Un equipo de expertos en seguridad informática ha desarrollado un conjunto de recomendaciones para ayudar a defenderse contra los "ataques térmicos" que pueden robar información personal.
Los ataques térmicos utilizan cámaras sensibles al calor para leer las huellas dactilares dejadas en superficies como pantallas de teléfonos inteligentes, teclados de computadoras y teclados PIN.
Los hackers pueden usar la intensidad relativa de las huellas de calor en superficies recién tocadas para reconstruir las contraseñas de los usuarios.
El año pasado, el Dr. Mohamed Khamis y sus colegas de la Universidad de Glasgow se propusieron demostrar cuán fácilmente las imágenes térmicas podrían usarse para descifrar contraseñas.
El equipo desarrolló ThermoSecure, un sistema que utilizaba inteligencia artificial para escanear imágenes de huellas de calor y adivinar correctamente las contraseñas en segundos, alertando a muchos sobre la amenaza de los ataques térmicos.
Ahora, el Dr. Khamis y sus colegas han reunido la primera revisión exhaustiva de las estrategias de seguridad informática existentes y encuestaron a los usuarios sobre sus preferencias sobre cómo se pueden prevenir los ataques térmicos en dispositivos de pago público como cajeros automáticos o dispensadores de boletos de transporte.
Su investigación, que se presentará como un artículo en la conferencia USENIX Security Symposium en Anaheim, California, el viernes 11 de agosto, también incluye consejos para los fabricantes sobre cómo podrían hacer que sus dispositivos sean más seguros. USENIX Security es ampliamente reconocida como una de las principales conferencias en los campos de seguridad informática y ciberseguridad.
El equipo identificó 15 enfoques diferentes descritos en trabajos anteriores sobre seguridad informática que podrían reducir el riesgo de ataques térmicos.
Estos incluyeron formas de reducir la transferencia de calor de las manos de los usuarios, usando guantes o dedales de goma, o cambiando la temperatura de las manos al tocar algo frío antes de escribir.
Los enfoques sugeridos en la literatura también incluyeron presionar las manos contra superficies o respirar sobre ellas para oscurecer la huella térmica de la huella dactilar una vez que hubieran terminado de escribir.
Otras sugerencias para aumentar la seguridad se centraron en hardware y software. Un elemento calefactor detrás de las superficies podría borrar las huellas de calor de los dedos, o las superficies podrían estar hechas de materiales que disipan el calor más rápidamente.
La seguridad en las superficies públicas podría aumentarse introduciendo un escudo físico que cubra las teclas hasta que el calor se haya disipado. Alternativamente, la entrada de seguimiento ocular o la seguridad biométrica podrían reducir el riesgo de ataques térmicos exitosos.
Después de su investigación sobre medidas de seguridad existentes, el equipo realizó una encuesta en línea con 306 participantes. La encuesta tenía como objetivo determinar las preferencias de los usuarios entre las estrategias que el equipo había identificado, así como pedir sus propias opiniones sobre las medidas de seguridad que podrían adoptar al usar dispositivos públicos como cajeros automáticos.
El Dr. Mohamed Khamis, de la Escuela de Ciencias de la Computación de la Universidad de Glasgow, lideró la investigación. Dijo: "Esta es la primera revisión exhaustiva de las medidas de seguridad contra los ataques térmicos, y nuestra encuesta arrojó algunos resultados interesantes. Intuitivamente, los usuarios sugirieron algunas estrategias que no estaban en la literatura, como esperar para usar un cajero automático hasta que sus alrededores parecieran más seguros. También estaban interesados en estrategias que ya eran familiares, como la autenticación de dos factores, porque eran conscientes de su eficacia.
"También vimos que consideraron problemas como la higiene, lo que hizo que la estrategia de respirar en los dispositivos para ocultar las huellas de calor fuera muy impopular, y la privacidad, que algunos usuarios consideraron al pensar en medidas de seguridad adicionales como el reconocimiento facial o de huellas dactilares".
El artículo concluye con recomendaciones para los usuarios sobre cómo pueden defenderse contra los ataques térmicos en público y para los fabricantes de dispositivos sobre cómo podrían incorporar medidas de seguridad en futuras generaciones de hardware y software.
La Prof. Karola Marky, que fue investigadora postdoctoral en el equipo del Dr. Khamis en la Universidad de Glasgow durante esta investigación, y ahora es profesora en la Universidad de Ruhr-Bochum en Alemania, es la autora correspondiente del artículo. Dijo: "Los usuarios nos dijeron que se consideraban al menos parcialmente responsables de su propia seguridad, por lo que recomendamos que presten mucha atención a su entorno al ingresar datos sensibles en público para asegurarse de que nadie esté mirando, o usen una instalación segura como un banco. Donde eso no sea posible, sugerimos apoyar las palmas en los dispositivos para oscurecer las huellas de calor o usar guantes o protección para los dedos si pueden.
"También aconsejaríamos utilizar la autenticación de múltiples factores siempre que los usuarios puedan, ya que protege contra una variedad de ataques diferentes, incluidos los ataques térmicos, y salvaguarda todos los factores de autenticación tanto como sea posible".
El coautor del artículo, el Dr. Shaun Macdonald, de la Escuela de Ciencias de la Computación de la Universidad de Glasgow, es miembro del equipo del Dr. Khamis. Dijo: "Para los fabricantes de dispositivos utilizados en espacios públicos, sugerimos que se consideren los ataques térmicos lo antes posible en la fase de diseño, para que los dispositivos puedan mejorarse con pantallas físicas que bloqueen las superficies durante un breve período, o teclados que mejoren la privacidad y que reorganizan la disposición de las teclas después de su uso. Donde los dispositivos ya estén en circulación, las actualizaciones de software podrían ayudar a recordar a los usuarios que estén atentos a su entorno y tomen medidas para evitar la observación con cámaras térmicas".
El Dr. Khamis agregó: "Nuestra recomendación final es para los fabricantes de cámaras térmicas, que podrían detener los ataques mediante la integración de nuevos bloqueos de software para evitar que las cámaras térmicas tomen fotografías de superficies como teclados PIN en cajeros automáticos.
"Seguimos explorando posibles enfoques para mitigar el riesgo de ataques térmicos. Aunque aún no sabemos cuán extendidos son estos ataques en la información personal en este momento, es importante que los investigadores en seguridad informática sigan el ritmo de los riesgos que las cámaras térmicas podrían representar para la información personal de los usuarios, especialmente porque ahora son tan baratas y ampliamente disponibles.
"En última instancia, nuestro consejo al público sería tratar de encontrar una estrategia que se adapte a sus propios hábitos y comportamientos personales y recordar usarla con la mayor frecuencia posible en sus vidas. Cualquier acción que puedan tomar regularmente para ayudar a protegerse contra los ataques térmicos dificultará que otros accedan a sus datos personales".
Fuente: Universidad de Glasgow
Si llegaste hasta acá tomate un descanso con la mejor música
