PINs de las tarjetas se pueden adivinar incluso cuando cubres el teclado del cajero
Investigadores han demostrado que es posible entrenar un algoritmo de aprendizaje profundo de propósito especial. El algoritmo puede adivinar los PINs de 4 dígitos de las tarjetas con un 41% de efectividad. Esto lo puede lograr incluso si la víctima está cubriendo el teclado con las manos.
El ataque requiere la configuración de una réplica del cajero automático objetivo porque entrenar el algoritmo para las dimensiones específicas y el espaciado de teclas de los diferentes teclados es de crucial importancia.
Después, el modelo de aprendizaje automático está capacitado para reconocer las pulsaciones del teclado. Posteriormente, este asigna probabilidades específicas en un conjunto de conjeturas, utilizando un video de personas que escribieron PINs en el teclado del cajero automático.
Para el experimento, los investigadores recopilaron 5,800 videos de 58 personas diferentes de diversos grupos demográficos, ingresando PINs de 4 y 5 dígitos.
La máquina que ejecutó el modelo de predicción fue una Xeon E5-2670 con 128 GB de RAM y tres Tesla K20m con 5 GB de RAM cada una. Ciertamente no es un sistema promedio, pero es un espectro económico práctico.
Al utilizar tres intentos, que suele ser el número máximo permitido de intentos antes de que se retenga la tarjeta, los investigadores reconstruyeron la secuencia correcta para los PINs de 5 dígitos con el 30% de efectividad. Asimismo, alcanzaron el 41% de efectividad para los PINs de 4 dígitos.
El modelo puede excluir teclas basándose en la cobertura de la mano que no escribe. Finalmente, deduce los dígitos presionados de los movimientos de la otra mano evaluando la distancia topológica entre dos teclas.
Ubicación de la cámara
La ubicación de la cámara que captura los intentos juega un papel clave, especialmente si se graba a personas zurdas o diestras. La investigación determinó que ocultar una cámara estenopeica en la parte superior del cajero automático era el mejor enfoque para el atacante.
Si la cámara también es capaz de capturar audio, el modelo también podría usar la retroalimentación de sonido presionando cada dígito ligeramente diferente, lo que hace que las predicciones sean mucho más precisas.
Contramedidas
Este experimento demuestra que cubrir el teclado de PIN con la otra mano no es suficiente para defenderse de los ataques basados en el aprendizaje profundo. Sin embargo, afortunadamente, existen algunas contramedidas que puedes implementar.
- Primero, si tu banco te da la opción de elegir un PIN de 5 dígitos en lugar de uno de 4 dígitos, debes elegir el más largo. Puede que sea más difícil de recordar, pero es mucho más seguro contra ataques de este tipo.
- En segundo lugar, el porcentaje de cobertura de la mano reduce significativamente la precisión de la predicción. Un porcentaje de cobertura del 75% da una precisión de 0.55 por cada intento, mientras que una cobertura total (100%) reduce la precisión a 0,33.
- Una tercera contramedida sería ofrecer a los usuarios un teclado virtual y aleatorio en lugar del mecánico estandarizado. Esto inevitablemente viene con inconvenientes de usabilidad, pero es una excelente medida de seguridad.
Curiosamente, los investigadores utilizaron los videoclips del experimento en una encuesta con 78 participantes para determinar si los humanos también podían adivinar los PINs ocultos y hasta qué punto.
En promedio, los encuestados respondieron con una precisión de solo el 7.92%, lo que resulta ineficaz para realizar ataques de este tipo.