El robo de contraseñas no sólo se produce a través de software e ingeniería social: una cámara de imagen térmica también puede ser suficiente. Así lo ha demostrado un estudio realizado por científicos de la Universidad de California. Las cámaras de infrarrojos son cada vez más baratas y, por tanto, más interesantes para los espías industriales.
Según el estudio "Thermanator: Thermal Residue-Based Post Factum Attacks On Keyboard Password Entry", realizado por científicos de la Universidad de California, los rastros de calor de los teclados comerciales son suficientes para robar contraseñas. Según los investigadores, las entradas de los usuarios del sistema de búsqueda con dos dedos son especialmente fáciles de leer. Este inusual método de descifrado de contraseñas podría entrar en juego en el campo del ciberespionaje y el espionaje industrial.
"Los riesgos subestimados acechan especialmente en la entrada de contraseñas", afirma Thomas Uhlemann, especialista en seguridad de ESET. "Mientras muchos prestan atención a la mirada indeseada de los hombros, nadie piensa en su propio calor corporal, lo cual es comprensible. Esto ofrece un potencial para los ciberdelincuentes, independientemente de la solidez de la contraseña."
Los investigadores filmaron los teclados en los que 30 sujetos de prueba habían introducido contraseñas. En las imágenes, las teclas pulsadas pueden seguir siendo reconocidas hasta un minuto después de su introducción. E incluso los profanos fueron capaces de reconstruir conjuntos de entrada correctos y fragmentos de contraseñas a partir de estas imágenes en la siguiente fase del experimento. Si se utilizaban dos dedos en lugar del sistema de escritura de 10 dedos, las huellas térmicas solían ser más grandes y, por tanto, más fáciles de construir para los posibles atacantes.
Los científicos recomiendan una serie de contramedidas para dificultar o imposibilitar considerablemente el espionaje de contraseñas. Por ejemplo, hay que pasar la mano por el teclado después de introducir información sensible, o crear un "ruido térmico" mediante la introducción aleatoria. Otras posibles contramedidas son el uso del teclado en pantalla y el uso de guantes aislantes del calor, algo poco realista. "Mucho más práctico es el uso de soluciones seguras de autenticación de 2 factores (2FA), como ESET Secure Authentication. Son cómodos, fáciles de usar y ofrecen la máxima protección de acceso", continúa Uhlemann.