Hace pocos dias un grupo de investigadores de las universidades de Padua (Italia) y Delft (Países Bajos) dio a conocer mediante una publicación información sobre un método para usar el aprendizaje automático para recrear un código PIN ingresado a partir de una grabación de video de un área de entrada en un cajero automático cubierto por una mano.
Al ingresar un PIN de 4 dígitos, la probabilidad de predecir el código correcto se estima en un 41%, dada la posibilidad de realizar tres intentos antes del bloqueo. Para los códigos PIN de 5 dígitos, la probabilidad de predicción fue del 30%.
Ademas, se realizó otro experimento en el que 78 voluntarios intentaron predecir el código PIN a partir de videos grabados similares. En este caso, la probabilidad de una predicción exitosa fue del 7,92% con tres intentos.
En la descripción del método empleado, se menciona que cuando se cubre el panel digital del cajero automático con la palma de la mano, la parte de la mano que se está ingresando permanece descubierta, lo que es suficiente para predecir los clics cambiando la posición de la mano y el desplazamiento de los dedos no completamente cubiertos.
Los ATM representan los más utilizados en el sistema de retiro de efectivo. El Banco Central Europeo reportó más de 11 mil millones de retiros de efectivo y transacciones de carga/descarga en los cajeros automáticos europeos en 2019.
Aunque los cajeros automáticos han experimentado diversas evoluciones tecnológicas, los números de identificación personal (PIN) siguen siendo los métodos de autenticación más común para estos dispositivos.Desafortunadamente, el mecanismo del PIN es vulnerable a ataques realizados a través de cámaras ocultas instaladas cerca del cajero automático para atrapar el teclado.
Al analizar la entrada de cada dígito, el sistema excluye las teclas que no se pueden presionar, teniendo en cuenta la posición de la mano que cubre, y también calcula las variantes de presión más probables en función de la posición de la mano que presiona, en relación con la ubicación de las llaves. Para aumentar la probabilidad de detectar una entrada, también se puede grabar un sonido de clic, que es ligeramente diferente para cada tecla.
El experimento utilizó un sistema de aprendizaje automático basado en la aplicación de una red neuronal convolucional (CNN) y una red neuronal recurrente basada en la arquitectura LSTM (Long Short Term Memory). CNN fue responsable de extraer datos espaciales para cada fotograma, y LSTM usó estos datos para extraer patrones que varían en el tiempo. El modelo fue capacitado en grabaciones de video de entrada de código PIN por 58 personas diferentes utilizando los métodos de cobertura de entrada elegidos por los participantes (cada participante ingresó 100 códigos diferentes, es decir, se utilizaron 5800 ejemplos de entrada para la capacitación). En el transcurso de la capacitación, se reveló que la mayoría de los usuarios utilizan una de las tres formas principales de ocultar la entrada.
Para entrenar el modelo de aprendizaje automático se utilizó un servidor basado en un procesador Xeon E5-2670 con 128 GB de RAM y tres tarjetas Tesla K20m con 5 GB de memoria cada una. La parte del software está escrita en Python usando la biblioteca Keras y la plataforma Tensorflow . Dado que los paneles de entrada de ATM son diferentes y el resultado de la predicción depende de características como el tamaño de la clave y la topología, se requiere una capacitación separada para cada tipo de panel.
Como medida para protegerse contra el método de ataque propuesto, se recomienda utilizar códigos PIN de 5 dígitos en lugar de 4 si es posible, y también tratar de cubrir la mayor parte del espacio de entrada con la mano (el método sigue siendo eficaz si aproximadamente el 75% de el área de entrada se cubre con la mano). Se recomienda que los fabricantes de cajeros automáticos utilicen pantallas protectoras especiales que oculten la entrada, así como paneles de entrada no mecánicos, sino táctiles, la posición de los números en los que cambia aleatoriamente.
Finalmente si estás interesado en poder conocer más al respecto, puedes consultar los detalles en el siguiente enlace.