Fiabilidad

Cómo la IA puede escuchar lo que tecleas y descifrar tus secretos

Resumen

La desconcertante era de las "teclas susurrantes", en la que la inteligencia artificial descodifica hábilmente los sonidos de la escritura para obtener información personal en secreto. Con una tecnología capaz de interceptar las pulsaciones de las teclas, la información sensible puede filtrarse aunque usted se sienta confiado en su seguridad. Se trata de una incómoda encrucijada de sonido, privacidad e inteligencia artificial, que subraya la necesidad de una mayor concienciación y protección en la era digital.

En esta era de la digitalización, los casos de ciberdelincuencia se han convertido en sucesos frecuentes. El ámbito de la ciberseguridad se ve constantemente acechado por diversas amenazas, como los ataques de phishing, las infecciones por malware o el robo de contraseñas, por citar algunas.

Sin embargo, un nuevo y desconcertante peligro ha surgido como resultado del rápido progreso de la inteligencia artificial.

La inteligencia artificial ha alcanzado la capacidad de discernir los sonidos de la escritura y descifrar el texto que se escribe.

Esta forma de ataque, conocida como ataques acústicos por canal lateral, supone una amenaza incipiente pero significativa para el ámbito digital. A los expertos les preocupa que plataformas de videoconferencia como Zoom, y el uso habitual de micrófonos incorporados, estén amplificando exponencialmente estos riesgos.

Destacados investigadores como Joshua Harrison, Ehsan Toreini y Maryam Mehrnezhad subrayan que, debido a los recientes avances en el aprendizaje profundo y al aumento de las actividades en línea a través de dispositivos personales, la amenaza de los ataques acústicos por canal lateral es más pronunciada que nunca.

¿Cómo funciona el snooping acústico?

El mecanismo que sustenta el ataque acústico implica el intrincado mapeo de las letras tecleadas a las emisiones auditivas generadas por las pulsaciones de teclas.

Cada vez que se pulsa una tecla, ésta emite una firma acústica distintiva, una compleja interacción de factores como la activación del interruptor de la tecla, la depresión de la propia tecla, la duración del sonido resultante e incluso los intervalos entre pulsaciones sucesivas.

Con todo ello, cada tecla de un teclado produce un perfil sonoro sutilmente único al ser pulsada, imperceptible para el oído humano pero portador de valiosa información sobre la pulsación concreta que se está ejecutando.

Sorprendentemente, los sistemas avanzados de inteligencia artificial son capaces de descifrar esta sinfonía de sonidos.

Analizando las grabaciones de audio que captan estas señales auditivas aparentemente mundanas, el sistema de inteligencia artificial puede reconstruir las letras, símbolos y números exactos que se han tecleado.

Una faceta preocupante de esta técnica es que cualquier dispositivo equipado con un micrófono puede ser víctima de esta forma de vigilancia encubierta, ya sea un ordenador portátil, un smartphone o cualquier otro aparato con capacidad de entrada de audio.

El sistema de IA, evaluado por investigadores de las universidades de Londres, Durham y Surrey, demostró un impresionante nivel de rendimiento. En concreto, cuando se probó en el teclado de un MacBook Pro, el sistema mostró una notable tasa de precisión del 93-95%. Su destreza residía en identificar las teclas exactas que se habían pulsado únicamente mediante el análisis de las grabaciones de audio correspondientes.

Exploración de las amenazas que plantean los ataques acústicos

La aparición del intrusismo acústico, facilitado por la capacidad de la inteligencia artificial para descifrar las pulsaciones de teclas a partir de los sonidos de tecleo, se ha convertido en un vector de ataque preocupante.

La adopción generalizada de aplicaciones de videoconferencia como Zoom, MS-Teams y Skype durante el auge del trabajo a distancia ha amplificado el riesgo de escuchas acústicas. En particular, la base de usuarios de Zoom se disparó de 10 millones en 2019 a más de 300 millones en 2020 solo en medio de la pandemia.

Los micrófonos de los dispositivos modernos tienen el potencial de capturar sin esfuerzo los sonidos de mecanografía, reenviándolos a las herramientas de vigilancia de IA. Esto aumenta significativamente la amenaza de ataques acústicos, permitiendo el robo de datos confidenciales como contraseñas, detalles financieros, información de tarjetas de crédito y mensajes confidenciales.

A menudo, los usuarios, sin saberlo, vocalizan información confidencial mientras participan en llamadas de audio/vídeo, sin darse cuenta de que un micrófono omnipresente está transmitiendo distintos sonidos de pulsaciones de teclas.

Aprovechando esto, los atacantes pueden desplegar algoritmos básicos de reconocimiento de voz para cribar estos flujos de audio, separando las voces para extraer los sonidos de tecleo. Las tecnologías de reducción del ruido mejoran aún más la calidad de las llamadas al eliminar el ruido de fondo y clarificar la recepción de las señales acústicas de pulsación de teclas. El espectro de riesgos asociados al espionaje acústico se amplía, afectando tanto a individuos como a redes empresariales enteras.

Algunos ámbitos en los que pueden utilizarse estos ataques

  • Los datos financieros y confidenciales sensibles son susceptibles de verse comprometidos, incluyendo, entre otros, números de la seguridad social, detalles de tarjetas de crédito, información de cuentas bancarias y contraseñas. Estas violaciones podrían contribuir al robo de identidad y a diversas formas de fraude financiero.
  • Los ciberdelincuentes tienen la capacidad de interceptar acústicamente las claves maestras de los gestores de contraseñas, lo que les permite descifrar bases de datos de identidad completas dentro de una organización.
  • Los casos de ataques de espionaje corporativo implican la escucha encubierta de planes de negocio, información confidencial de la empresa y detalles financieros.
  • Las empresas de tecnología publicitaria tienen el potencial de recopilar clandestinamente amplios datos personales y de comportamiento mediante el control encubierto de los patrones de escritura de los usuarios.
  • Toda la información personal se enfrenta a un alto riesgo, incluidos los detalles íntimos que podrían quedar expuestos o ser objeto de comercio. Esto supone una amenaza para profesionales como políticos, periodistas y abogados, y puede llevar a situaciones embarazosas y dañar la reputación.

¿Cómo protegerse?

La vigilancia y la precaución del usuario son las consideraciones primordiales para salvaguardar su privacidad.

Cuando se utilizan aplicaciones de videochat, es imperativo gestionar hábilmente los micrófonos, desplegar la detección de anomalías, emplear el cifrado y utilizar bloqueadores físicos de micrófonos, todo ello con el fin de evitar eficazmente las escuchas acústicas.

A continuación se exponen algunas de las medidas de seguridad que deben seguirse.

  • Utilice contraseñas altamente aleatorias y seguras.
  • Introduzca las contraseñas en silencio.
  • Active la autenticación de dos factores o multifactorial.
  • Utilice dispositivos de enmascaramiento de audio.
  • Abstenerse de introducir información sensible durante las videollamadas.
  • Preferir teclados equipados con blindaje acústico.
  • Emplear teclados sensibles al tacto.
  • Incorporar sonidos ambientales de fondo.

¿Debemos preocuparnos realmente?

Aunque el riesgo es una presencia constante, puede que nuestra preocupación no sea tan grave como parece en un principio.

En primer lugar, la eficacia de estos métodos depende en gran medida de la adquisición de un conjunto adecuado y distinto de datos de muestra, un criterio que varía en función de los distintos sistemas, como smartphones, tabletas, MacBooks o teclados externos.

Otro aspecto que influye es el estilo de tecleo de cada persona, que va desde pulsaciones enérgicas hasta toques suaves. Esta variación en la dinámica del sonido puede poner a prueba la precisión de los dispositivos de captura de sonido. En consecuencia, construir un conjunto de datos precisos que se ajusten a los patrones de escritura y al teclado de cada uno se convierte en una tarea compleja.

Además, interpretar la secuencia de sonidos capturados y distinguir entre elementos como contraseñas y direcciones de correo electrónico plantea un reto formidable. Algunos modelos de IA también pueden tener dificultades para discernir entre teclas específicas como “Mayús” o “Ctrl”.

Conclusión

El auge de los ataques acústicos por canal lateral supone un cambio potencialmente transformador en el ámbito de las ciberamenazas. Estas técnicas de escucha acústica ponen en tela de juicio los fundamentos mismos de la privacidad y la confidencialidad durante la introducción de datos.

Mientras que los usuarios pueden sentirse seguros cuando se restringe el acceso visual, la interpretación de los sonidos de las teclas puede comprometer entornos supuestamente seguros.

Los algoritmos de aprendizaje automático, que han sido entrenados con fragmentos de audio de pulsaciones, muestran una asombrosa destreza en la extracción de información textual.

Diversas investigaciones han demostrado niveles de precisión superiores al 90% a la hora de aislar las pulsaciones de teclas a partir de datos de audio, por lo que para hacer frente a esta amenaza es necesario aplicar estrategias defensivas innovadoras y muy avanzadas.

Temas relacionados

Kaushik Pal
Editor

Kaushik es un arquitecto técnico y consultor de software con más de 23 años de experiencia en análisis de software, desarrollo, arquitectura, diseño, pruebas e industria de capacitación. Tiene interés en nuevas tecnologías y áreas de innovación, centrándose en arquitectura web, tecnologías web, Java/J2EE, código abierto, WebRTC, big data y tecnologías semánticas. Ha demostrado su experiencia en análisis de requisitos, diseño e implementación de arquitecturas, preparación de casos de uso técnico y desarrollo de software. Su experiencia ha abarcado diferentes sectores como seguros, banca, aerolíneas, envíos, gestión de documentos y desarrollo de productos, entre otros. Ha trabajado con una amplia…