¿Qué es la inferencia de pulsaciones de teclas y cómo se puede utilizar para robar contraseñas?

Si bien puede sonar un poco como ciencia ficción o una película de piratas informáticos de fantasía, Forbes recientemente cubrió un artículo de investigación que examina cómo los piratas informáticos pueden usar un método para robar sus contraseñas usando imágenes simples como una grabación de videollamada de Zoom.

Con la creciente popularidad y el aumento en el uso de aplicaciones como Zoom y Google Meet para llevar a cabo reuniones de trabajo remotas, los malos actores han trabajado arduamente tratando de encontrar nuevas formas de abusar de esas plataformas. Incluso con todas las medidas de seguridad que han implementado estas plataformas, el nuevo método de robo de contraseñas puede eludirlas todas.

Dos universidades de EE. UU., Texas y Oklahoma, elaboraron un artículo de investigación que se centra en cómo los malos actores pueden utilizar el movimiento de la parte superior de los brazos y los hombros de una persona en una videollamada para deducir lo que están escribiendo en su teclado. El método se llama "inferencia de pulsaciones de teclas".

¿Cómo funciona la magia?

Obviamente, la inferencia de pulsaciones de teclas no es lo mismo que obtener directamente la contraseña de alguien utilizando un registrador de pulsaciones de teclas, pero también es mucho más difícil implementar un malware de registro de pulsaciones de teclas en el sistema de la víctima. El artículo de investigación explica que los malos actores podrían usar movimientos pequeños y aparentemente insignificantes de la parte superior del cuerpo de una persona para adivinar aproximadamente qué teclas están presionando en su teclado.

La metodología completa se basa en hacer referencia a las señales visuales de la persona que escribe en video con un vasto diccionario e inferir qué cadenas y palabras se pueden escribir, basándose en esto. Por supuesto, para que este método funcione, el mal actor deberá participar en la videollamada o haber pirateado la videollamada para poder acceder a las transmisiones de video de los participantes.

¿Cómo maneja el método las contraseñas seguras?

El algoritmo examinado por los equipos universitarios muestra una tasa de éxito inquietantemente alta: alrededor del 75% de las cadenas de contraseña examinadas de esta manera se adivinaron correctamente, si la cadena de contraseña utilizada era parte de la referencia del diccionario de aproximadamente un millón de palabras.

Por supuesto, esto nos devuelve a la importancia de no utilizar nunca palabras comunes como contraseñas y de crear contraseñas complejas y compuestas que incluyan letras, números y símbolos en una buena combinación y con suficiente extensión. El algoritmo utilizado en la investigación solo pudo adivinar menos del 19% de las contraseñas que se construyeron utilizando buenas prácticas de seguridad y contenían cadenas únicas, que no se encuentran en un diccionario.

Esto solo sirve para subrayar que una contraseña buena y segura puede proporcionar un buen grado de protección incluso contra métodos de ataque emergentes.

November 16, 2020

Deja una respuesta