Un nuevo sistema de ataque térmico impulsado por IA revela contraseñas en segundos

Un conjunto de investigadores de la Universidad de Glasgow han desarrollado un sistema basado en la inteligencia artificial (IA) capaz de descifrar las contraseñas en segundos al detectar la huella de calor de los dedos sobre el teclado y las pantallas. Bautizado como ThermoSecure, este nuevo sistema pretende demostrar como la caída de los precios de las cámaras termográficas y el aumento del acceso al aprendizaje automático están creando nuevos riesgos de “ataques térmicos”. “Dicen que hay que pensar como un ladrón para atrapar a un ladrón. Desarrollamos ThermoSecure pensando detenidamente en cómo los actores malintencionados podrían explotar las imágenes térmicas para acceder a computadoras y teléfonos inteligentes”, aseguró el profesor de la Facultad de Ciencias de la Computación de la Universidad de Glasgow, Mohamed Khamis.

Metodología

Los ataques térmicos pueden ocurrir después de que los usuarios escriban su código de acceso en el teclado de una computadora, la pantalla de un teléfono inteligente o el teclado de un cajero automático antes de dejar el dispositivo sin protección. Es decir, el robo de contraseñas mediante un ataque térmico no requiere conocimientos de experto, sino únicamente mirar las imágenes térmicas de un equipo situado estratégicamente junto a una pantalla o un teclado en el que se hayan introducido los caracteres de la clave.

Cuanto más brillante aparece un área en la imagen térmica, más recientemente se tocó. Al medir la intensidad relativa de las áreas más cálidas, es posible determinar las letras, números o símbolos específicos que componen la contraseña y estimar el orden en que se usaron. A partir de ahí, los atacantes pueden probar diferentes combinaciones para descifrar las contraseñas de los usuarios poniendo en jaque la protección de sus datos.

Seguridad en cifras

La investigación y el desarrollo capitaneado por el doctor Mohamed Khamis ponen el acento en cómo conseguir que el proceso de ataque sea más preciso. Para ello tomaron 1.500 fotos térmicas de teclados QWERTY usados recientemente desde diferentes ángulos; posteriormente entrenaron un modelo de inteligencia artificial para leer las imágenes de manera efectiva y hacer conjeturas informadas sobre las contraseñas a partir de las pistas de la firma de calor utilizando un modelo probabilístico. Así, a través de dos estudios de usuarios, descubrieron que ThermoSecure era capaz de revelar el 86% de las contraseñas cuando se tomaban imágenes térmicas en 20 segundos, y el 76% en 30 segundos, cayendo al 62% después de 60 segundos de ingreso.

También descubrieron que en 20 segundos, ThermoSecure era capaz de atacar con éxito incluso contraseñas largas de 16 caracteres, con una tasa de intentos correctos de hasta el 67%. A medida que las contraseñas se hicieron más cortas, las tasas de éxito aumentaron: las contraseñas de 12 símbolos se adivinaron hasta el 82% de las veces, las contraseñas de ocho símbolos hasta el 93% de las veces y las contraseñas de seis símbolos tuvieron éxito hasta en el 100 % de los intentos.

El estilo de mecanografía del usuario también contribuye, de tal forma que una persona que escriba lentamente y tienda a dejar los dedos más tiempo sobre la superficie de las teclas creará una firma de calor más duradera. De igual forma lo hace el material con el que esté hecho el teclado, ya que afecta a la capacidad para retener el calor. Así, el estudio señala que los teclados fabricados con plástico ABS reducen el éxito de adivinación a la mitad de veces, mientras que en el caso de plástico PBT el éxito ronda el 14 por ciento de los intentos.