“Keyloggers” creativos en Android y ATM’s

Una de los principales preocupaciones actualmente cuando se navega en Internet es la protección de la confidencialidad de la información; en especial la relacionada con transacciones electrónicas o información que permita identificar a una persona (Personally Identifiable Information or PII) con el fin de prevenir fraude electrónico o suplantación de identidad entre otros riesgos. Una de las herramientas más comunes para obtener dicha información de forma ilegitima son los “Keyloggers”: Componentes de software o hardware que  tienen como objetivo capturar las pulsaciones realizadas en el teclado con el fin de obtener la información que digita el usuario y enviarla hacia el delincuente informático. Tradicionalmente, los keyloggers están diseñados para funcionar en computadores tradicionales, sin embargo, debido a la cada vez más popularidad de los dispositivos móviles y la siempre llamativa idea de vulnerar el segundo método de autenticación (PIN) en cajeros automáticos, estos mecanismos están empezando a evolucionar con el fin de evitar métodos de detección y evadir medidas adicionales que se implementan para proteger la información.

Un ejemplo de estos “keyloggers” es el uso de camaras térmicas para obtener la clase secreta (PIN) de un cajero automático. La investigación fue presentada a comienzos de Agosto en el USENIX Security Symposium por investigadores de la Universidad de California. La idea consiste en detectar el calor residual dejado en cada tecla presionada mediante el uso de una cámara térmica. Lo interesante es que, aunque aún no se ha detectado la implementación de esta técnica, en realidad es factible obtener el PIN mediante el calor residual:

Fuente: Thermal Camera-Based Attacks Whitepaper

Entre las “ventajas” de este ataque está que permite evadir el mecanismo de seguridad de tapar con la mano el teclado mientras digitamos el PIN, sin embargo, es casi imposible que esta técnica funcione en un teclado metálico. De todas formas, según los investigadores, en teclados plasticos es bastante efectivo (80% en una ventana de tiempo de 10 segundos despues de que la persona presionó las teclas) permitiendo obtener las teclas e inclusive el orden en que fueron presionadas.

Un segundo ejemplo de keyloggers creativos es Touchlogger: Un keylogger que funciona haciendo uso de los datos capturados por el acelerómetro presente en casi cualquier teléfono inteligente. Investigadores de la Universidad de California Davis afirman que este keylogger funciona debido a que cada tecla tiene asociado un movimiento del dedo único que permite identificar cuál tecla se está presionando:

 

Fuente: TouchLogger Whitepaper

Según las pruebas realizadas por los investigadores, la efectividad promedio de esta técnica es del 71.5% y desde luego la precisión depende de la sensibilidad del acelerómetro, sin embargo, más del setenta porciento no es un número para nada despreciable. De otra parte, esta técnica de seguro pasaría totalmente desapercibida para el usuario debido a que casi cualquier aplicación puede hacer uso de estos datos sin requerir permisos adicionales.

Para mayor información sobre estos keyloggers, recomiendo leer los artículos oficiales disponibles en los siguientes enlaces: (Thermal Camera-Based Attacks  y TouchLogger).

Categories: Fraude electrónico, Smartphones

Leave a Reply

Your email address will not be published. Required fields are marked *