Surge un nuevo motivo por el que quizá tengamos que desconfiar de otros dispositivos cercanos a nuestra posición cuando trabajemos o usemos nuestro portátil en algún lugar público. Dos investigadores han documentado un nuevo método de hacking basado en el sonido que produce la pulsación de las teclas al escribir en un ordenador. Pese a que el índice de éxito de este método aún no es alto (un 43%), se trata de un método alternativo para averiguar contraseñas que podría desarrollarse y mejorarse con el tiempo.
Según el trabajo de dos investigadores de la Augusta University en Georgia, EE.UU, este método de hacking consiste en la escucha del sonido de las teclas mientras alguien usa su ordenador mediante un micrófono que, para mayor eficacia, debería colocarse lo más cerca posible de la víctima. Posteriormente, esa grabación de audio sería analizada junto con un diccionario para tratar de encontrar patrones y así adivinar palabras siguiendo algún modelo de predicción.
La investigación, llevada a cabo por Alireza Taheritajar y Reza Rahaeimehr y titulada «Ataque de canal lateral acústico en teclados basado en patrones de escritura», asegura que los hackers no necesitarían grabaciones muy largas para lograr resultados, pero sí varias escuchas. Además, detallan que la grabación no tiene por qué ser particularmente limpia, dando igual que haya cierto nivel de ruido de fondo o que la calidad del micrófono no sea buena. El diccionario se usaría para encontrar relaciones y posibles palabras según el contexto de la oración.
Otra opción a ubicar un micrófono o dispositivo con micrófono incorporado cerca de la víctima sería el de directamente acceder al micrófono del ordenador del usuario mediante algún tipo de malware, y a partir de ahí tratar de averiguar sus contraseñas.
A salvo si escribes muy rápido
En el apartado de conclusiones del paper, los investigadores indican: «Nuestros resultados se lograron en un entorno realista sin restricciones en los teclados de los usuarios, patrones de escritura o ruidos acústicos ambientales, lo que es una ventaja significativa sobre otros enfoques. Utilizamos un Diccionario de inglés para mejorar nuestras capacidades de detección de texto. Sin embargo, Tenemos la intención de explorar el potencial de los modelos impulsados por IA como los LLM [modelos de lenguaje de gran tamaño] en futuros proyectos para mejorar nuestra tasa de éxito».
Pese a los riesgos que esta técnica puede suponer, la tasa de éxito alcanzada con esta estrategia no supera el 43%, y además, los investigadores reconocen en el documento que esta tasa puede bajar todavía más si el usuario es un «mecanógrafo profesional» porque estos teclean muy rápido, y los «eventos de toque, pulsación y liberación de teclas de pulsaciones consecutivas generalmente se superponen y no podemos detectar el patrón de vinculación precisamente». También hay que tener en cuenta que las víctimas usadas para el estudio mostraban un patrón de tecleo «único», es decir, característico, aunque es probable que muchos de nosotros presentemos también un estilo de escritura reconocible.
Un ataque sin mucha complejidad
Este puede convertirse en un ataque a temer en el futuro debido a que, como aseguran los investigadores, se diferencia de otros ataques de canal lateral acústico en que su método propuesto no requiere «un gran conjunto de datos» y minimiza «la dependencia del teclado», lo que lo hace más sencillo de implementar que otras ofensivas. Tampoco requiere gran complejidad en el entrenamiento del modelo, como se recoge en la página 7 del documento.
No obstante, con un porcentaje de éxito que no llega a la mitad de los casos, no es motivo todavía de demasiada preocupación.
