Inclinar tu móvil es todo lo que necesita un hacker para robarte el PIN

Entre huellas dactilares, acelerómetro, giroscopio y luz ambiental, los teléfonos incorporan numerosos sensores que muchas veces no sabíamos ni que estaban ahí. En total, 10 elementos que le permiten saber a nuestro pequeño amigo de bolsillo si ayer caminamos veinte o treinta minutos después del trabajo, a la velocidad que fuimos, si ahora es de noche o si hace frío o calor. El móvil también sabe cuándo lo giramos para ver una película o jugar a un juego. Y ni que decir tiene que, por supuesto, sabe dónde estamos en cada momento.

Un equipo de investigadores de la Universidad de Newcastle, en Reino Unido, han descubierto una vulnerabilidad relacionada con el giroscopio que incluyen todos los smartphones. Este sensor es el que se encarga de “chivar” si movemos el móvil a la izquierda o a la derecha, si le damos la vuelta o lo mantenemos en posición horizontal. Además, junto al acelerómetro, registra la aceleración angular y permite, por ejemplo, que la pantalla gire automáticamente al inclinar el móvil.

Los dos sensores funcionan de forma simultánea con el magnetómetro, que mide la intensidad del campo magnético alrededor del dispositivo. Es el mismo funcionamiento que el de una brújula para señalar el Norte o el Sur.

Gracias a estos tres sensores, el grupo de la Universidad de Newscastle dice tener un 74% de probabilidades de adivinar el PIN de un teléfono al primer intento. Al tercero cuentan con un 94%. Al quinto son infalibles. Solo necesitan que el dispositivo visite la web equivocada en el momento equivocado y se infecte del malware conveniente, uno que explota una vulnerabilidad de JavaScript a través del navegador.

Sin permiso, con autoridad para espiarte

Una vez infectado, los hackers pueden recopilar información de hasta 25 sensores del teléfono. Y no se termina ahí: los investigadores, además, han descubierto que en algunos buscadores basta con que el usuario tenga abierta la web desde la que se infectó y abra otra pestaña para espiar todo lo que haga allí. Los problemas crecen si por casualidad, desde esa pestaña estamos accediendo a nuestro banco o al correo.

“Precisamente porque las apps y las webs no necesitan pedir permiso para acceder a la mayoría de ellos [los sensores], programas maliciosos pueden ”conectar“ con tu sensor y usarlo para descubrir un amplio rango de información sensible sobre ti, como el tiempo de tus llamadas, actividades físicas e incluso tus acciones, PINs y contraseñas”, explica a The Guardian Maryam Mehrnezhad, una de las investigadoras del estudio.

Es habitual comprobar cómo, cada vez que nos bajamos o entramos en una app, esta nos pide permiso para acceder al micrófono, a nuestras fotos o la ubicación. No así las páginas webs que visitamos, que consideran que la información proporcionada por otros sensores no necesita de nuestra aprobación para ser compartida. Así que, cada sitio que la pide, la consigue. No son datos susceptibles de meternos en problemas, ¿no?

Redes neuronales que adivinan el número PIN

El equipo de Mehrnezhad ha desarrollado un sistema a partir de una red neuronal a la que entrenaron con los datos de un grupo de voluntarios, que ganaron 10 libras en Amazon por presentarse a la prueba. Primero, los investigadores estudiaron cómo cogían el móvil y después les pidieron introducir 50 números PIN diferentes, cinco veces.

“A pesar de los riesgos reales, cuando preguntamos a la gente qué sensores les preocupaban más, encontramos una correlación directa entre riesgo percibido y comprensión”, explica la investigadora. Los voluntarios dijeron que les perturbaba más la cámara y el GPS del teléfono que los sensores invisibles, a pesar de que Mehrnezhad y su equipo acabaran de demostrarles que su PIN y muchas otras cosas más estaban en peligro.

Cada acción del usuario, cada click, cada scroll y cada toque en el teléfono podía ser monitorizado por los investigadores, que también sabían en qué zona de una web estaban pinchando o qué estaban escribiendo en un momento determinado.

Y de nada sirve tener un iPhone: la investigadora asegura que sus descubrimientos también funcionan en Safari (el navegador de los teléfonos de Apple) y que la compañía de Tim Cook ya está avisada, al igual que Google. También avisa que, al encontrarse este tipo de sensores en numerosos dispositivos, como tablets, wearables o aparatos del Internet de las Cosas, “deben ser gestionados de forma apropiada y segura” porque “pueden revelar todo sobre ti”.