Un ‘hacker’ podrá averiguar qué se escribe pirateando el ‘smartwatch’

El año en el que más se ha oído hablar de la deep web  se cierra con un nuevo concepto: el deep spying o “espionaje profundo”. En caso de que el palabro se asiente, los próximos meses mencionarán o pasa de largo como tantos, pero una investigación de la Universidad Técnica de Copenhague apuesta por tenerlo bien en cuenta. Tony Beltramelli, uno de sus estudiantes, ha acuñado el término en sus tesis doctoral y ha demostrado lo relativamente sencillo que lo van a tener los hackers para averiguar qué teclea el portador de un reloj inteligente no ya sobre su esfera, sino en cualquier teclado o pantalla sobre la que pose las yemas de los dedos.

Para que un reloj inteligente sea útil de verdad, una parte vital es el acceso a las aplicaciones, de otra forma sólo es un hub de notificaciones. Los relojes con Android Wear lo logran, pero no con un iPhone, en donde no tienen acceso a buena parte de las apps.En segundo lugar está la apuesta Samsung con  Tizen para sus relojes desde la segunda generación. Pese a no ser tan atractivo visualmente en términos gráficos, su bisel giratorio da una ingeniosa vuelta de tuerca que no esperábamos en un reloj inteligente, y te permite moverte por menús y submenús con gran facilidad y menos taps. Bien ahí, Samsung.

En teoría, la base del experimento es muy sencilla: va la mano,, en caso de que sepas hacia dónde puedes intuir qué tecla están tocando sus dedos

Los giróscopos y acelerómetros que incorporan estos relojes aprovechan la inercia para saber con gran precisión hacia dónde y hasta qué punto el aparato es movido: así, por ejemplo, es como consiguen contar los pasos de su portador. La base de la nueva investigación es, en teoría, así de sencilla: va la mano,, en caso de que sepas hacia dónde puedes intuir qué tecla están tocando sus dedos.

Beltramelli probó su idea en un teclado de 12 teclas para demostrar que, dependiendo del artefacto, se puede intuir qué está escribiendo el usuario. El porcentaje de éxito oscila entre el 73% en touchlogging y solo el 59% en el caso de keylogging . La diferencias se deben a que el teclado que se utilizó en el experimento era más pequeño que la pantalla. Y es que, cuanto más cortos son los desplazamientos que tienen que ejecutar los dedos, más difícil es adivinar qué teclas están pulsando.

Aunque un 59% o un 73% estén aún lejos de la certidumbre total, cuando lo que se puede descubrir es el código PIN de acceso a una cuenta corriente, una tarjeta de crédito o cualquier otro tipo de contraseña, el peligro es demasiado alto.

Para demostrar hasta qué punto esta técnica podría prolongarse en los bajos fondos de la Red, Beltramelli aplicó unos algoritmos ya existentes de deep learning . En este caso, esos algoritmos entrenan a la máquina para que separe el grano de la paja: el giróscopo y el acelerómetro del reloj generan tantos datos, están atentos a tantos movimientos de la muñeca a lo largo del día, que es necesario fijarse solo en a los que interesan: los del tecleo. Y si lo que se escribe es un código PIN, mucho mejor.

Desde Copenhague Sebastian Risi, el director de la tesis que recoge el experimento señala: “Ahí está la magia del machine learning”. O, más que en ese aprendizaje, en una forma particular de “cerebro artificial”: las redes de Memoria de Largo a Corto Plazo , que son capaces de reconocer un patrón particular entre todo un aluvión de datos. Risi apunta: “La clave está en el entrenamiento”. Primero, se atiende a las señales que cuando toca una tecla en concreto, genera el smartwatch. Luego, mismo patrón es rastreado es en todo el flujo de datos. En el caso de este experimento, el entrenamiento ha consistido en identificar las señales que cuando se pulsa cualquier tecla del 0 al 9, el asterisco o la almohadilla, se correspondían con el desplazamiento de la mano .

En el marco del hinduismo, rishi ) se refiere a alguno de los grandes eruditos de la antigüedad védica, como Kasiapa, Vishuámitra o Vásista.

El autor del estudio Tony Beltramelli, le quita mérito al pirateo de estos dispositivos: “Un reloj inteligente es, sobre el papel, tan fácil o difícil de piratear como un smartphone. Desde un punto de visión tecnológico, un smartwatch no es algo muy diferente a un teléfono inteligente, porque los sensores son los mismos y las prestaciones más o menos también”, informa. El mérito de su trabajo consiste en demostrar cómo, con las herramientas adecuadas, se pueden explotar los datos del aparato para obtener una información hasta el momento inédita. “Aunque exija cierto nivel técnico, el deep learning facilita mucho el procedimiento de analizar los datos. En realidad, ya hay muchas herramientas de ese campo que están accesibles a casi cualquiera”, apunta.

Hay relojes que simplemente hacen un poco más que un reloj normal. En caso de que quieras, llámalos relojes inteligentes necios, relojes con provechos, relojes ligeramente inteligentes o “relojes conectados”, pero los Withings Activite, disponibles en varios diseños y rangos de costo son un claro ejemplo. De hecho este no es un reloj inteligente: es simplemente un monitor de estado físico. También es un reloj de estilo analógico de operación digital. Y rastrea automáticamente tus pasos y sueño… además de vibrar. Es fácil de llevar y, con una batería de seis meses o más, no necesita recargarse. Es la mejor y más relajada tecnología de vestir del año.

En caso de que mejoren la calidad de las señales, risi y Beltramelli creen que pueden afinar mucho más los resultados si el volumen de datos es aumentado con los que se entrena la máquina y también la precisión con la que se eligen las muestras, esas huellas específicas que dejan tras de sí pulsar cualquier dígito del 0 al 9.

La investigación alerta no ya sobre lo vulnerables que son los artefactos ponibles o wearables, cosa ya sabida, sino acerca de sus peligros específicos: apostar a un espía discretamente en la muñeca, atento a la mezcla ganadora que franquea el acceso a la cuenta corriente.

Pese a esos otros métodos, tan eficientes para los ciberladrones, el incremento de estos aparatos los hacen potencialmente interesantes. Según la asesora IDC, este año 76,1 millones de artefactos ponibles son vendidos 76,1 millones de artefactos ponibles en todo el mundo, un 163% más que en 2014. De aquí a 2019, el crecimiento en las ventas va a crecer un 22,9% anual.

En un futuro, afinando las señales, Arcia cree que será posible situarse junto a un edificio de oficinas, pertrechado de una antena potente y bien dirigida, para leer las frecuencias de los smartwatches de quienes están trabajando dentro. “Eso sí, va a exigir mucho entrenamiento del usuario, pero ya existen sistemas que nos reconocen por nuestra forma de teclear. Incluso, bien empleados, pueden alertar de que quien está escribiendo en un computadora no es su propietario”, informa.

Hay cámaras de infrarrojos asequibles capaces de observar, en el teclado de un después de que un cliente haya metido el PIN, caja del súper, qué teclas continúan calientes

De tendencias entre los hackers también sabe José de la Cruz, director en España de una de las mayores compañías de software antivirus del mundo, Trend Micro. Ya hay programas de protección específicos para smartwatches, pero no quiere sembrar alarma: “Es todavía una actividad residual. Aunque hay que observarlo como una interfaz cómoda entre el smartwatch y el usuario, es un artefacto aún muy nuevo : lo que hace es guardar en su memoria la información del teléfono: mensajes de correo y WhatsApp, notificiaciones, posicionamiento…”. En ese sentido, el reloj inteligente se antoja una nueva puerta al festín de datos privados del teléfono.

Trend Micro ya puso a prueba la seguridad de varios smartwatches. El más fiable de los que testó es el Apple Watch, pero, atención, también es el más suculento para los hackers: guarda muchos más datos del usuario que sus competidores. “El secreto de Apple Watch es que incorpora un mecanismo para que el reloj se bloquee en cuanto el usuario se lo quita de la muñeca. Eso sí, esa función no viene activada por defecto”, ejemplifica De la Cruz. Juega en contra de la seguridad de los wearables que primen la funcionalidad sobre la seguridad: “Lo que un usuario quiere es acceder rápidamente a su dispositivo, sin tener que teclear contraseñas”, describe el experto. Con poco esfuerzo, afianzaremos la seguridad de nuestras muñecas.

Sentiment score: SLIGHTLY POSITIVE

Countries: Spain

Fuentes relevadas para esta noticia: