Un inofensivo 'selfie' puede dejar el PIN de tu móvil al descubierto

Retratar nuestra falsa sonrisa se ha convertido en el calvario de la cámara frontal del móvil, a la que obligamos a toma instantáneas de nuestros rostros en todo tipo de absurdas situaciones. Hay incluso quien pierde la vida tratando de conseguir el mejor selfie, el último de su existencia.

Poner en riesgo nuestra integridad física no es el único peligro de las autofotos. Los ciberatacantes podrían utilizar esas inocentes imágenes para averiguar el PIN de nuestro smartphone. Así lo ha demostrado un grupo de expertos en seguridad informática de la Universidad Técnica de Berlín. Han analizado los selfies de un usuario, captados mientras escribía la contraseña en su dispositivo móvil, y han sido capaces de descubrir la clave a partir de las imágenes.

Los investigadores instalaron una aplicación que fotografiaba el rostro del usuario cada vez que pulsaba el teclado

No pienses que las han adivinado porque su cara era un poema. Para lograrlo, han utilizado un método mucho más sencillo que leer la mente: se han aprovechado de que la pantalla del dispositivo móvil se reflejaba en los ojos del protagonista de esas instantáneas.

De esta forma, han conseguido averiguar la posición de su dedo mientras seleccionaba los caracteres del PIN en el teclado virtual. Los ojos son el espejo del alma incluso si los contemplamos en una aparentemente inofensiva fotografía.

El 'keylogger' de nuestra córnea

Según detallan en su estudio, los investigadores instalaron una aplicación que fotografiaba el rostro del usuario cada vez que pulsaba el teclado de un OPPO N1, con su cámara giratoria de 13 megapíxeles orientada a su cara.

Un segundo sujeto fue capaz de averiguar cuatro contraseñas diferentes solamente contemplando los ojos en esos selfies a alta resolución. Acertó dos de ellas a la primera y otras dos en una segunda ronda gracias al reflejo de la enorme pantalla de este dispositivo de 5,9 pulgadas.

Estos expertos en seguridad han decidido llamar a este sistema “keylogger corneal”. Si los tradicionales keyloggers registran las pulsaciones sobre el teclado de un ordenador, en este caso nuestros ojos encierran la información sobre las teclas que seleccionamos en nuestro smartphone. Así, hipotéticamente, un ciberatacante podría tomar el control de la cámara frontal del OPPO N1 con ayuda de una aplicación maliciosa y conseguir los selfies que le hicieran falta para averiguar la contraseña.

Si te estás planteando cerrar los ojos y guiarte por tu instinto la próxima vez que escribas el PIN de tu móvil, has de saber que no tienes por qué alarmarte demasiado (de momento). Este sistema no funciona aún con todos los smartphones del mercado, según explica a Teknautas Jan Krissler, uno de los autores de la investigación.

La resolución de las cámaras frontales de los móviles suele ser muy inferior a la rotatoria del dispositivo chino que han utilizado para su experimento. A ello se suma que, en tema de selfies, la dimensión de la pantalla también importa. "La resolución necesaria depende del tamaño de la pantalla, la distancia entre los ojos y el teléfono y el tipo de teclado, además de las condiciones de luz", detalla Krissler, más conocido como Starbug en el mundo de la seguridad informática.

Este investigador puntualiza que su peculiar keylogger podría ser más efectivo si, en lugar de averiguar la contraseña "manualmente", hubieran utilizado un software que distinguiera los caracteres de forma automática. También es más fácil obtener la contraseña si el usuario lleva gafas de sol.

Starbug señala que averiguar las contraseñas con este sistema será más efectivo a medida que las pantallas de los móviles sean más grandes y la resolución de las cámaras frontales más alta. "Al final todo se reduce a la cantidad de píxeles de la pantalla reflejados en el ojo", asegura.

Apple ha apostado por mejorar la cámara frontal en su iPhone 6S, con sus 5 megapíxeles frente a los 1,2 del iPhone 6. Mientras, la del Nexus 5 también ha evolucionado de los 1,3 megapíxeles a los 5 del esperado Nexus 5X. HTC sorprendió el año pasado con su Desire Eye, un smartphone con una cámara frontal idéntica a la trasera, de 13 megapíxeles.

La resolución necesaria depende del tamaño de la pantalla, la distancia entre los ojos y el teléfono y el tipo de teclado, además de las condiciones de luz

El paloselfie ha llegado a nuestras vidas para quedarse y los fabricantes se han percatado de que nos satisface más fotografiarnos a nosotros mismos que a los demás, por lo que previsiblemente los móviles incluirán cámaras frontales cada vez mejores en los próximos años. Por lo tanto, el método de estos investigadores para averiguar nuestro PIN a golpe de selfie dará mejores resultados en el futuro.

Ahora bien, ¿qué ocurre si me he instalado AppLock para proteger las contraseñas de mis aplicaciones utilizando un teclado aleatorio? ¿Conseguiría aguar la fiesta a un potencial ciberatacante, que no podría descubrir la contraseña mirando la posición de mis pulgares?

Aunque estos expertos reconocen que los teclados aleatorios pueden ser un buen método de protección, al menos hasta que las cámaras permitan distinguir perfectamente el carácter reflejado en el ojo del usuario, han pensado un método alternativo para burlar los teclados aleatorios: medir la velocidad a la que el usuario pulsa cada tecla virtual. Si tarda muy poco, significará que el número está en una posición muy cercana a la del teclado original. Con paciencia, podrían acabar averiguando la contraseña de todos modos.

Copiando iris y huellas dactilares

Starbug ha presentado su keylogger visual en la conferencia Biometrics & Identity 2015 celebrada recientemente en Londres. En ese evento también detalló cómo fotografiar un sujeto a gran distancia y recrear después su iris con ayuda de una impresora láser, logrando engañar a un sistema biométrico.

Averiguar las contraseñas será más efectivo a medida que las pantallas de los móviles sean más grandes y la resolución de las cámaras frontales más alta

Este investigador demostró hace unos meses que unas cuantas fotografías del dedo de la ministra de Defensa alemana Ursula von der Leyen bastaban para reproducir su huella dactilar. Un descubrimiento que pone en evidencia los sistemas de verificación de huellas dactilares, tan de moda en los últimos meses. Starbug defiende por ello que las técnicas de autenticación biométrica todavía tienen que mejorar. "Al menos deben añadir detección en vivo para prevenirse de ser engañadas con solo una impresión", defiende.

Si un ciberatacante podrá descubrir mi PIN incluso observando mis ojos, ¿debemos confiar en la biometría o no? "Depende de las circunstancias. Todavía se necesita esfuerzo para conseguir el PIN desde un teléfono o conseguir las imágenes para hacerlo" opina Starbug. "Si eres consciente de ello, puedes esconderte cuando escribes el PIN o puedes sellar la cámara. Pero es casi imposible esconder la mayoría de tus características biométricas todo el tiempo".

Nuestras crestas papilares nos convierten en personas únicas en el universo, por lo que nuestro dedo encierra una contraseña más difícil de robar que aquella que introducimos en pantalla. Eso sí, los cibercriminales se adaptarán a los nuevos tiempos tanto para reproducir los rasgos únicos de nuestro ser como para conocer nuestro tradicional PIN utilizando incluso los aparentemente inofensivos selfies.