¿Se puede descrifrar una contraseña escuchando el sonido de las teclas?

Investigadores de la Universidad de Alabama en Birmingham han desarrollado una solución para combatir los ataques de canal lateral acústicos en los teclados, es decir, descifrar una contraseña de ordenador mediante la grabación del sonido de las teclas.

Así, cada tecla pulsada emite un sonido único que hace posible que un atacante pueda identificar lo que se ha escrito mediante el uso de características de frecuencia.

De esta forma, un documento presentado en una conferencia sobre la criptografía financiera y seguridad de datos conferencia, dirigido por la Asociación Internacional de Criptografía financiera, el profesor asociado Nitesh Saxena, y el estudiante de doctorado Abhishek Anand, han propuesto el uso de diferentes sonidos de fondo para enmascarar las pistas de audio de los teclados, como defensa práctica para prevenir los ataques de canal lateral acústicos.

"Mientras que un ataque de canal lateral acústico no puede recuperar por completo la información de pulsaciones de teclas, diversos métodos estadísticos hacen posible la reconstrucción de la información tecleada por el usuario -ha explicado Saxena- Los ataques de teclado representan una amenaza para la seguridad del usuario y la privacidad. Si bien la investigación hacia la creación de este tipo de ataque está todavía en curso".

Los científicos encontraron que la tasa promedio de precisión de la detección de caracteres correctos de forma aleatoria es del 66%. Las soluciones anteriores propuestas por los investigadores incluyen teclados de sonido libres, teclados mecánicos que producen clics similares para cada tecla pulsada, y habitaciones insonorizadas para proteger la información altamente sensible.

Sin embargo, los autores sostienen que estas soluciones no son factibles debido al costo de producción de este tipo de teclados y la existencia de micrófonos de alta potencia que pueden superar la insonorización.

La solución que presentan los investigadores consta de un mecanismo basado en software que puede ser incorporado en el ordenador personal de un usuario y emite una señal de enmascaramiento, al mismo tiempo que un usuario introduce su contraseña. El mecanismo puede ser activado y desactivado de forma automática o por el mismo usuario. Para probar su eficacia, Anand y Saxena desarrollaron tres sistemas de autenticación que requiere que las contraseñas de entrada de los usuarios.

"Hemos encontrado que las pulsaciones de teclado falso funcionaron mejor para enmascarar fugas acústicas de ruido blanco, sin embargo, el ruido blanco proporciona la menor distracción para los usuarios, mientras que introducían sus contraseñas", ha señalado Saxena.

"La combinación de ruidos demostró ser la fórmula más eficaz, causando la menor distracción para los usuarios. Si bien, el mecanismo incorporado de corriente está diseñado para emitir sonido cuando se pulsa la primera tecla de introducción de la contraseña, y también se puede conectar a los URLs de sitios web que requieren un inicio de sesión", han explicado.

La solución también podría ser aplicada a través de los teléfonos inteligentes, mediante la descarga de una aplicación que emita ruido, colocando el dispositivo junto a su teclado al introducir una contraseña.