Esa clave que muchos introducimos para desbloquear el
celular, o la que usamos para acceder a nuestra cuenta bancaria a
través de nuestro teléfono, podría ser mucho menos segura de lo que
pensamos, por la razón que menos nos imaginamos, concluyó una
investigación de la Universidad de Cambridge.
Los especialistas descubrieron que con esta simple aplicación, se puede deducir la clave que introducimos en nuestro teléfono gracias al sonido que emiten las teclas y a la dirección de nuestro rostro cuando introducimos la clave.
El adivinador de palabras clave
Los investigadores comprobaron que combinando la información que recopilan tanto el micrófono como la cámara, el programa puede deducir con bastante exactitud nuestro número clave."Vemos cómo tu rostro parece moverse cuando manipulas tu teléfono al presionar. (...) Nos sorprendió lo bien que funcionó"
Ross Anderson, profesor de ingeniería de seguridad
Las pruebas se llevaron a cabo con modelos de teléfono Samsung Galaxy S3 y Google Nexus X.
"Demostramos que la cámara, normalmente utilizada para ver al interlocutor o para reconocimientos faciales, puede ser utilizada maliciosamente", dice el reporte de los autores Ross Anderson y Laurent Simon.
Por un lado, explicaron, el micrófono se usa para detectar "toques", es decir, cuando el usuario introduce su clave. En efecto el teléfono puede "escuchar" las pulsaciones que se hacen en el teléfono sobre la pantalla táctil.
Luego la cámara estima la orientación del teléfono cuando el usuario realiza esta acción, y el programa "lo correlaciona a la posición del dígito pulsado por el usuario".
"Vemos cómo tu rostro parece moverse cuando manipulas tu teléfono", explicó Ross Anderson, profesor de ingeniería de seguridad en la Universidad de Cambridge. "Nos sorprendió lo bien que funcionó".
Método eficaz
Los investigadores comprobaron que con claves de cuatro dígitos el programa adivinó la clave del usuario en más de un 50% de los casos. Con claves de ocho dígitos la tasa de éxito fue del 60% en diez intentos.
Muchos usuarios de celulares inteligentes utilizan una clave para bloquear su teléfono, pero cada vez más usan también claves para acceder a cuentas bancarias a través de una aplicación.
Esto plantea ciertos cuestionamientos sobre qué recursos del teléfono deberían estar activados o no cuando el usuario introduce información sensible como ésta.
¿Qué puede hacer el usuario para protegerse?
Una de las sugerencias para evitar que identifiquen nuestra clave de acceso al celular es usar números más largos, aunque los investigadores advierten que esto podría generar problemas "memorísticos y de usabilidad".Otros recomiendan usar combinaciones de números más al azar, es decir, con posiciones de números en el teclado alejadas las unas de las otras. Aunque también esto generaría problemas de usabilidad.
Finalmente, están los que plantean soluciones más radicales, como deshacerse de las palabras clave y usar elementos biométricos, como las huellas dactilares y el reconocimiento facial.
Entre tanto, recomienda el profesor, el llamado es de alerta.
"Si estás utilizando aplicaciones para realizar pagos, más vale que estés al tanto de que estos riesgos existen", advierte Anderson.