Ya no es que en un momento dado, mientras enciende su teléfono e introduce el pin, tenga alguien a su lado o tan próximo a usted que vea los números que teclea, sino que a través del micrófono y de la cámara del móvil, se puede conseguir ese número de 4 cifras sin mucha complicación, empleando para ello la propia tecnología del teléfono. Todo esto no es obra, de momento, de los delincuentes cibernéticos, sino de un grupo de investigadores que han querido adelantarse a ellos para saber qué brechas de seguridad existen al usar los smartphones y almacenar en ellos tanta cantidad de información privada.
El estudio lo han realizado los investigadores de seguridad de la Universidad de Cambridge, quienes explican cómo se aprovecharon de la cámara y micrófono de un smartphone para detectar números de identificación personal. Para ello, crearon el programa PIN Skimmer (creado por Ross Anderson y Laurent Simon de Cambridge), cuya finalidad es identificar las brechas de seguridad antes de que sean aprovechadas por los criminales.
Cómo identifican el pin con la cámara y el micro.
Para empezar, el micrófono detecta que una persona está introduciendo el pin. Muchos dispositivos vibran cada vez que se pulsa un número, dicha vibración es captada por el micrófono, que permite al software malicioso saber que un «evento táctil» está ocurriendo, en este caso, que se está introduciendo un pin. En ese momento se activa la cámara, detectando la orientación del teléfono y determinando qué parte de la pantalla se está pulsando, basándose en la manera en que la persona está sujetando el móvil (en el estudio se toma como estándar que las personas sujetan su teléfono con una mano e introducen los números con el pulgar). A continuación, el software toma algunas fotografías y unos pocos segundos de vídeo y los sube a un servidor remoto, para evitar ser detectado.
En las pruebas, el PIN Skimmer tuvo un 30% de índice de éxito en detectar números de identificación personal de cuatro dígitos, después de monitorear unos pocos intentos, y ese número aumentó después de captar información tras cinco intentos. Pero, además de descubrir la brecha de seguridad, también ofrecen algunas sugerencias para hacer que este tipo de pirateo sea más difícil, como por ejemplo, inhabilitar cualquier luz LED que pueda permitir al malhechor darse cuenta que la cámara de su teléfono inteligente estuvo grabando algo. Los investigadores probaron el programa en los teléfonos Android Galaxy S3 y Google Nexus.
En otras ocasiones, expertos en seguridad han advertido que los ciberdelincuentes pueden llegar a utilizar otros sensores del teléfono como el acelerómetro y el giroscopio, para descifrar lo que alguien está introduciendo en su teléfono. Así que otras sugerencias son que se deshabiliten todos los sensores disponibles cuando se entre en un modo seguro o que se programe aleatoriamente dónde aparecen los números en la pantalla.