Dos investigadores de la Universidad de Augusta, en Georgia, EE.UU., demostraron una forma novedosa de robar contraseñas de personas que avergonzaría incluso a James Bond.
La semana pasada, los investigadores Alireza Taheritajar y Reza Rahaeimehr publicaron un artículo titulado “Ataque de canal lateral acústico en teclados basado en patrones de escritura”, que es tan extraño como parece.
Según la investigación, hay una manera de deducir la contraseña de una persona (o cualquier otra palabra que se escribe en una computadora) simplemente escuchándola escribir.
¿Es factible?
El método no es tan preciso como otros ataques de canal lateral, ya que los investigadores sugirieron que la precisión de este ataque es de alrededor del 43%. Para lograrlo, todo lo que los atacantes necesitarían es una muestra relativamente pequeña de lo que escribe la víctima (aparentemente solo unos segundos), pero necesitarían más de una grabación.
Además, necesitarían un diccionario de inglés. La circunstancia atenuante en este caso es que la grabación no tiene que ser especialmente «limpia». Podría tener un ruido de fondo significativo o provenir de varios teclados diferentes y aún así funcionar.
En teoría, un actor de amenazas podría colocar un teléfono inteligente, o un dispositivo similar equipado con un micrófono, en las proximidades relativas de la víctima y grabarla escribiendo. A partir de esa grabación, podrían establecer ciertos patrones, que luego podrían usarse para determinar palabras potenciales. El diccionario de inglés ayudaría a predecir qué palabras tendrían más sentido en el contexto de la oración.
Si bien suena siniestro, hay bastantes partes móviles que deben alinearse perfectamente para que se lleve a cabo el ataque.
Por un lado, el atacante debe estar muy cerca de la víctima, tener un dispositivo de grabación cerca (al parecer, un altavoz inteligente sería suficiente) o tener malware instalado que sea capaz de aprovechar el micrófono de la computadora. Luego, el atacante debe escribir su contraseña, así como muchas otras palabras.
No pueden ser mecanógrafos profesionales ni escribir rápido en general, ya que eso altera las predicciones. Luego, los atacantes pueden analizar las grabaciones y aún así terminarán con solo un 43% de posibilidades de éxito.