08/12/2024

Los PIN de las tarjetas de crédito se pueden adivinar incluso cuando se cubre el teclado del cajero automático

Los investigadores han demostrado que es posible entrenar un algoritmo de aprendizaje profundo de propósito especial que puede adivinar los PIN de tarjetas de 4 dígitos el 41% del tiempo, incluso si la víctima está cubriendo el teclado con las manos

Tarjetas

El ataque requiere la configuración de una réplica del cajero automático

Los investigadores han demostrado que es posible entrenar un algoritmo de aprendizaje profundo de propósito especial que puede adivinar los PIN de tarjetas de 4 dígitos el 41% del tiempo, incluso si la víctima está cubriendo el teclado con las manos. 

El ataque requiere la configuración de una réplica del cajero automático objetivo porque entrenar el algoritmo para las dimensiones específicas y el espaciado de teclas de los diferentes teclados de PIN es de vital importancia. 

A continuación, el modelo de aprendizaje automático está entrenado para reconocer las pulsaciones de la almohadilla y asignar probabilidades específicas en un conjunto de conjeturas, utilizando el video de las personas que escriben PIN en la almohadilla del cajero automático.

Toda la cadena del ataque
Fuente: Arxiv.org

Para el experimento, los investigadores recopilaron 5.800 videos de 58 personas diferentes de diversos grupos demográficos, ingresando PIN de 4 y 5 dígitos. 

La máquina que ejecutó el modelo de predicción fue un Xeon E5-2670 con 128 GB de RAM y tres Tesla K20m con 5 GB de RAM cada uno. Ciertamente no es su sistema promedio, pero dentro de un espectro económico práctico. 

Al utilizar tres intentos, que suele ser el número máximo permitido de intentos antes de que se retenga la tarjeta, los investigadores reconstruyeron la secuencia correcta para los PIN de 5 dígitos el 30% del tiempo y alcanzaron el 41% para los PIN de 4 dígitos. 

El modelo puede excluir teclas basándose en la cobertura de la mano que no escribe y deduce los dígitos presionados de los movimientos de la otra mano evaluando la distancia topológica entre dos teclas. 

Mapa de calor de predicción para tres escenarios de ataque
Fuente: Arxiv.org

La ubicación de la cámara que captura los intentos juega un papel clave, especialmente si se graba a personas zurdas o diestras. Se determinó que ocultar una cámara estenopeica en la parte superior del cajero automático era el mejor enfoque para el atacante. 

Si la cámara también es capaz de capturar audio, el modelo también podría usar la retroalimentación de sonido al presionar que es ligeramente diferente para cada dígito, lo que hace que las predicciones sean mucho más precisas. 

Conjeturas y probabilidades de PIN para cada dígito
Fuente: Arxiv.org

Contramedidas

Este experimento demuestra que cubrir el teclado de PIN con la otra mano no es suficiente para defenderse de los ataques basados ​​en el aprendizaje profundo, pero afortunadamente, existen algunas contramedidas que puede implementar. 

  • Primero, si su banco le da la opción de elegir un PIN de 5 dígitos en lugar de uno de 4 dígitos, elija el más largo. Puede que sea más difícil de recordar, pero es mucho más seguro contra ataques de este tipo. 
  • En segundo lugar, el porcentaje de cobertura de la mano está reduciendo significativamente la precisión de la predicción. Un porcentaje de cobertura del 75% da una precisión de 0,55 por cada intento, mientras que una cobertura total (100%) reduce la precisión a 0,33. 
  • Una tercera contramedida sería servir a los usuarios con un teclado virtual y aleatorio en lugar del mecánico estandarizado. Esto inevitablemente viene con inconvenientes de usabilidad, pero es una excelente medida de seguridad. 

Curiosamente, los investigadores utilizaron los videoclips del experimento en una encuesta con 78 participantes para determinar si los humanos también podían adivinar los PIN ocultos y hasta qué punto. 

En promedio, los encuestados respondieron con una precisión de solo el 7,92%, lo que resulta ineficaz para realizar ataques de este tipo. 

Por: Bill Toulas

Fuente: https://www-bleepingcomputer-com.cdn.ampproject.org/c/s/www.bleepingcomputer.com/news/security/credit-card-pins-can-be-guessed-even-when-covering-the-atm-pad/amp/

Autor / Redactor / Director