Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
08/07/2016
Es posible robar la clave del cajero a partir de un reloj inteligente u otros wearables
Los relojes y las pulseras inteligentes, así como otros wearables que con sus sensores detectan el movimiento de las manos, pueden ser usados para “grabar” sus trayectorias.
Y si hace unos días empezaba a preocupar que hasta los keyloggers han llegado a los móviles para registrar todo lo que tecleamos, incluyendo nuestra información personal para sacarle beneficio, he aquí otro dato para inquietarse: los relojes y las pulseras inteligentes, así como otros wearables que con sus sensores detectan el movimiento de las manos, pueden ser usados para “grabar” sus trayectorias e intentar inferir pulsaciones sobre un teclado numérico, por ejemplo, las realizadas en un cajero automático para retirar dinero o al ingresar otras contraseñas.
Con pruebas técnicas realizadas con tres diferentes wearables y sobre tres distribuciones de teclado numérico de cajeros convencionales, lo anterior es argumentado en un artículo conjunto de investigadores de la Binghamton University y el Stevens Institute of Technology. Titula Friend or Foe?: Your Wearable Devices Reveal Your Personal PIN y muestra importantes resultados como que, con sus algoritmos aplicados sobre los datos de las trayectorias, se ha conseguido inferir correctamente el PIN de los cajeros en prueba 80 de cada 100 veces. Eso en el primer intento pues la certeza sube hasta el 90% cuando se permite testear hasta un tercer intento.
Eso sí, no es tan sencillo disponer de dichos registros por la propia seguridad de los dispositivos, con lo que los investigadores señalan que el ataque, sofisticado por su técnica, se efectuaría en dos escenarios: Infectando el wearable con un malware que se active en determinado momento y envíe los registros al atacante, o con algún dispositivo físico cercano al cajero que, por ejemplo, vía Bluetooth, consiga “escuchar” dichos registros.
Por parte de los desarrolladores y fabricantes, restará indagar más sobre el tema para proteger aún más la transmisión entre el wearable y el dispositivo propio que registra los datos, o quizá “inyectar algún tipo de ruido” para afectar los registros de las trayectorias al intentar ser inferidos por un tercero. Por parte de los usuarios, lo más práctico será prescindir de teclear claves con la mano en la que se lleva el wearable.