Los códigos secretos introducidos por los clientes de banca se pueden grabar utilizando el calor residual que queda en el teclado, según un grupo de investigadores de la UCSD (Universidad de California en San Diego, EE.UU.).

El estudio del grupo, presentado a principios de este mes en el Taller sobre Tecnologías Ofensivas USENIX, muestra que una cámara infrarroja digital puede leer los dígitos del número de identificación personal de un cliente en el teclado más del 80 por ciento de las veces si se utiliza inmediatamente. Y si la cámara se utiliza un minuto más tarde, afirma Keaton Mowery, estudiante de doctorado en ciencias informáticas de la UCSD, todavía puede detectar los dígitos correctos la mitad de las veces.

La investigación, que Mowery llevó a cabo con su compañero de estudios Sarah Meiklejohn y el profesor Stefan Savage, se basa en trabajos anteriores por el reconocido investigador de seguridad Michal Zalewski, quien en 2005 utilizó una cámara de infrarrojos para detectar los códigos introducidos en una caja fuerte con un candado. Aunque Zalewski fue capaz de detectar los códigos incluso después de cinco minutos, los investigadores de la UCSD encontraron que la probabilidad de extraer los dígitos de forma adecuada se reducía a un 20 por ciento después de 90 segundos.

El método de infrarrojos pueden eludir ciertas estrategias defensivas, como tapar el teclado. Sin embargo, el usuario del cajero puede evadir este tipo de vigilancia infrarroja simplemente colocando una mano sobre el teclado completo, calentando todas las teclas, señala Mowery. Y si un cajero automático también usa el teclado para introducir otros números, tales como la cantidad de dinero a retirar, eso contribuye a la creación de ruido adicional, afirma Meiklejohn.

El método también posee otras debilidades. "Con los teclados de plástico, pudimos detectar con fiabilidad qué botones se habían presionado, aunque en realidad es difícil determinar el orden", afirma Mowery. Incluso si la imagen fuera grabada inmediatamente después de que el usuario los hubiera introducido, el orden de los dígitos sólo fue detectable alrededor del 20 por ciento de las veces.

Y si el teclado es de metal, es mejor olvidarse del tema. "Básicamente, si dirigimos la cámara directamente al teclado de metal, nos muestra la huella térmica de nosotros, los operadores de cámara, en lugar de la del teclado mismamente", afirma Meiklejohn. "Sin embargo, no insistimos, ya que con el teclado de plástico sí funcionó. Es posible que alguien más pudiera resolver esos problemas. "

Al combinar todas estas deficiencias con el coste de una cámara de infrarrojos-2.000 dólares (1.384 euros) de alquiler al mes, cerca de 18.000 dólares (12.455 euros) si la compramos-la probabilidad de que alguien ataque un cajero automático de esta manera es baja, indica el investigador Zalewski. "Las cámaras en miniatura que funcionan con luz del día son mucho más simples y más fiables", afirma. "Atracar a la persona también lo es".