.
Durante el estudio realizaron pruebas con 21 voluntarios sobre teclados de plástico y metal y el resultado fue bastante curioso, porque lógicamente las últimas teclas que pulsas son las que permanecen con más temperatura, así que podrías incluso deducir el orden. Según el resultado del estudio, hasta casi un minuto después de introducir el PIN se pueden obtener resultados con un 60% de aciertos.
Imagino que una solución sería utilizar el mismo teclado numérico para seleccionar las diferentes opciones de menú que aparecen en la pantalla del cajero, en lugar de utilizar el típico teclado separado a los lados de la pantalla.
El segundo de los estudios no es menos inesperado. Se trata de un keylogger, un software especial que es capaz de detectar qué teclas pulsas. En el caso de un ordenador personal o portátil, los keyloggers funcionan de forma relativamente sencilla, porque solo tienen que esperar a que pulses una tecla para capturar su pulsación y almacenarla o enviarla remotamente. Sin embargo, en el caso de smartphones con pantallas táctiles la cuestión no es tan sencilla, porque el teclado en pantalla es virtual, no existen teclas físicas cuya pulsación puedas comprobar directamente.
Para solucionarlo, unos investigadores de la Univesidad de California (de nuevo una Universidad) han trabajado creando un keylogger que se basa en el acelerómetro que hoy día incluye cualquier teléfono móvil de última generación.
El acelerómetro es capaz de registrar la inclinación del móvil y ya sabes que cuando estás tecleando con tu dedo pulgar el móvil sufre cambios de orientación producidos por el movimiento de la mano. Este keylogger lo que hace es analizar estos movimientos e intenta adivinar en qué lugar de la pantalla has estado pulsando con tu dedo. Lógicamente, si mantienes tu smartphone con una mano firmemente mientras pulsas sobre la pantalla con el dedo índice de la otra mano el sistema no funcionará, pero de nuevo te encuentras con un riesgo allá donde pensabas que no existía.
En este caso, los investigadores consiguieron un éxito a la hora de adivinar contraseñas de un 70%. Suficiente para extraer contraseñas o incluso textos completos, sobre todo si unes el sistema con un diccionario o con una base de datos de posibles passwords.
Lo más preocupante es que se trata de un trabajo público realizado en dos universidades, pero imagina qué es lo que estarán ideando los ‘profesionales’ del hack de forma privada.
Fuente ucdavis, newscientist, Universidad San Diego, nakedsecurity vía gizmodo
No se en qué año se dieron cuenta los investigadores, pero en el Splinter Cell esto de sacar contraseñas con cámaras térmicas ya se usaba!
Es lo primero en lo que he pensado yo también xD