Unos expertos en seguridad informática han desarrollado un sistema capaz de adivinar las contraseñas de usuarios de ordenadores y smartphones en segundos. Y tan solo con analizar los rastros de calor que dejan sus dedos en teclados y pantallas. Los encargados del descubrimiento fueron los investigadores de la Universidad de Glasgow. Estos desarrollaron un sistema llamado ThermoSecure. Y, ¿para qué? Pues con el fin de mostrar cómo la caída de los precios de las cámaras termográficas y el aumento del acceso al aprendizaje automático están creando nuevos riesgos de «ataque térmico». Aquí aprenderás mucho más sobre este asunto.

¿Cómo podría ocurrir un ataque térmico?

Un ataque térmico puede ocurrir luego de que los usuarios escriban su código de acceso en el teclado de una computadora, la pantalla de un smartphone o el teclado de un cajero automático. Hasta antes de dejar el dispositivo sin protección. Esto es así porque un transeúnte con una cámara térmica puede tomar una foto que revele la firma de calor de donde los dedos de un usuario han tocado el dispositivo.

Mientas más brillante aparezca un área en la imagen térmica, más recientemente se tocó. Por tanto, al medir la intensidad relativa de las áreas más cálidas, es probable determinar las letras, números o símbolos que componen la contraseña. Y así estimar el orden en que se usaron. A partir de ese momento, los atacantes pueden probar diferentes combinaciones para descifrar las contraseñas de los usuarios.

Investigaciones anteriores realizadas por el Dr. Mohamed Khamis, encargado del desarrollo de ThermoSecure, demostraron hechos importantes. Y es que los no expertos pueden adivinar contraseñas con éxito solo con mirar imágenes térmicas entre 30 y 60 segundos luego de tomar la foto.

Nacimiento y funcionamiento de ThermoSecure

Thermo Secure
Sistema ThermoSecure. Vía techxplore

En un artículo publicado en la revista ACM Transactions on Privacy and Security, los encargados del estudio explican cómo crearon ThermoSecure. Los investigadores fueron el Dr. Khamis, la Sra. Norah Alotaibi y el Dr. John Williamson. Estos señalan que se propusieron aprovechar el aprendizaje automático para hacer que el proceso de ataque sea más preciso. Para ello, tomaron 1.500 fotos térmicas de teclados QWERTY usados ​​recientemente desde diferentes ángulos.

Después de ello, entrenaron un modelo IA para leer las imágenes de manera efectiva y hacer conjeturas informadas sobre las contraseñas.

A través de dos estudios de usuarios, descubrieron que ThermoSecure era capaz de revelar el 86% de las contraseñas cuando se tomaban imágenes térmicas en 20 segundos. Y el 76 % en 30 segundos, cayendo al 62% después de 60 segundos de ingreso.

También descubrieron que, en 20 segundos, ThermoSecure era capaz de atacar con éxito contraseñas largas de 16 caracteres, con una tasa de intentos correctos de hasta el 67%. A medida que las contraseñas se hicieron más cortas, las tasas de éxito aumentaron:

  • Las contraseñas de 12 símbolos se adivinaron hasta el 82 % de las veces.
  • Aquellas de ocho símbolos hasta el 93% de las veces.
  • Incluso las de seis símbolos tuvieron éxito hasta en el 100% de los intentos.

El Dr. Khamis, de la Facultad de Ciencias de la Computación de la Universidad de Glasgow, dijo: «Dicen que es necesario pensar como un ladrón para atrapar a un ladrón. Desarrollamos ThermoSecure al pensar detenidamente en cómo los actores maliciosos podrían explotar las imágenes térmicas para ingresar a las computadoras y teléfonos inteligentes”.

Variables de la investigación

Los investigadores también observaron variables adicionales que facilitaron que ThermoSecure adivinara las contraseñas. Estas son algunas de ellas:

  • El estilo de escritura de los usuarios del teclado.
  • Los usuarios de teclados de «cazar y picotear» que escriben lentamente tienden a dejar los dedos sobre las teclas durante más tiempo.
  • Las imágenes tomadas dentro de los 30 segundos posteriores al toque del teclado permitieron a ThermoSecure adivinar las contraseñas de los mecanógrafos el 92% de las veces. Y solo el 80 % de las veces para los mecanógrafos táctiles.
  • El tipo de material del que están hechos los teclados puede afectar la capacidad para absorber calor. Ello, por supuesto, trae implicaciones para la efectividad de los ataques térmicos.
  • ThermoSecure pudo adivinar con éxito las contraseñas a partir del calor retenido en las teclas hechas de plástico ABS alrededor de la mitad de las veces, pero solo el 14% de las veces en las teclas fabricadas con plástico PBT.

Esto nos hace ver que debemos ser más cuidadosos con nuestras contraseñas y que hacerlas más largas podría ayudarnos a confundir a los hackers.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *