Hay pruebas de que los hackers podrían 'escuchar' las contraseñas que ingresas en tu teléfono
Hay varias formas de comprometer una contraseña. Si un proveedor de servicios no lo almacena correctamente, los piratas informáticos pueden robarlo. También pueden engañar a los usuarios para que entreguen sus datos de inicio de sesión, y debido a que los hábitos de creación de contraseñas de las personas son tan terriblemente predecibles , los delincuentes a menudo pueden adivinar las credenciales que se supone que protegen algunos datos bastante confidenciales. Los investigadores universitarios han encontrado otra forma más inusual de robar una contraseña: a través de ondas de sonido.
El equipo de expertos está formado por Ilia Shumailov, Laurent Simon y Ross Anderson de la Universidad de Cambridge en Inglaterra, así como Jeff Yan de la Universidad de Linköping en Suecia. Idearon y lograron lo que llaman un ataque de "canal lateral acústico" que utiliza los micrófonos de un teléfono inteligente o una tableta para "escuchar" lo que la víctima está ingresando en la pantalla táctil del dispositivo.
Table of Contents
¿Cómo funciona el ataque acústico de canal lateral?
Muchos de ustedes ya podrían ser un poco escépticos acerca de la idea. Después de todo, una de las cosas buenas de escribir en dispositivos con pantalla táctil es que al hacerlo no emite ningún ruido. Si bien el sonido de los dedos tocando una pantalla de vidrio puede ser inaudible para el oído humano, sin embargo, este no es estrictamente el caso cuando se trata de los micrófonos de los teléfonos inteligentes modernos.
El experimento estaba dirigido a dispositivos Android, que a menudo vibran cuando los usuarios tocan teclas en teclados virtuales y almohadillas de PIN. Inicialmente, los investigadores querían usar esto para su ventaja, pero pronto descubrieron que muchas aplicaciones bancarias desactivan deliberadamente esta funcionalidad. Es por eso que decidieron ir por una ruta diferente.
Los teléfonos móviles tienen al menos dos micrófonos: uno cerca de la parte superior del dispositivo y otro cerca de la parte inferior. Dependiendo de la región de la pantalla que toque, el sonido llegará a uno de los micrófonos un poco antes que el otro. Los investigadores pensaron que al tomar en cuenta esta diferencia, podrían tener una suposición informada sobre dónde está haciendo tapping el usuario. Como resultado, tenían razón.
Los resultados fueron tan sorprendentes como preocupantes.
Utilizando la tecnología de aprendizaje automático, los expertos desarrollaron una aplicación especial y se la dieron a 45 participantes a quienes se les pidió que ingresaran algunos códigos PIN y contraseñas. Para hacer el escenario lo más realista posible, los experimentos se realizaron en varios lugares con diferentes niveles de ruido de fondo.
Después de grabar las ondas de sonido hechas por los dedos de los participantes, los expertos utilizaron su software para descubrir cuáles podrían ser las contraseñas y los códigos PIN. Un asombroso 73% de los códigos PIN de cuatro dígitos fueron descifrados con 10 intentos o menos. Como era de esperar, la tasa de éxito con las contraseñas fue menor, pero aún así no fue insignificante.
Alrededor del 30% de las contraseñas fueron expuestas con menos de 20 conjeturas. Tenga en cuenta que estamos hablando de contraseñas que tienen entre 7 y 13 caracteres y consisten en letras y números. Romper a aquellos en un escenario tradicional de fuerza bruta habría sido mucho más difícil.
Todo suena muy sombrío, pero antes de que entre en pánico, debe tener en cuenta que, al menos por el momento, el ataque acústico de canal lateral que desarrollaron los investigadores es poco probable que lo ponga en peligro inmediato.
¿Cuándo comenzarán los ciberdelincuentes a utilizar los micrófonos de su dispositivo para adivinar su contraseña?
Como ya mencionamos, el ataque fue ideado por investigadores académicos que utilizaron tecnología de punta para lograr lo que sin duda es un resultado muy impresionante. El documento que publicaron explica con más detalles cómo funciona todo, pero si los piratas informáticos van a utilizar este método, deberán desarrollar su propio software que escuche y descifre los toques en la pantalla de su teléfono. Esto no será fácil.
En otras palabras, los primeros grupos de piratería que usarán este ataque en el mundo real serán extremadamente sofisticados, probablemente patrocinados por el estado, y probablemente lo harán después de objetivos de alto perfil. Para llevar a cabo el ataque, también deberán persuadir a las víctimas para que instalen una aplicación maliciosa y otorgarles permisos para acceder al micrófono del dispositivo.
Incluso si logran esto, deben tener en cuenta que, como descubrieron los investigadores, el ruido de fondo puede hacer que la tarea de adivinar las contraseñas sea mucho más difícil. Cuando el objetivo pone sus manos sobre el micrófono, lo que, según el trabajo de investigación, ocurre con frecuencia, se vuelve prácticamente imposible.
Entonces, por ahora, el ataque acústico de canal lateral es más una teoría que una amenaza del mundo real. Sin embargo, como los expertos señalaron en el documento, los proveedores de software y hardware probablemente deberían considerar implementar un indicador visual que muestre si el micrófono está en uso o no. Cuando se trata de usuarios, el consejo realmente no ha cambiado. Deben tener cuidado con las aplicaciones que instalan y los permisos que otorgan.
