De nuevo otro episodio en la paradoja de la inseguridad cuanto más perfeccionamos los métodos de seguridad. Cuando los lectores de huellas han colonizado los dispositivos móviles y en pleno auge de la biometría, a lo que ahora se le ve un talón de Aquiles es a los smartwatches. Pero no por el acceso a los mismos, sino por lo que dejan descubrir: nada más y nada menos que el PIN que introducimos en el cajero.
Quizás lo más sorprendente es que no es necesaria mucha tecnología ni conocimientos de un grado demasiado alto (tampoco básicos, claro). Pero según sabemos por IEEE Spectrum Yan Wang, profesor adjunto de la Universidad de Binghamton (Nueva York) y su equipo han mostrado cómo estos dispositivos de muñeca, tanto smartwatch como fit-trackers, dan suficientes pistas a un buen observador para averiguar la secuencia de números.
Demasiada eficacia
Una de las condiciones casi sine qua non para lanzar un wearable, ya sea smartwatch o pulsera deportiva, al mercado es que detecte el movimiento en los tres ejes de una manera precisa. Tanto que estos dispositivos son capaces de registrar la calidad de nuestro sueño según cómo nos movamos (y el patrón de estos movimientos no es precisamente exagerado).
Justo ésta es la clave de que estos dispositivos sean un chivato perfecto de nuestro PIN. Eso expuso Wang en una conferencia sobre computación en Xi'an (ASIACCS, en China), explicando que con la combinación de los datos del sensor del reloj con un algoritmo para determinar secuencias de movimiento equivalentes a las claves el equipo de Wang fue capaz de averiguar los códigos PIN con un 80% de precisión en el primer intento, y con un 90% al tercero.
El trabajo se realizó con 5.000 marcajes de PIN en tres tipos distintos de teclados de cajeros automáticos. La parte humana la pusieron 20 sujetos que tecleaban llevando un smartwatch (el LG W150, el Moto 360 o el Invensense MPU-9150). El algoritmo usado era específico para la investigación, llamado de hecho Backward PIN-sequence Inference Algorithm.
¿Y el margen de error en la detección de la secuencia? Justo esto era lo más difícil de atajar, es decir, eliminar los errores al intentar calcular la distancia recorrida basándose en la aceleración. El equipo aquí vio que lo mejor para reducir el margen de error era trabajar a la inversa, es decir, del final al principio, tomando como referencia de fin de secuencia la tecla "Aceptar" o "Intro" y tomándola como inicio para determinar con más facilidad la clave. Más o menos sería como descubrir el camino recorrido por un bolígrafo en un juego de unir lo puntos tomando como referencia el último.
Cuestión de cuidado y mejora
Comentan en IEEE Spectrum al inicio del artículo que Wang no lleva smartwatch, recordando que es experto en ciberseguridad. Éste de hecho dice textualmente que estos dispositivos "saben demasiado" y que hay que tener precaución cuando se usan. Esto de hecho debería ser una actitud extendida a todos los dispositivos electrónicos o servicios en los que se registran datos nuestros de ubicación y demás, aunque no siempre se le dé importancia.
Wang y su equipo no están al corriente de si esto se está utilizando y que haya personas averiguando PINs gracias a este sistema, para el cual no es necesario siquiera estar cerca del smartwatch (basta con un sniffer sencillo que capte los paquetes de Bluetooth enviados del wearable al smartphone). Pero lo que vienen a decir con su trabajo es que no es nada de ciencia ficción (cosa que el mismo Wang dijo haberse planteado), sino que es algo posible y no demasiado complejo de lograr.
Para evitar esto lo adecuado según este equipo sería que los fabricantes de smartwatch (o de wearables de muñeca sensibles al movimiento en general) aumentasen la seguridad cubriendo mejor este envío de datos, por ejemplo añadiendo ruido para impedir que lo registrasen. Por nuestra parte lo que queda es que intentemos "marear" a los posibles espías con tal de disfrazar el movimiento y no dejar claro el patrón del PIN.
Vía | IEEE Spectrum
En Xataka | ¿Merecen la pena los smartwatches? Enfrentamos a los mejores del año
Ver todos los comentarios en https://www.xataka.com.co
VER 0 Comentario