Con el reciente revuelo en torno a la biometría móvil, algunos pensarían que los consumidores están mejor con los PINs y las contraseñas. Pero un estudio reciente halló que los hackers pueden acceder al PIN de un dispositivo a través de los datos de sensores de movimiento de dispositivos vestibles.

“¿Amigo o enemigo?: Sus dispositivos vestibles revelan su PIN personal” afirma que con los dispositivos vestibles existe la potencialidad de una seria violación de seguridad. Anteriormente un estafador habría necesitado una cámara de video o un teclado falso para obtener un PIN, pero algunos dispositivos vestibles pueden registrar también esa información.

“En este trabajo mostramos que un dispositivo vestible puede ser aprovechado para discriminar direcciones y distancias a nivel de milímetro respecto a sutiles movimientos de las manos del usuario, lo que permite a los atacantes reproducir las trayectorias de la mano del usuario y recuperar las entradas de clave secreta”, señala el informe.

Los investigadores crearon un algoritmo para inferencia retroactiva de la secuencia de PIN, que explota las limitaciones físicas entre las entradas de claves, con el fin de inferir el PIN.

Se realizaron amplios experimentos con más de 5,000 rastros de entrada de clave obtenidos de 20 adultos para sistemas de seguridad basados en claves, tales como teclados de ATM y teclados ordinarios, probando diferentes tipos de vestibles.

Los resultados demuestran que semejante técnica puede lograr un 80% de precisión con solo un intento, y más del 90% de precisión con tres intentos, que es – según nuestro conocimiento – la primera técnica que revela PINs personales utilizando dispositivos vestibles sin necesidad de datos de entrenamiento etiquetados e información contextual.

Aunque esta investigación es preocupante, no deseche ahora mismo sus rastreadores de fitness y sus teléfonos inteligentes, advierte Paul Madsen, arquitecto técnico senior en la oficina del dirección técnica de Ping Identity. “Antes de quitarse el vestible de su muñeca, o comenzar a agitar el brazo para añadirle ruido a los datos, quizás deberíamos considerar el ataque desde dos ángulos 1) la escala del hackeo, y 2) la dificultad del hackeo”, plantea Madsen en una entrada de blog.

En primer lugar, los datos del sensor tendrían que ser extraídos de los dispositivos. Aunque esto es posible mediante malware, sería difícil hacerlo en gran escala. Es más posible que un hacker debería hacer blanco en un individuo de modo que el dispositivo vestible quedara comprometido y tendría acceso al teléfono o tableta de la víctima.

Pero incluso esto parece excesivo cuando existen vías más fáciles. “Si el atacante tiene acceso físico al teléfono, existen formas más sencillas para conseguir el PIN, como es fisgonear por encima del hombro o revisar el patrón de las manchas dejadas por las huellas digitales, en vez de instalar malware en otro dispositivo vestible”, explica Madsen.

Después está la cuestión de qué pueden hacer los atacantes una vez que accedan al dispositivo. “Y desbloquear el teléfono con el PIN robado le dará al hacker acceso a información sensible en ese teléfono, pero es improbable que le permita acceso a aplicaciones sensibles a las que haya accedido desde ese teléfono”, señala Madsen. “Esto es porque cualquier aplicación sensible — no Facebook — posiblemente ordena un tiempo breve de sesión, de manera que cuando se inicia pedirán una autenticación – una que el hacker que tiene el PIN no logrará pasar”.

Es improbable que este hackeo logre ser atractivo a gran escala. “Aunque es un ataque interesante — y muy de moda por el aspecto IoT — probablemente no es del tipo que despertaría el interés de los hackers rusos, por lo menos no de los que conozco. Sigue siendo mucho más fácil ir tras las contraseñas en un servidor, que tras los PINs en un dispositivo”, añade Madsen.