Cuando se trata de adivinar el comportamiento del usuario por medio de las pulsaciones de teclas, los ademanes tienen mucho qué decir. Investigadores de la Universidad de Newcastle han conseguido adivinar un PIN de cuatro dígitos en un smartphone usando información acerca de cómo se inclina el teléfono.

Y no es un golpe de suerte: identificaron correctamente el PIN con 70% de precisión en el primer intento, o con 100% de precisión en el quinto.

La brecha de seguridad tiene que ver con el hecho de que muchos de los sensores en un teléfono inteligente moderno comparten información aparentemente benigna, como el giroscopio que comunica la orientación direccional de un dispositivo con sitios web y apps sin necesitar el permiso del usuario.

En total, el equipo de ciencias de la computación identificó 25 sensores diferentes, los cuales ahora se incluyen como un estándar en la mayoría de los dispositivos inteligentes y son usados para proporcionar información acerca del dispositivo y de su usuario. Solo un pequeño número de estos, como los de la cámara y el GPS, piden permiso del usuario para acceder al dispositivo.

“La mayoría de los teléfonos inteligentes, tabletas y otros dispositivos portátiles están ahora equipados con una multitud de sensores, desde el bien conocido sensor de GPS, el de cámara y micrófono, hasta instrumentos tales como el giroscopio, sensor de proximidad y acelerómetro,” dijo Maryam Mehrnezhad, un investigador miembro de la School of Computing Science en Newcastle y principal autor del documento que detalla los hallazgos.

El estudio encontró que cada acción del usuario, como dar clic, desplazarse, y tocar con el dedo, induce un rastro de orientación y movimiento.

“Dependiendo de cómo tecleemos, ya sea que sostengas tu teléfono con una mano y uses tu pulgar, o quizás lo sostengas con una mano y teclees con la otra, ya sea que toques y deslices, el dispositivo se inclinará de cierta manera y es bastante fácil reconocer patrones de inclinación asociados con Firmas de toque que utilizamos regularmente,” explicó Siamak Shahandashti, investigador en la School of Computer Science en Newcastle y coautor del estudio.

A mayor cantidad de información del sensor que es capturada, más clara es la imagen que los detectores remotos son capaces de obtener. Por ejemplo, usando un rango de puntos de datos, el equipo fue capaz de determinar en qué parte del sitio web estaba haciendo clic el usuario y qué estaba tecleando.

“Es un poco como armar un rompecabezas; a mayor cantidad de piezas juntas es más fácil ver la imagen”, explicó Shahandashti.

Es fácil ver las aplicaciones maliciosas que aprovecharían esto, sitios falsos o aplicaciones falsas que podrían de manera encubierta detectar y capturar tal información, y hackers que usarían machine learning y análisis de datos para recolectar credenciales de acceso y más.

“Más preocupante, en algunos navegadores encontramos que si abres una página en tu teléfono o tableta que alberga uno de estos códigos maliciosos y abres, por ejemplo, tu cuenta bancaria en línea sin cerrar la pestaña anterior, entonces podrían espiar cada detalle personal que ingreses”, añadió Mehrnezhad. “Y aún peor, en ciertos casos, a menos que los cierres completamente, incluso podrían espiarte cuando el teléfono esté bloqueado”.

El equipo está enfocado ahora en los riesgos adicionales que plantean los rastreadores de acondicionamiento físico personales, los cuales están enlazados a nuestros perfiles en línea y pueden ser usados potencialmente para interpretar los más sutiles movimientos de muñeca, así como actividades físicas generales tales como sentarse, caminar, correr y diferentes formas de desplazarse. Eso, combinado con los datos de sensor, puede producir una bonanza de información para gente malintencionada.

Como resultado de la investigación, algunos de los proveedores de navegadores, tales como Mozilla Firefox y Apple Safari han arreglado parcialmente el problema, dijo el equipo de Newcastle, pero aún están trabajando con la industria para ir más a fondo. Por ahora, los usuarios deben asegurarse de cambiar sus PIN y contraseñas regularmente, de manera que los sitios web maliciosos no puedan comenzar a reconocer un patrón; cerrar aplicaciones que se ejecuten en segundo plano cuando no se usen (y desinstalar aquellas que no se necesiten); mantener el sistema operativo y las aplicaciones actualizadas; sólo instalar programas desde tiendas autorizadas; revisar los permisos que tienen en el teléfono; escudriñar los permisos pedidos antes de instalarlas y elegir aplicaciones alternativas con permisos más prudentes, si se necesita.