A la izquierda el teclado de un cajero; a la derecha la imagen infrarroja, tomada con una cámara térmica después de haber sido utilizado.
No es un método perfecto ni muy práctico, pero hay que reconocer que es bastante ingenioso. Lo ha estudiado un grupo de investigadores del Departamento de Ciencias Informáticas de la Universidad de California en San Diego.
Se trata de utilizar una cámara térmica, que revela el calor de los objetos, para averiguar qué teclas se han pulsado en el cajero automático al introducir el número secreto o PIN de la tarjeta. Es decir, a cuáles de ellas se ha transferido calor del cuerpo al pulsarlas.
Los autores del estudio pudieron leer el PIN en el 80 por ciento de los casos si usaban la cámara justo después de que el cliente se marchara; y hasta el 50 por ciento de las veces si transcurría hasta un minuto. Más allá las posibilidades de acertar se reducen a un 20 por ciento.
El método sería aplicable, en teoría, todo es en teoría, en cerraduras por clave y similares.
Entre los factores que degradan la efectividad del método están los materiales de las teclas (plástico o goma o metal), la forma en que las personas pulsan las teclas y toca el cajero y hasta la presión sanguínea del usuario, que contribuye a transferir más o menos calor durante su utilización. Además operaciones más o menos largas –incluso al teclear la cantidad de dinero a retirar– pueden dificultar averiguar qué las teclas correspondientes al PIN, y el orden.
Lo anterior sin contar el coste de este tipo de cámaras (~12.000 euros) en comparación con una cámara en miniatura convencional.
¡Ah! y el hecho de que se puede anular el hackeo simplemente dejando reposar la mano sobre el teclado al terminar, para calentar bien todas las teclas.
El estudio está en [PDF] Heat of the Moment: Characterizing the Efficacy of Thermal Camera-Based Attacks, vía Technology Review.