Estamos acostumbrados a hablar, escribir y leer sobre los supuestos problemas de seguridad en Android, sobre la cuota de responsabilidad que tienen los fabricantes de smartphones en esas vulnerabilidades, la cantidad y agresividad de malware pero… ¿Qué pasa cuando tu propio móvil sirve de Caballo de Troya para los amigos de lo ajeno? Según un estudio realizado por un equipo de la Universidad de Cambridge, es relativamente sencillo obtener el código PIN de un smartphone usando un programa que se vale de la cámara y del micrófono del dispositivo para obtener los dígitos.
El ínclito software se llama Skimmer PIN y sus avispados desarrolladores le dotaron de la capacidad de observar e identificar los gestos de la cara y la mirada del usuario por medio de la cámara frontal del smartphone, al mismo tiempo que se vale del micrófono del mismo para ‘escuchar’ la pulsación de los diferentes dígitos introducidos por el usuario. De este modo se cruza la información obtenida para calcular la orientación del teléfono y la ubicación aproximada del botón pulsado, logrando un porcentaje de acierto preocupante en códigos PIN sencillos o de pocas cifras.
Más del 50 por ciento de acierto a cinco intentos en códigos PIN de cuatro dígitos
El profesor de Ingeniería de Seguridad en la mencionada universidad británica, Ross Anderson, ha destacado que lo primero que les sorprendió al realizar el estudio fue “lo bien que funcionó” Skimmer PIN a la hora de hallar los códigos PIN de los diferentes teléfonos utilizados como ‘conejillos de Indias’. Cabe reseñar que los modelos con los que se realizó el estudio fueron Samsung Galaxy S3 y Nexus S.
En ellos el porcentaje de acierto fue superior al 50 por ciento en códigos PIN de cuatro dígitos y a un máximo de cinco intentos, mientras que para códigos de ocho cifras y a un máximo de 10 intentos la tasa de éxito fue del 60 por ciento. Preocupante en cualquiera de los dos casos y más si tenemos en cuenta el amplio número de usuarios que protegemos nuestros teléfonos, desbloqueamos e incluso accedemos a aplicaciones bancarias mediante el uso de un código numérico de tales características.
Tanto Anderson como el otro co-autor del estudio, Laurent Simon, han explicado que la cámara frontal “que por lo general se utiliza para vídeo llamadas o reconocimiento de rostros, se puede utilizar también de forma maliciosa”. En cuanto al micrófono, el citado software lo usa para captar las pulsaciones del usuario en el teclado virtual del smartphone. Por lo tanto, y según los investigadores “se ven los cambios y movimientos del rostro a medida que escriben en el teléfono” y se “correlacionan con la posición del dígito pulsado por el usuario”.
Como método para evitar los peligros derivados de una hipotética expansión de más programas similares a este Skimmer PIN, los autores del estudio recomiendan la utilización de códigos PIN más largos o la asignación de los mismos al azar, aunque admiten que tales extremos afectarían a la “facilidad de uso” y que incluso podrían “paralizar la usabilidad” de los dispositivos. Como soluciones más drásticas, aunque no por ello menos válidas, también apuestas por la completa eliminación de las contraseñas escritas y su sustitución por el uso de la huella dactilar o el reconocimiento facial.
¿…y no se les ha ocurrido como prevención algo tan simple como tapar la cámara con el dedo mientras tecleas la clave?
A esto hay que agregarle la necesidad de tener una buena cámara en la parte delantera del móvil supongo, que en mi móvil esta cámara es bastante mala y apenas se me ve la silueta de los ojos xD, y por ejemplo con poner el móvil de lado ya tapas la cámara por la posición de las manos, vamos que esos porcentajes fueron sacados con el mismo móvil con buena cámara y cogiéndolo de la manera mas favorable. Me gusta este tipo de noticias, te alertan de las nuevas posibles amenazas, saludos y gracias por estos interesantes artículos.
1 Seria mas interesante mirar con la camara el ojo del que pulsa los botones.
2 Dependiendo de las versiones de Android, no se pulsan botones para el PIN sino que se arrastra el dedo por la superficio para hacer un dibujo juntando puntos
3 Como ha llegado ese programa a mi IPHONE que no tiene JAILBREAK?. Pues de ninguna forma
Como estudio esta bien, pero presuponen cosas que no se hacen.
En un entorno controlado el 50%, en el real mucho menos
Yo uso pin con numeros repetidos, para que las huellas no lo pongan facil, pero supongamos que consiguen instalarme ese programa que lo dudo, supongamos tambien que mi movil tiene camara frontal, supongamos que cuando desbloqueo el movil no lo tengo inclinado a un lado o hacia atras y solo ven el cielo, o que este usando gafas de sol, una vez superados ese cumulo de factores y tambien que acierten en sus intentos…… para que les sirve? tendran que quitarme el telefono, y si me lo quitan ya me daria igual el pin porque pueden formatearlo. Es mas facil para que alguien que te conozca y cada dia eche una miradita cuando sacas el movil y lo desbloqueas.
Es algo nuevo que se pueda obtener el pin de un móvil y sin duda es algo en lo que se debe tomar precauciones porque quiere decir que cualquier persona lo podría averiguar.
seamos honestos nadie utiliza estos metodos complicados a menos de que seas millonario o parte del gobierno o te quieran espiar por alguna razon y contraten hackers muy experimentados