El calor de las yemas de los dedos podría ayudar a los piratas informáticos de cajeros automáticos

Los códigos secretos que ingresan los clientes bancarios se pueden registrar usando el calor residual que queda en el teclado, dice un grupo de investigadores de la Universidad de California en San Diego.

Hacker caliente: En la parte superior se muestra un teclado de cajero automático típico. A continuación se muestra una imagen térmica tomada inmediatamente después de su uso. El código en este caso era 1485.

El documento del grupo, presentado a principios de este mes en el Taller de USENIX sobre tecnologías ofensivas, muestra que una cámara infrarroja digital puede leer los dígitos del número PIN de un cliente en el teclado más del 80 por ciento del tiempo si se usa inmediatamente. Y si la cámara se usa un minuto después, dice Keaton Mowery, un estudiante de doctorado en ciencias de la computación en UCSD, todavía puede detectar los dígitos correctos aproximadamente la mitad del tiempo.



La investigación, que Mowery realizó con su compañera de estudios Sarah Meiklejohn y el profesor Stefan Savage, se basa en trabajos previos del conocido investigador de seguridad Michal Zalewski, quien en 2005 utilizó una cámara de infrarrojos para detectar códigos introducidos en una caja fuerte con bloqueo de teclado. Si bien Zalewski pudo detectar los códigos incluso después de cinco minutos, los investigadores de UCSD encontraron que la posibilidad de extraer los dígitos correctos se redujo a aproximadamente el 20 por ciento después de 90 segundos.

El método de infrarrojos puede eludir estrategias defensivas, como proteger el teclado. Sin embargo, un usuario de cajero automático podría evadir esta vigilancia infrarroja simplemente colocando una mano sobre todo el teclado para calentar todas las teclas, dice Mowery. Y si un cajero automático también usa los teclados para ingresar otros números, como la cantidad de dinero a retirar, contribuye con ruido adicional, dice Meiklejohn.

El método también tiene otras debilidades. Con los teclados de plástico, podemos detectar de manera confiable qué botones se presionaron, pero es realmente difícil determinar el orden, dice Mowery. Incluso si la imagen se grabó inmediatamente después de que el usuario la ingresó, el orden de los dígitos solo fue detectable alrededor del 20 por ciento de las veces.

Y si el teclado es de metal, fuhgeddaboudit. Básicamente, si apuntas la cámara directamente al teclado de metal, te mostrará la huella digital térmica de ti, el operador de la cámara, en lugar del teclado en sí, dice Meiklejohn. Sin embargo, no lo presionamos, porque el teclado de plástico sí funcionó. Es posible que otra persona pueda resolver esos problemas.

Si se combinan todas estas deficiencias con el costo de la cámara infrarroja ($ 2,000 al mes para alquilar, alrededor de $ 18,000 para comprar), la probabilidad de que alguien ataque un cajero automático de esta manera es baja, dice el investigador Zalewski. Las cámaras de luz diurna en miniatura son mucho más simples y confiables, dice. También lo es el atraco.

esconder