Por Heather Kelly
(CNN) — Investigadores han encontrado una forma de descifrar el número de identificación personal, o PIN (por sus siglas en inglés), que una persona ingresa en su teléfono inteligente mediante el uso de las cámaras y micrófonos incorporados del dispositivo para grabarlos en secreto.
Los teléfonos inteligentes están manejando una cantidad cada vez mayor de información financiera confidencial, con aplicaciones bancarias y de pagos y otras características que convierten los teléfonos en carteras móviles con multitud de funciones. Eso hace que los dispositivos móviles sean un blanco perfecto para los cibercriminales.
En un artículo publicado el jueves, los investigadores de seguridad de la Universidad de Cambridge detallaron cómo se aprovecharon de la cámara y micrófono del teléfono inteligente para detectar números de identificación personal y dieron algunas sugerencias para hacer que este tipo de pirateo se torne más difícil.
Este tipo de software malicioso no está circulando todavía. El programa PIN Skimmer fue creado por Ross Anderson y Laurent Simon de Cambridge. La idea es identificar los posibles agujeros de seguridad antes de que puedan ser aprovechados por los criminales. En las pruebas, el PIN Skimmer tuvo un 30% de índice de éxito en detectar números de identificación personal de cuatro dígitos después de monitorear unos pocos intentos, y ese número aumentó después de captar información luego de cinco intentos.
Primero, el micrófono detecta que una persona está ingresando un PIN. En muchas aplicaciones, el dispositivo vibrará cada vez que un número sea pulsado. Esa vibración crea un sonido que es capturado por el micrófono, el cual le permite al software malicioso saber que un “evento táctil” está ocurriendo; en este caso, que un PIN secreto está siendo ingresado.
Luego, la cámara se ocupa del resto. La cámara no está buscando reflejos en tus ojos; tampoco está triangulando qué números ves mientras ingresas el código. Los investigadores utilizan la cámara para detectar la orientación del teléfono y determinar en qué parte de la pantalla se encuentra el dedo del usuario. Los teclados en pantalla normalmente muestran los números en un orden estándar, por lo que si el programa puede determinar qué parte de la pantalla está pulsando el dedo basándose en la manera en que la persona está sosteniendo el teléfono, puede deducir qué número se encuentra ahí. En su ejemplo, los investigadores asumen que las personas sujetan su teléfono con una mano e ingresan los números con su pulgar.
El software malicioso saca algunas fotografías y unos pocos segundos de video y los sube a un servidor remoto, eludiendo la detección al ocultar cualquier registro de uso de datos, posiblemente esperando a que el teléfono se conecte a una red inalámbrica.
Dependiendo del teléfono, podría tomar algunas precauciones adicionales como inhabilitar cualquier luz LED que pudiera permitirle a la persona darse cuenta que la cámara de su teléfono inteligente estuvo grabando algo. Los investigadores probaron el programa en los teléfonos Android Galaxy S3 y Google Nexus.
En el pasado, investigadores en materia de seguridad han advertido que los criminales podrían utilizar otros sensores del teléfono como el acelerómetro y el giroscopio para descifrar lo que alguien está ingresando. El artículo sugiere que las aplicaciones o carteras electrónicas como Trustzone tomen el control y deshabiliten todos los sensores disponibles cuando se entre en un modo seguro. Otra sugerencia incluye aleatorizar dónde aparecen los números en la pantalla.