miércoles, 31 de agosto de 2011

El calor de los dedos podría ayudar a los piratas de cajeros automáticos


Piratas en busca de calor: En la parte superior se muestra un teclado de cajero automático típico. A continuación se muestra una imagen térmica tomada inmediatamente después de que se haya utilizado. El código en este caso era 1485.
Fuente: UCSD

Una cámara de infrarrojos podría usarse para grabar qué teclas hemos presionado.
Los códigos secretos introducidos por los clientes de banca se pueden grabar utilizando el calor residual que queda en el teclado, según un grupo de investigadores de la UCSD (Universidad de California en San Diego, EE.UU.).
El estudio del grupo, presentado a principios de este mes en el Taller sobre Tecnologías Ofensivas USENIX, muestra que una cámara infrarroja digital puede leer los dígitos del número de identificación personal de un cliente en el teclado más del 80 por ciento de las veces si se utiliza inmediatamente. Y si la cámara se utiliza un minuto más tarde, afirma Keaton Mowery, estudiante de doctorado en ciencias informáticas de la UCSD, todavía puede detectar los dígitos correctos la mitad de las veces.
La investigación, que Mowery llevó a cabo con su compañero de estudios Sarah Meiklejohn y el profesor Stefan Savage, se basa en trabajos anteriores por el reconocido investigador de seguridad Michal Zalewski, quien en 2005 utilizó una cámara de infrarrojos para detectar los códigos introducidos en una caja fuerte con un candado. Aunque Zalewski fue capaz de detectar los códigos incluso después de cinco minutos, los investigadores de la UCSD encontraron que la probabilidad de extraer los dígitos de forma adecuada se reducía a un 20 por ciento después de 90 segundos.
El método de infrarrojos pueden eludir ciertas estrategias defensivas, como tapar el teclado. Sin embargo, el usuario del cajero puede evadir este tipo de vigilancia infrarroja simplemente colocando una mano sobre el teclado completo, calentando todas las teclas, señala Mowery. Y si un cajero automático también usa el teclado para introducir otros números, tales como la cantidad de dinero a retirar, eso contribuye a la creación de ruido adicional, afirma Meiklejohn.
El método también posee otras debilidades. "Con los teclados de plástico, pudimos detectar con fiabilidad qué botones se habían presionado, aunque en realidad es difícil determinar el orden", afirma Mowery. Incluso si la imagen fuera grabada inmediatamente después de que el usuario los hubiera introducido, el orden de los dígitos sólo fue detectable alrededor del 20 por ciento de las veces.
Y si el teclado es de metal, es mejor olvidarse del tema. "Básicamente, si dirigimos la cámara directamente al teclado de metal, nos muestra la huella térmica de nosotros, los operadores de cámara, en lugar de la del teclado mismamente", afirma Meiklejohn. "Sin embargo, no insistimos, ya que con el teclado de plástico sí funcionó. Es posible que alguien más pudiera resolver esos problemas. "
Al combinar todas estas deficiencias con el coste de una cámara de infrarrojos-2.000 dólares (1.384 euros) de alquiler al mes, cerca de 18.000 dólares (12.455 euros) si la compramos-la probabilidad de que alguien ataque un cajero automático de esta manera es baja, indica el investigador Zalewski. "Las cámaras en miniatura que funcionan con luz del día son mucho más simples y más fiables", afirma. "Atracar a la persona también lo es".
Copyright Technology Review 2011.

No hay comentarios:

Publicar un comentario