Por Erika Fink, CNNMoney

(CNNMoney) – ¿Recuerdas al chico que trató de hacer trampa viendo sobre tu hombro para copiar las respuestas de la prueba? Está de vuelta.

Pero esta vez él está usando Google Glass, y está detrás de tu PIN del iPad.

Si estás viendo esta nota en tu móvil, mira aquí la galería.

Los expertos forenses cibernéticos de la Universidad de Massachusetts en Lowell han desarrollado una manera de robar las contraseñas introducidas en un teléfono inteligente o una tableta usando video del dispositivo colocado sobre el rostro de Google y otros dispositivos de captura de vídeo. El ladrón puede estar a casi tres metros de distancia y ni siquiera necesita leer la pantalla, lo que significa que lanzar una mirada no es un antídoto.

Los investigadores de seguridad crearon el software que mapea las sombras de las yemas de los dedos que pulsan en una tableta o un teléfono inteligente. Su algoritmo luego convierte esos puntos de contacto en las teclas reales que estaban tocando, lo que permite a los investigadores descifrar el código de acceso.

Probaron el algoritmo de contraseñas introducidas en un iPad de Apple, en una tableta Nexus 7 de Google y un iPhone 5.

¿Por qué deberías estar preocupado?

“Podríamos obtener la contraseña de tu cuenta bancaria”, dijo el investigador Xinwen Fu.

El software se puede aplicar al video tomado en una variedad de dispositivos: Fu y su equipo experimentaron con Google Glass, vídeo de un teléfono celular, una cámara web y una cámara de vídeo. El software funcionó en vídeo de una videocámara tomada a una distancia de más de 140 pies (43 metros).

Por supuesto, una cámara de vídeo que apunta a la cara de un desconocido podría producir cierta suspicacia. El auge de la tecnología portátil es lo que hace que este enfoque realmente sea viable. Por ejemplo, un smartwatch podría sigilosamente grabar lo que se escribe en el teléfono objetivo en una cafetería, sin llamar mucho la atención.

Fu dice que Google Glass es algo que cambia las reglas del juego para este tipo de vulnerabilidad.

“Lo más importante aquí es el ángulo. Para hacer este ataque con éxito, el atacante debe ser capaz de ajustar el ángulo para tomar un mejor vídeo… si ven tu dedo, te roban la contraseña”, dijo Fu.

CNNMoney puso a prueba su software. Montamos una tienda en nuestra cafetería corporativa en la que el investigador de seguridad que tenía puesto el Google Glass estaba a 8.5 pies (2.60 metros) de distancia de nuestro iPad.

Fu y sus colegas dijeron que podían identificar la contraseña con un 100% de certeza si grababan el proceso de inicio de sesión tres veces. También probaron con Google Glass en un robot, en caso que el movimiento de la cabeza del investigador demostrara ser un problema.

En menos de diez minutos pudieron identificar con precisión nuestra contraseña, 5-1-2-0. (Por lo general toma menos tiempo, pero la corresponsal de CNNMoney Tech, Laurie Segall, tiene uñas cortas, lo que creó menos sombra para que el software lo analizara. Aún así lo hicieron bien).

La mayor vulnerabilidad que el equipo de Fu identificó es que las claves siempre están en el mismo lugar en el teclado. Existen herramientas que pueden aleatorizar la ubicación de las teclas en el teclado de modo que un “9” podría estar donde normalmente se encuentra el “1”, pero no son comunes. El objetivo de un trabajo como este es hacer que este tipo de protecciones sean predominantes.

La investigación será presentada el próximo mes en la conferencia de seguridad cibernética Black Hat.