Con una cámara térmica conectada a un móvil y un uso correcto de la inteligencia artificial, se pueden conseguir más de la mitad de las contraseñas tecleadas en cualquier dispositivo, transcurrido un minuto.
Es decir, un hacker con una cámara térmica podría ver el código PIN de tu tarjeta de crédito en el cajero automático hasta un minuto después de que te hayas ido del banco. Inquietante, ¿verdad?
De la llamada telefónica a la cámara térmica: La transformación del móvil
Los fabricantes de tecnología son expertos en hacer que cada innovación de hardware se convierta en una “necesidad” para toda la sociedad. Cuando los móviles “solo servían” para llamar por teléfono, a nadie le hacía falta una cámara de fotos. Pero, un buen día, allá por 1999, los señores de Kyocera lanzaron el VP-210.
Un móvil capaz de hacer fotos y mostrarlas en su pantalla con unas imágenes tan poco definidas respecto a las de ahora, que los píxeles parecían ladrillos. Desde entonces, todas las empresas de móviles compiten por sacar cada año la mejor cámara del mercado. Tanto es así que contar con más lentes que gigabytes de almacenamiento se está convirtiendo en algo casi normal.
La carrera, lejos de ralentizarse, sigue cogiendo ritmo. Ahora toma velocidad con el lanzamiento de teléfonos con cámaras térmicas incorporadas. Por ahora, solo es una “necesidad” para colectivos muy específicos de ‘early adopters’ como los DIYers, los ingenieros y algunos perfiles profesionales muy técnicos.
Para ellos, la capacidad de ‘ver’ el calor ofrece un sinfín de aplicaciones prácticas, desde identificar componentes sobrecalentados en máquinas, hasta diagnosticar problemas con el sistema de calefacción y el aire acondicionado en la oficina.
Seguramente, muchas de esas personas que viven congeladas en verano en la oficina no dudarán en comprar un móvil con sensor térmico. Así podrán recordarle al departamento de recursos humanos que es difícil trabajar en manga corta a 19 grados.
Pero, claro. Como siempre, detrás de cada avance tecnológico, siempre está la otra cara de la moneda: la oportunidad de los cibercriminales para hacer el mal. En lugar de medir la posible fiebre de una persona antes de entrar en una farmacia, por ejemplo. Se puede usar una cámara térmica para adivinar el código PIN del móvil de alguien antes de robárselo.
Un residuo térmico que ofrece muchísima información
De hecho, no es algo descabellado, pues nuestros dedos dejan un residuo térmico que se puede detectar con una cámara que mida el calor.
“Aunque todavía quedan por resolver algunos desafíos técnicos, como la desalineación de imágenes o su fluctuación, el residuo térmico de las pulsaciones de teclas permanece visible durante varios segundos en una pantalla táctil. En Panda Security hemos visto que las cámaras térmicas son más que capaces de descubrir códigos PIN introducidos en teclados, siempre y cuando la observación se realice dentro de unos segundos después de la entrada del PIN” señala Hervé Lambert, Global Consumer Operations Manager de Panda Security.
¿Esto quiere decir que nuestros móviles van a dejar de ser seguros en cuanto se democratice la implantación de cámaras térmicas en todos los móviles? No. Ni mucho menos. No nos cansamos de decir que la evolución tecnológica no es buena o mala en sí misma. Lo bueno o malo es el uso que podamos hacer de ella las personas.
No obstante, el hecho de que podamos ver el PIN que introduce una persona en su móvil “vuelve a poner sobre la mesa la necesidad de un debate profundo y analítico por parte de toda la industria tecnológica para que la fabricación de cualquier innovación tecnológica cuente con la ciberseguridad en todo el proceso de creación. Si el estudio de la seguridad de los dispositivos forma parte de cualquier proceso de innovación, como puede ser el prototipado o la prueba de concepto, los productos tecnológicos llegarán a toda la sociedad más rápido y sin la necesidad de retiradas del mercado por su potencial uso ilegítimo por parte de unos pocos”, medita Hervé Lambert.
Convertir un móvil en una cámara térmica por 150 euros
Por ahora, las cámaras térmicas no han llegado a los móviles más vendidos del mercado. De hecho, solo las montan unas cuantas marcas como Caterpillar o Dodge. Cuyos smartphones están más pensados para el uso profesional que para el gran consumo.
Sin embargo, es fácil adquirir una cámara externa que se conecta a nuestro móvil por la conexión USB, en cualquier marketplace online. Los precios de estos dispositivos oscilan entre los 11 y los 400€. Aunque las más baratas no parecen mostrar una gran definición. Las más complejas sí parecen capaces de permitir a un usuario avanzado llevar a cabo “ataques térmicos” .
Investigadores de la Universidad de Glasgow han desarrollado el proyecto ThermoSecure para medir el riesgo de las cámaras térmicas como herramientas de ciberespionaje o ciberdelincuencia. El resultado de la investigación fue asombroso, ya que consiguieron revelar el 86% de las contraseñas que los usuarios habían la habían tecleado en un plazo de 20 segundos en una gran variedad de dispositivos, que iba desde el teclado de un ordenador de sobremesa hasta el teclado de cajero automático.
Pero, lo más preocupante es que los investigadores de la Universidad de Glasgow se hicieron con el 76% de las contraseñas que se habían introducido después de 30 segundos, y el 62% después de un minuto.
Es cierto que estas pruebas se hicieron en un laboratorio, pero el uso del machine learning y de la inteligencia artificial generativa podría ayudar a cualquier persona con cierta tenacidad a conseguir los mismos resultados o, incluso mejorarlos, si cuenta con cámaras de gran precisión.
Un pacto público-privado para la ciberseguridad térmica
“Por ello, los representantes políticos también deberían sumarse a un debate junto a la industria tecnológica sobre el uso correcto o incorrecto de la innovación. Sólo si se introducen medidas y una regulación vinculada la ciberseguridad de las cámaras y el software que hace posible la medición de los residuos térmicos, se producirán soluciones eficientes y seguras al mismo tiempo” añade Hervé Lambert, Global Consumer Operations Manager de Panda Security.
Entre tanto, y aunque no es muy probable ser víctima de un ciberataque térmico, la mejor forma de protegerse es utilizar contraseñas largas y métodos de doble autenticación, como los datos biométricos (reconocimiento de huellas dactilares o faciales).
Desde Panda Security hemos podido comprobar que, cuando se escribe una contraseña desde el teclado de un ordenador. Las personas dejamos los dedos apoyados durante un tiempo en cada una de las teclas que pulsamos. Y, aunque las cámaras térmicas todavía no pueden medir el orden en el que se ha pulsado cada tecla. Al pasar por la inteligencia artificial todos los símbolos usados, es relativamente fácil adivinar una contraseña. Por ello, nuestra recomendación es utilizar contraseñas que no sean palabras reales que aparecen en el diccionario, o bien usar un gestor de contraseñas que las cree por nosotros.