Un grupo de expertos creó un experimento para demostrar que, empleando un algoritmo de aprendizaje automático, era posible adivinar el PIN de 4 dígitos de una tarjeta de pago con una efectividad de hasta el 40%, sin importar que los usuarios cubrieran con su mano el teclado de un cajero automático.
Para estas pruebas, los investigadores emplearon una réplica de cajero automático que permitía al algoritmo de aprendizaje automático realizar un mejor análisis basado en indicadores como las dimensiones de la máquina y el espacio entre las teclas. Una vez que se configuró el hardware requerido, el modelo de aprendizaje automático fue entrenado para reconocer las pulsaciones de cada tecla y determinar posibles combinaciones, apoyándose también en videos de decenas de personas usando cajeros automáticos.
Para el entrenamiento del algoritmo, los investigadores emplearon casi 6,000 muestras de videos de cajeros automáticos, además de contar con 50 voluntarios que ingresaron claves PIN de 4 y 5 dígitos en el cajero de prueba.
Los expertos también emplearon una máquina Xeon E5-2670 con 128 GB de RAM y tres Tesla K20m con 5 GB de RAM cada uno, que no son implementaciones comunes pero se les considera prácticas. Gastando los 3 intentos que dan la mayoría de cajeros automáticos para el ingreso correcto del PIN, los expertos pudieron encontrar la clave correcta para los PIN de 5 dígitos un 30% de las veces, alcanzando el 41% en los PIN de solo 4 dígitos.
Los investigadores mencionan que este modelo pudo excluir teclas en una secuencia basándose solamente en el espacio que cubre la mano de un usuario, descartando con gran precisión las teclas que el usuario no podría presionar con su mano en una posición determinada.
Otra de las claves en este experimento fue la ubicación de las cámaras alrededor de este cajero automático, colocadas en la parte superior del cajero automático. Además, si la cámara también es capaz de capturar audio, el modelo también podría usar la retroalimentación de sonido al presionar que es ligeramente diferente para cada dígito, lo que incrementa la efectividad del análisis.
Si bien este es un ataque complejo, los expertos no descartan la posibilidad de que un grupo de hackers pueda implementar una técnica similar en escenarios reales, por lo que los investigadores recomiendan no desestimar la posibilidad de un ataque similar.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.