Un ‘hacker’ podrá averiguar qué se escribe pirateando el ‘smartwatch’

Un investigador danés descubre cómo aprovechar los relojes inteligentes para desvelar qué teclea su portador, como un código PIN en un cajero o una contraseña en un ordenador

En uno de los experimentos, se logró desvelar "a ciegas" varios caracteres pulsados sobre un teclado. UNIVERSIDAD TÉCNICA DE COPENHAGUE

El año en el que más se ha oído hablar de la deep web (la web profunda, la que está más allá de los dominios de Google) se cierra con un nuevo concepto: el deep spying o "espionaje profundo". Los próximos meses dirán si el palabro se asienta o pasa de largo como tantos, pero una investigación de la Universidad Técnica de Copenhague apuesta por tenerlo bien en cuenta. Tony Beltramelli, uno de sus estudiantes, ha acuñado el término en sus tesis doctoral y ha demostrado lo relativamente sencillo que lo van a tener los hackers para averiguar qué teclea el portador de un reloj inteligente no ya sobre su esfera, sino en cualquier teclado o pantalla sobre la que pose las yemas de los dedos.  

En teoría, la base del experimento es muy sencilla: si sabes hacia dónde va la mano, puedes intuir qué tecla están tocando sus dedos

Los giróscopos y acelerómetros que incorporan estos relojes (Beltramelli usó un Sony SmartWatch 3) aprovechan la inercia para saber con gran precisión hacia dónde y hasta qué punto se está moviendo el aparato: así, por ejemplo, es como consiguen contar los pasos de su portador. La base de la nueva investigación es, en teoría, así de sencilla: si sabes hacia dónde va la mano, puedes intuir qué tecla están tocando sus dedos.

Beltramelli ha probado su idea en un teclado de 12 teclas para demostrar que, dependiendo del dispositivo, se puede intuir qué está escribiendo el usuario. El porcentaje de éxito oscila entre el 73% en touchlogging (adivinar y grabar qué posición se toca en una pantalla) y solo el 59% en el caso de keylogging (lo mismo, pero en un teclado). La diferencias se deben a que el teclado que se usó en el experimento era más pequeño que la pantalla. Y es que, cuanto más cortos son los movimientos que tienen que ejecutar los dedos, más difícil es adivinar qué teclas están pulsando.

Aunque un 59% o un 73% estén aún lejos de la certeza total, el riesgo es demasiado alto cuando lo que se puede descubrir es el código PIN de acceso a una cuenta corriente, una tarjeta de crédito o cualquier otro tipo de contraseña.

Para demostrar hasta qué punto esta técnica podría extenderse en los bajos fondos de la Red, Beltramelli ha aplicado unos algoritmos ya existentes de deep learning (otro de los conceptos profundos que ha calado este 2015, una herramienta lógica para que las máquinas aprendan de sus errores y lleguen a superar, en algunos contextos, al mejor de los expertos humanos). En este caso, esos algoritmos entrenan a la máquina para que separe el grano de la paja: el giróscopo y el acelerómetro del reloj generan tantos datos, están atentos a tantos movimientos de la muñeca a lo largo del día, que es necesario fijarse solo en a los que interesan: los del tecleo. Y si lo que se escribe es un código PIN, mucho mejor.

"Ahí está la magia del machine learning", señala desde Copenhague Sebastian Risi, el director de la tesis que recoge el experimento. O, más que en ese aprendizaje, en una forma particular de "cerebro artificial": las redes de Memoria de Largo a Corto Plazo (LSTM, en inglés), que son capaces de reconocer un patrón particular entre todo un aluvión de datos. "La clave está en el entrenamiento", apunta Risi. Primero, se atiende a las señales que genera el smartwatch cuando toca una tecla en concreto. Luego, se rastrea esa mismo patrón en todo el flujo de datos. En el caso de este experimento, el entrenamiento consistió en identificar las señales que se correspondían con el movimiento de la mano cuando se pulsa cualquier tecla del 0 al 9, el asterisco o la almohadilla (#). 

El autor del estudio Tony Beltramelli, le quita mérito al pirateo de estos dispositivos: "Un reloj inteligente es, sobre el papel, tan fácil o difícil de piratear como un smartphone. Desde un punto de vista tecnológico, un smartwatch no es algo muy diferente a un teléfono inteligente, porque los sensores son los mismos y las prestaciones más o menos también", explica. El mérito de su trabajo consiste en demostrar cómo, con las herramientas adecuadas, se pueden explotar los datos del aparato para obtener una información hasta ahora inédita. "Aunque exija cierto nivel técnico, el deep learning facilita mucho el proceso de analizar los datos. De hecho, ya hay muchas herramientas de ese campo que están accesibles a casi cualquiera", apunta. 

Risi y Beltramelli creen que pueden afinar mucho más los resultados si se aumenta el volumen de datos con los que se entrena la máquina, si mejoran la calidad de las señales y también la precisión con la que se escogen las muestras, esas huellas específicas que dejan tras de sí pulsar cualquier dígito del 0 al 9.

La investigación alerta no ya sobre lo vulnerables que son los dispositivos ponibles o wearables, cosa ya sabida, sino acerca de sus riesgos específicos: apostar a un espía discretamente en la muñeca, atento a la combinación ganadora que franquea el acceso a la cuenta corriente.

Un riesgo bajo, pero creciente

Nada distingue a los wearables de otras tecnologías conectadas a Internet como posibles víctimas de ciberataques. En el caso de las pulseras y los relojes inteligentes, un simple gesto ayuda a proteger el dispositivo: actualizar el fireware, como a menudo (sobre todo si se trata de una marca de prestigio) recuerdan las compañías sus usuarios. "Hay que hacerle caso a ese mensaje de Apple [o de cualquier otro dispositivo amigo del martilleo] que llevamos días ignorando: ese que nos insiste en que actualicemos el sistema operativo de nuestro gadget". Es la recomendación del ingeniero Alberto Ruiz Rodas, de la compañía de seguridad informática Sophos. Quiere evitar alarmismo con esta nueva vía de entrada para que los hackers husmeen donde no se les espera: "Creo que el experimento [de Copenhague] es una buena prueba de concepto, pero hay maneras más eficaces de obtener el PIN de una persona". Además de ubicar un doble teclado sobre los cajeros ("tan fino que es imposible distinguirlo del real", describe Ruiz Rodas), que graba ese código de cuatro dígitos cuando se teclea, el ingenerio refiere una nueva tecnología aplicable a un simple iPhone: las cámaras de infrarrojos, que son capaces de ver, en el teclado de un caja de supermercado, qué teclas siguen calientes después de que un cliente haya insertado el PIN.

A pesar de esos otros métodos, tan eficaces para los ciberladrones, el aumento de estos aparatos los hacen potencialmente interesantes. Según la consultora IDC, este año se han vendido 76,1 millones de dispositivos ponibles en todo el mundo, un 163% más que en 2014. De aquí a 2019, el crecimiento en las ventas (calcula la consultora tecnológica) crecerá un 22,9% anual.

En un futuro, afinando las señales, Ruiz Rodas cree que será posible situarse junto a un edificio de oficinas, pertrechado de una antena potente y bien dirigida, para leer las frecuencias de los smartwatches de quienes están trabajando dentro. "Eso sí, exigirá mucho entrenamiento del usuario, pero ya existen sistemas que nos reconocen por nuestra forma de teclear. Incluso, bien empleados, pueden alertar de que quien está escribiendo en un ordenador no es su propietario", aclara. 

Hay cámaras de infrarrojos asequibles capaces de ver, en el teclado de un caja del súper, qué teclas siguen calientes después de que un cliente haya metido el PIN

De tendencias entre los hackers también sabe José de la Cruz, director en España de una de las mayores compañías de software antivirus del mundo, Trend Micro. Ya hay programas de protección específicos para smartwatches, pero no quiere sembrar alarma: "Es todavía una actividad residual. Es un dispositivo aún muy nuevo, aunque hay que verlo como una interfaz cómoda entre el smartwatch y el usuario: lo que hace es guardar en su memoria la información del teléfono: mensajes de correo y WhatsApp, notificiaciones, posicionamiento...". En ese sentido, el reloj inteligente se antoja una nueva puerta al festín de datos privados del teléfono. 

Trend Micro ya ha puesto a prueba la seguridad de varios smartwatches. El más fiable de los que ha testado es el Apple Watch, pero, atención, también es el más suculento para los hackers: guarda muchos más datos del usuario que sus competidores. "El secreto de Apple Watch es que incorpora un mecanismo para que el reloj se bloquee en cuanto el usuario se lo quita de la muñeca. Eso sí, esa función no viene activada por defecto", ilustra De la Cruz. Juega en contra de la seguridad de los wearables que primen la funcionalidad sobre la seguridad: "Lo que un usuario quiere es acceder rápidamente a su dispositivo, sin tener que teclear contraseñas", describe el experto. Con poco esfuerzo, reforzaremos la seguridad de nuestras muñecas.

Más información