El número secreto de las tarjetas de crédito se puede adivinar observando las manos del usuario al teclear, incluso cuando éste tapa el teclado. Un equipo de investigadores de la Universidad italiana de Padua ha demostrado que es posible entrenar un algoritmo de aprendizaje profundo especializado, para que adivine el PIN de cuatro dígitos de las tarjetas de crédito, logrando una tasa de un 41% de éxito.
No se trata de un ataque sencillo, ya que requeriría la creación de una réplica del cajero automático objetivo. El entrenamiento del algoritmo necesita trabajar con las dimensiones específicas, en concreto el espaciado de las teclas de los diferentes teclados PIN es de vital importancia. A continuación, el modelo de aprendizaje automático se entrena a sí mismo con la información recibida para reconocer las pulsaciones del teclado y asignar probabilidades específicas de que un movimiento corresponda a una tecla determinada, todo ello a partir de los vídeos de personas que introducen sus PIN en el teclado del cajero automático.
Para el experimento, los investigadores recopilaron 5.800 vídeos de 58 personas diferentes de diversos grupos demográficos, introduciendo códigos de cuatro y cinco dígitos. Los equipos en los que se ejecutó el modelo de predicción fueron un Xeon E5-2670 con 128 GB de RAM y tres Tesla K20m con 5 GB de RAM cada uno. Los autores señalan que se trata de sistemas de gama media-alta, pero que están dentro de un espectro económico razonable.
Cinco dígitos mejor que cuatro
El modelo deduce los dígitos pulsados a partir de los movimientos de la mano, evaluando la distancia topológica entre dos teclas. La colocación de la cámara que desempeña un papel fundamental: se determinó que ocultar una cámara estenopeica en la parte superior del cajero automático era el enfoque más efectivo para el atacante.
Utilizando tres intentos (suele ser el número máximo permitido antes de que se retenga la tarjeta) los investigadores reconstruyeron la secuencia correcta para los PIN de cinco dígitos en un 30% de las ocasiones y en un 41% para el de cuatro.
Y los autores subrayan que, si la cámara fuese capaz de captar también el audio, el modelo podría utilizar la retroalimentación del sonido de la pulsación, que es ligeramente diferente para cada dígito, con lo que las predicciones serían mucho más precisas.
Precauciones
Afortunadamente, hay algunas medidas que puedes implementar para reducir el riesgo. En primer lugar, si tu banco te da la opción de elegir un PIN de cinco dígitos en lugar de uno de cuatro, elige el más largo. Aunque pueda ser más difícil de recordar, es mucho más seguro contra ataques de este tipo.
En segundo lugar, los autores explican que el espacio que cubras con la mano disminuye considerablemente la precisión de la predicción. Con una cobertura del 75% se obtuvo una precisión de 0,55 en cada intento, mientras que una cobertura total la reduce a 0,33. Una tercera medida a implementar por las entidades bancarias sería servir a los usuarios con un teclado virtual y aleatorio en lugar de uno mecánico estandarizado. Eso conlleva inevitablemente inconvenientes de usabilidad, pero es una excelente medida de seguridad.
Como comparación, los investigadores utilizaron los vídeos del experimento en una encuesta con 78 participantes para determinar si los humanos también podían adivinar los PIN ocultos. De media, los participantes en la encuesta respondieron con una precisión de solo el 7,92%, lo que resulta muy ineficiente para llevar a cabo ataques de este tipo.
Descubre más desde Revista Ciberseguridad
Suscríbete y recibe las últimas entradas en tu correo electrónico.
El algoritmo que adivina tu PIN bancario aunque tapes las teclas del cajero https://t.co/qeKQaHkKS7
RT @ciberseguridadl: El algoritmo que adivina tu PIN bancario aunque tapes las teclas del cajero https://t.co/LDTsDn38ts
El algoritmo que adivina tu PIN bancario aunque tapes las teclas del cajero https://t.co/4Pn28JuhO3 vía @ciberseguridadl
#Ciberseguridad
RT @ciberseguridadl: El algoritmo que adivina tu PIN bancario aunque tapes las teclas del cajero https://t.co/LDTsDn38ts