Los ataques térmicos

Por lo menos dos de nuestras últimas entradas han tratado sobre ataques de canal lateral. En este tipo de ataques la información confidencial (como contraseñas, claves cifradas o simples datos que necesitan protección) es extraída de una forma poco convencional. Por ejemplo, en lugar de descifrar un sistema cifrado, un ataque puede reconstruir la clave basándose en los cambios más mínimos en el consumo de energía del dispositivo. En lugar de que la información secreta sea extraída de la caché del procesador, puede restaurarse mediante varias señales indirectas: una cadena compleja de intentos sin éxito de acceder a los datos se ejecuta una fracción más lento o rápido, lo que sugiere la presencia de un cero o uno en la sección de datos de interés.

Este ejemplo de ataque de cadena lateral es sumamente complejo, pero hoy hablaremos de otras variantes existentes mucho más simples…

¿Cuál es el ataque más simple que puede sufrir un sistema informático? La técnica shoulder surfing: cuando los ladrones roban tu contraseña mientras te ven con desdén. Entonces, introducen la contraseña y consiguen acceso a tus datos, sin siquiera atacar tu computadora o software. La defensa contra el shoulder surfing es muy simple: tapa tu contraseña con la mano o asegúrate de que no se haya alguien cerca mientras inicias sesión. Pero ¿qué pasa si un atacante roba tu contraseña después de que la escribiste leyendo tus huellas térmicas?

La termografía y los cajeros automáticos

Los ataques térmicos han estado durante más de 15 años en la mira de los investigadores. Uno de los primeros estudios sobre este tema analiza las situaciones cotidianas más comunes: los ataques en los cajeros automáticos. Te explicamos cómo funciona. Para ponernos en contexto, los teclados de los cajeros automáticos suelen ser así:

El teclado de un cajero automático estándar. Fuente.

Imagínate que vas a un cajero, insertas tu tarjeta, tecleas el PIN, tomas el dinero y te vas. Pero sin que lo sepas, un atacante se aproxima a ese mismo cajero justo después y realiza una fotografía del teclado utilizado una cámara de imagen térmica:

El teclado de un cajero automático captado con una cámara térmica. Fuente.

Si la imagen es tomada en los 30 segundos posteriores a la introducción del código PIN, hay un 50 % de posibilidades de recuperar la secuencia. La cámara térmica genera una imagen infrarroja en la que las áreas claras y oscuras representan las altas y bajas temperaturas, respectivamente. El objetivo de estas cámaras es determinar por cuáles paredes o ventanas de un edificio es que se cuela el aire, aunque al parecer ahora también se usan para robar códigos PIN. Eso sí, hay que señalar que estamos hablando de investigación y que estos ataques no son algo cotidiano (todavía).

Las primeras cámaras térmicas costaban decenas de miles de dólares, pero ahora se pueden encontrar por unos cientos. Además, también pueden variar el nivel de la sensibilidad (lo que permite distinguir diferencias de temperatura mínimas). Por ejemplo, la imagen anterior (tomada con un dispositivo profesional caro) no solo muestra qué botones se presionaron, sino también el orden: mientras más caliente esté el botón, habrá sido presionado más recientemente.

Pero utilizar cámaras térmicas en los cajeros automáticos no es tan simple, ya que la imagen debe tomarse lo antes posible. El ejemplo anterior está tomado inmediatamente después de haber introducido el código PIN. Como mucho, la fotografía debe tomarse 90 segundos después de haber introducido el código y, aun así, las probabilidades de éxito son nulas. Por ejemplo, la potencial víctima podría llevar guantes y los botones no se calentarían. También podría ser que el código PIN repitiera uno o dos dígitos, lo que complicaría el proceso. Por cierto, ¡pon a prueba tus poderes de deducción! ¿Qué números crees que se han introducido en la imagen? La respuesta correcta es 1485.

Los investigadores realizaron 54 experimentos en total, en los que los parámetros apenas variaron. Las huellas térmicas fueron analizadas de manera manual y con sistemas automatizados (estos últimos con resultados ligeramente superiores). Aproximadamente en la mitad de los casos los botones presionados fueron revelados, pero no así la secuencia correcta; de hecho, el código PIN exacto solo se pudo recuperar en menos del 10 % de los casos. Un código de 4 dígitos de cualquiera de los 11 dígitos disponibles da lugar a 10000 posibles combinaciones. Si conocemos los 4 números, pero no la secuencia, las combinaciones se reducen a 24. Pero hay que tener en cuenta el número de intentos permitido: como regla general, los bancos bloquean la tarjeta después del tercer intento sin éxito. Por ende, este estudio del 2011 consiguió ampliar nuestros conocimientos, pero no ofreció resultados significativos. Pero no fue el último estudio…

La termografía y los smartphones

Otra posible víctima de los ataques térmicos son los smartphones, tal como se demostró en un estudio del 2017 que compartía esta reveladora imagen:

Los códigos y patrones de desbloqueo de un smartphone y sus rastros de calor. Fuente.

Como mencionamos, el éxito de un ataque va a depender de la rapidez con la que se tome la imagen térmica tras introducir el PIN o la contraseña. En Este caso, tomar la imagen es algo más complicado, ya que, a diferencia de un cajero automático, la gente trae sus teléfonos consigo. No obstante, no es tan descabellado pensar en el escenario donde la fotografía sea tomada en el momento preciso.

En 2017, la mejora en la tecnología de análisis de datos permitió superar el éxito de los experimentos de 2011 sobre los cajeros automáticos: se logró recopilar hasta el 89 % de los códigos mediante la imagen térmica. Consiguieron recuperar el 78 % de los códigos 30 segundos después de desbloquear el teléfono y el 22 % cuando los investigadores esperaban hasta 60 segundos. Por otro lado, los patrones de desbloqueo son más complicados de descifrar mediante este método, pero eso no los vuelve más seguros, ya que en 2010 se demostró que estas combinaciones se pueden averiguar fácilmente con tan solo prestar atención a los trazos de manchas que dejan los dedos en la pantalla (y que permanecen durante mucho más tiempo que las huellas térmicas).

La termografía y los teclados

¿En qué se parece los cajeros automáticos a los smartphones? ¡Que no tienen muchos botones! Y en ambos casos, solemos introducir combinaciones de dígitos cortas. Por tanto, para realmente probar las posibilidades del espionaje térmico, lo mejor sería ponerlo a prueba introduciendo contraseñas alfanuméricas en un teclado auténtico. Y justo eso lo que hizo un equipo de investigadores de la Universidad de Glasgow que publicaron aquí los resultados de su trabajo. Un teclado normal y corriente se ve así a través desde una cámara térmica:

Los trazos térmicos en el teclado de un PC. Fuente.

En la imagen, los puntos brillantes indican las teclas presionadas. Al igual que los otros, este estudio trataba de probar la eficacia de la recuperación de contraseñas después de cierto tiempo: la imagen térmica fue tomada en intervalos de 20, 30 y 60 segundos. Eso sí, aquí entraba en juego una nueva variable: la extensión de la contraseña, totalmente arbitraria. Lo más importante es que los investigadores aplicaron algoritmos de aprendizaje automático, indispensable en los experimentos para la extracción de datos útiles del ruido. Estos algoritmos, entrenados en cientos de imágenes de teclados emparejados con combinaciones conocidas, demostraron resultados excelentes en la recuperación de contraseñas, como puedes observar en este gráfico que resume su rendimiento:

La recuperación de la contraseña depende del margen de tiempo entre la introducción y la captura de la imagen, al igual que la extensión de la clave.  Fuente.

Sorprendentemente, en la mitad de los casos se pudieron recuperar contraseñas de hasta 16 caracteres. En los ejemplos anteriores, se puede apreciar lo complejo de recuperar la secuencia de las claves introducidas tomando como base las pequeñas diferencias de temperatura. Además, de este estudio podemos sacar una conclusión que ya todos sabemos: las contraseñas deben ser largas y si las genera el software de un gestor de contraseñas, mucho mejor.

También hubo una serie de descubrimientos inesperados. La eficacia del método depende del tipo de plástico: algunos se calientan más que otros; otro factor determinante es que el teclado esté iluminado. Como regla general, cualquier calor a los botones, ya sea por unos LED incorporados o porque el CPU se ubica justo debajo del teclado en una laptop, destruye las huellas térmicas. Por otro lado, mientras más rápido se introduzca la clave, habrá menos probabilidad de revelar la imagen térmica.

¿Estos ataques en verdad son factibles?

No se puede dar una respuesta categórica a esta pregunta. ¿Puede ser la información de tu teléfono lo suficientemente valiosa como para que alguien te siga por ahí con una cámara térmica? ¿Es una posibilidad? Por fortuna, estos ataques son tan complejos que casi nadie suele verse afectado. No obstante, el espionaje térmico representa una verdadera amenaza para las cerraduras digitales, que requieren la introducción de un código, como, por ejemplo, en la entrada de un edificio de oficinas. Estos códigos rara vez cambian y las cerraduras suelen ubicarse en lugares públicos. Por ende, un posible espía podría invertir tiempo e intentos en adivinar el código de acceso correcto.

En otros casos, este método puede ser factible como parte de un ataque dirigido en busca de información particularmente valiosa. La solución, al igual que con el método habitual de defensa contra los ataques de cadena lateral, consiste en inundar la información sensible con ruido. También puedes introducir tu código PIN con guantes para anular el ataque, usar un teclado iluminado que obligue a los ciberdelincuentes a rascarse la cabeza o, cuando introduzcas la contraseña, presionar o tocar otras teclas, de forma que recuperar la secuencia completa resulte imposible.

El 2022 ha sido testigo del lanzamiento de un metaanálisis de estudios de ataques térmicos cuyo objetivo era evaluar las probabilidades de estos ataques. Los autores afirman que en realidad son implementables y asequibles, por lo que deben tenerse en cuenta a la hora de crear un modelo de amenazas. Por nuestra parte, no estamos muy convencidos de que a corto plazo el problema se vuelva grave, pero el metaanálisis saca una conclusión importante: ¡solo te pueden robar la contraseña si la introduces!

Esto nos lleva de forma indirecta a un nuevo tema: la muerte de la contraseña. Claro que la amenaza de los ataques térmicos es una razón bastante exótica para descartarlas. Pero, si lo piensas, cuando tu teléfono te reconoce por tu rostro o huella digital, no introduces ninguna contraseña y, cuando usas una clave de seguridad de hardware, tampoco. Toda una serie de posibles ataques (y años de investigación) pierden relevancia si no se introduce una contraseña. Claro que estos métodos alternativos de autenticación también cuentan con debilidades, pero las contraseñas ordinarias suelen tener todavía más. Por ejemplo, los sistemas de autenticación sin contraseña hacen que la probabilidad de un ataque de phishing sea casi imposible. Por tanto, deshacerse de las contraseñas tradicionales ofrece muchas ventajas y ahora tenemos una más: nadie podrá acercarse sigilosamente con una cámara térmica y robar tu clave secreta. Siempre que no la introduzcas, claro está.