Los ataques térmicos

Esta es la investigación sobre una forma inusual de robar contraseñas: usando una cámara térmica.

En al menos dos de nuestras últimas entradas hemos tratado el tema de los ataques de canal lateral. En este tipo de ataques se extrae información confidencial (contraseñas, claves cifradas o simplemente datos que necesitan protección) de una forma nada trivial. Por ejemplo, en lugar de descifrar un sistema cifrado, un ataque puede reconstruir la clave basándose en los mínimos cambios en el consumo de energía del dispositivo. En lugar de que la información secreta se extraiga de la caché del procesador, puede restaurarse siguiendo una serie de señales indirectas: una cadena compleja de intentos sin éxito de acceder a los datos se ejecuta una fracción más lenta o rápida, lo que sugiere la presencia de un cero o uno en la sección de datos de interés.

Este ejemplo de ataque de cadena lateral es bastante complejo, pero hay otras variantes mucho más simples de las que vamos a hablarte hoy…

¿Cuál es el ataque más simple que puede sufrir un sistema informático? La técnica shoulder surfing: cuando los ladrones roban tu contraseña mirándote por encima del hombro. Entonces, introducen la contraseña y consiguen acceso a tus datos, sin necesidad de atacar tu ordenador o software. La defensa contra el shoulder surfing es muy simple: basta con tapar la clave con tu mano o asegurarte de que no se encuentre nadie detrás de ti mientras inicias sesión. Pero ¿qué pasa si un atacante roba tu contraseña después de que la hayas tecleado leyendo tus huellas térmicas?

La termografía y los cajeros automáticos

Los ataques térmicos llevan en el punto de mira de los investigadores más de 15 años. Uno de los primeros estudios sobre este tema analiza las situaciones cotidianas más comunes: los ataques en los cajeros automáticos. Te explicamos cómo funciona. Para ponernos en situación, así suelen ser los teclados de los cajeros automáticos:

El teclado de un cajero automático estándar.

El teclado de un cajero automático estándar. Fuente.

Imagínate que vas a un cajero, insertas la tarjeta, introduces el código PIN, coges el dinero y te vas. Pero sin que lo sepas, un atacante se aproxima a ese mismo cajero justo después y realiza una fotografía del teclado utilizado una cámara de imagen térmica:

El teclado de un cajero automático captado con una cámara térmica.

El teclado de un cajero automático captado con una cámara térmica. Fuente.

Si se toma la imagen en los 30 segundos posteriores a la introducción del código PIN, hay un 50 % de posibilidades de recuperar la secuencia. La cámara térmica genera una imagen infrarroja en la que las áreas claras y oscuras representan las altas y bajas temperaturas, respectivamente. La finalidad principal de estas cámaras es la de determinar por dónde entran las corrientes de aire en las paredes o ventanas de un edificio, aunque por lo visto ahora también se pueden utilizar para robar códigos PIN. Eso sí, cabe destacar que estamos hablando de investigación y que estos ataques (todavía) no forman parte de la vida real.

Las primeras cámaras térmicas costaban decenas de miles de euros, pero ahora se pueden encontrar por unos cientos. Además, también pueden variar el nivel de la sensibilidad (capacidad que permite distinguir diferencias de temperatura mínimas). Por ejemplo, la imagen anterior (tomada con un dispositivo profesional de elevado coste) muestra no solo qué botones se han presionado, sino también el orden: cuanto más caliente esté el botón, más reciente habrá sido la presión.

Pero usar las cámaras térmicas en los cajeros automáticos no es tan sencillo, ya que la imagen debe tomarse lo antes posible. El ejemplo anterior está tomado inmediatamente después de haber introducido el código PIN. Como mucho, la fotografía debe tomarse 90 segundos después de haber introducido el código y, aun así, las probabilidades de éxito son nulas. Por ejemplo, la víctima potencial podría llevar guantes, por lo que los botones no se calentarían. También podría suceder que el código PIN repitiera uno o dos dígitos, lo que complicaría el proceso. Por cierto, ¿sabrías decir qué número se ha introducido en la imagen? ¡Pon a prueba tus poderes de deducción! La respuesta correcta es 1485.

Los investigadores llevaron a cabo un total de 54 experimentos en los que apenas variaron los parámetros. Las huellas térmicas se analizaron de forma manual y con sistemas automatizados (estos últimos con resultados ligeramente superiores). En aproximadamente la mitad de los casos se consiguieron desvelar los botones presionados, pero no la secuencia correcta; de hecho, el código PIN exacto solo se pudo recuperar en menos del 10 % de los casos. Un código de 4 dígitos de cualquiera de los 11 dígitos disponibles da lugar a 10000 posibles combinaciones. Si conocemos los 4 números, pero no la secuencia, las combinaciones se reducen a 24. Pero hay que tener en cuenta el número de intentos permitido: como regla general, los bancos bloquean la tarjeta después del tercer intento sin éxito. Por tanto, este estudio del 2011 consiguió ampliar nuestros conocimientos, pero no ofreció resultados significativos. Eso sí, no fue el último estudio…

La termografía y los smartphones

Los smartphones también pueden ser víctimas de los ataques térmicos, tal como quedó demostrado en un estudio del 2017 que compartía esta imagen reveladora:

Los códigos y patrones de desbloqueo de un smartphone y sus rastros de calor.

Los códigos y patrones de desbloqueo de un smartphone y sus rastros de calor. Fuente.

Como antes, el éxito de un ataque depende de la rapidez con la que se tome la imagen térmica después de introducir el PIN o la combinación secreta. Tomar una imagen es algo más complicado en este caso, ya que, a diferencia de un cajero automático, la gente lleva consigo sus teléfonos. Sin embargo, no es tan descabellado imaginar una situación en la que sea posible tomar una imagen en el momento adecuado.

En el 2017, la mejora en la tecnología de analítica de datos permitió superar el éxito de los experimentos en los cajeros automáticos del 2011: llegando a recopilar hasta el 89 % de los códigos mediante la imagen térmica. Consiguieron recuperar el 78 % de los códigos 30 segundos después de desbloquear el teléfono y el 22 % cuando los investigadores esperaban hasta 60 segundos. Por otro lado, los patrones de desbloqueo son más complicados de descifrar mediante este método, pero eso no quiere decir que sean más seguros, ya que en el 2010 quedó demostrado que estas combinaciones se pueden averiguar fácilmente con tan solo echar un vistazo a los trazos de manchas que dejan los dedos en la pantalla (y que permanecen durante mucho más tiempo que las huellas térmicas).

La termografía y los teclados

¿Qué tienen en común los cajeros automáticos y los smartphones? ¡Que no tienen muchos botones! En ambos casos, se suelen introducir combinaciones de dígitos cortas. Por tanto, para probar realmente las posibilidades del espionaje térmico, lo mejor sería ponerlo a prueba introduciendo contraseñas alfanuméricas en un teclado auténtico. Y eso precisamente es lo que llevó a cabo un equipo de investigadores de la Universidad de Glasgow que publicaron aquí los resultados de su trabajo. Un teclado normal y corriente se ve así a través desde una cámara térmica:

Los trazos térmicos en el teclado de un PC.

Los trazos térmicos en el teclado de un PC. Fuente.

En la imagen, los puntos brillantes indican las teclas presionadas. Al igual que los otros, este estudio trataba de poner a prueba la eficacia de la recuperación de contraseñas tras cierto tiempo: la imagen térmica se tomó en diferentes intervalos de 20, 30 y 60 segundos. Eso sí, aquí entraba en juego una nueva variable: la extensión de la contraseña, totalmente arbitraria. Lo más importante es que los investigadores aplicaron algoritmos de aprendizaje automático, indispensable en los experimentos para la extracción de datos útiles del ruido. Estos algoritmos, entrenados en cientos de imágenes de teclados emparejados con combinaciones conocidas, demostraron resultados excelentes en la recuperación de contraseñas, como puedes ver en este gráfico que resume su rendimiento:

La recuperación de la contraseña depende del margen tiempo entre la introducción y la captura de la imagen, al igual que la extensión de la clave.

La recuperación de la contraseña depende del margen tiempo entre la introducción y la captura de la imagen, al igual que la extensión de la clave. Fuente.

Sorprendentemente, en la mitad de los casos se pudieron recuperar contraseñas de hasta 16 caracteres. En los ejemplos anteriores, puedes apreciar la complejidad de recuperar la secuencia de las claves introducidas tomando como base pequeñas diferencias de temperatura. Además, de este estudio podemos sacar una conclusión que tú y yo ya sabemos: las contraseñas deben ser largas y si las genera el software de un gestor de contraseñas, mucho mejor.

También hubo una serie de descubrimientos inesperados. La eficacia del método depende del tipo de plástico: algunos se sobrecalientan más que otros; también es un factor determinante que el teclado esté iluminado. Como norma general, cualquier calor externo en los botones, ya sea por unos LED incorporados o porque la CPU esté ubicada justo debajo del teclado en un portátil, destruye las huellas térmicas. Por otro lado, cuanto más rápido se introduzca la clave, menos probabilidad habrá de revelar la imagen térmica.

¿Son realmente factibles estos ataques?

No podemos responder de forma categórica a esta pregunta. ¿Puede ser la información de tu teléfono lo suficientemente valiosa como para que alguien te siga por ahí con una cámara térmica? ¿Es una situación posible? Afortunadamente, estos ataques son tan complicados que casi nadie suele verse afectado. Sin embargo, el espionaje térmico representa una auténtica amenaza para las cerraduras digitales, que requieren la introducción de un código, como, por ejemplo, en la entrada de un edificio de oficinas. Estos códigos casi nunca cambian y las cerraduras suelen estar ubicadas en lugares públicos. Por tanto, un posible espía podría invertir tiempo e intentos en adivinar el código de acceso correcto.

En otros casos, este método puede ser factible como parte de un ataque dirigido en busca de información particularmente valiosa. La solución, al igual que con el método habitual de defensa contra los ataques de cadena lateral, consiste en inundar la información sensible con ruido. También puedes introducir tu código PIN con guantes para anular el ataque, usar un teclado iluminado que obligue a los ciberdelincuentes a rascarse la cabeza o, cuando introduzcas la contraseña, presionar o tocar otras teclas, de forma que resulte imposible recuperar la secuencia completa.

El 2022 ha sido testigo del lanzamiento de un metaanálisis de estudios de ataques térmicos cuyo objetivo era tratar de evaluar las probabilidades de estos ataques. Los autores afirman que son realmente implementables y asequibles, por lo que deben tenerse en cuenta a la hora de crear un modelo de amenazas. Por nuestra parte, no estamos muy convencidos de que el problema vaya a ser grave a corto plazo, pero el metaanálisis saca una conclusión importante: ¡solo te pueden robar la contraseña si la introduces!

Esto nos ha llevado indirectamente a un nuevo tema: la muerte de la contraseña. La amenaza de los ataques térmicos es, por supuesto, una razón sumamente exótica para descartarlas. Pero, si lo piensas, cuando tu teléfono te reconoce por tu rostro o huella digital, no introduces ninguna contraseña y, cuando usas una clave de seguridad de hardware, tampoco. Toda una serie de posibles ataques (y años de investigación) pierden relevancia si no se introduce una contraseña. Evidentemente, estos métodos de autenticación alternativos también tienen otras debilidades, pero las contraseñas ordinarias suelen presentar aún más. Por ejemplo, los sistemas de autenticación sin contraseña hacen casi imposible la probabilidad de un ataque de phishing. Por tanto, deshacerse de las contraseñas tradicionales ofrece muchas ventajas y ahora tenemos una más: nadie podrá acercarse sigilosamente con una cámara térmica y robar tu clave secreta. Siempre que no la introduzcas, claro está.

Consejos