Al escribir en el teclado de una computadora de escritorio o laptop mientras se tiene una llamada de Skype, de acuerdo con investigadores de las universidades de California, Irvine e Italia, el usuario podría ser vulnerable a espionaje electrónico.

En un nuevo estudio, los investigadores describen una violación a la seguridad mediante las pulsaciones de las teclas o emanaciones acústicas que pueden ser grabadas durante una llamada o videollamada de Sype y posteriormente convertirlas a texto.

“Skype es usado por un gran número de personas en todo el mundo” dijo el coautor Gene Tsudik, catedrático de informática en la UCI. “Hemos demostrado que durante un video o audio conferencia de Skype, las pulsaciones del teclado están sujetos a un registro y análisis por tus compañeros de llamadas. Ellos pueden aprender exactamente que estás escribiendo, incluyendo información confidencial como contraseñas y cosas personales.”

Tsudik especifica que tal ataque no es posible en teclados de pantalla táctil u holográficos y teclados numéricos. Puesto que la transferencia de información a través de Skype está cifrada, es extremadamente difícil para alguien que no es parte de la llamada identificar las pulsaciones de las teclas. Sin embargo, explica escenarios hipotéticos en donde la amenazas a la ciberseguridad puede ser muy real.

“Lo interesante es que las personas que hablan por Skype normalmente no son amigos, y no siempre confían entre ellos”, dice Tsudik. “Imagina una llamada entre abogados que están en lados opuestos en un caso legal o competidores comerciales o diplomáticos representado a diferentes países.”

Los expertos en seguridad siempre han sabido de las habilidades de los atacantes para capturar signos acústicos de máquinas de escribir y teclados de computadores para propósitos nefastos. Varias marcas de teclados, desde Apple a HP hasta Logitech, emiten sonidos distintivos. Esa información junto con los conocimientos del estilo de escritura del usuario podrían ser suficientes para permitir a espías a recrear todo un texto.

“Es posible construir un perfil de las emanaciones acústicas generadas por cada letra en un teclado”, dice Tsudik. “Por ejemplo, la T en una MacBook Pro “suena” diferente de la misma letra en otro teclado hecho por otro fabricante. La R que está al lado de la T suena diferente en el mismo teclado.” Tsudik dice que si el sonido de alguien escribiendo es grabado, cada tecla puede ser analizada y emparejada a una tecla usando técnicas de aprendizaje automático.

El reto en estos ataques ha sido encontrar una manera de colocar un dispositivo de grabación cerca del teclado de la computadora de la víctima. Ahora la grabación puede hacerse remotamente si la persona está escribiendo mientras utiliza aplicaciones de voz sobre IP, como Skype, Google Hangouts o Vonage.

El estudio encontró que si los atacantes tienen algún tipo de conocimiento de estilos de escritura e información sobre los teclados, tienen un 91.7% de exactitud en adivinar la tecla presionada por la víctima. Si ellos son ajenos a los estilos de escritura y los teclados, aun así tienen un 41.89% de probabilidad de identificar cuales teclas han sido presionadas, ya que el idioma inglés tiene una distribución comicidad de frecuencia de letras.

“Nuestro trabajo es otro clavo en el ataúd en los teclados tradicionales que son muy comunes en las laptops modernas y computadoras de escritorio,” dice Tsudik. “Muestra claramente peligros de privacidad previamente inadvertidas en las populares tecnologías voz sobre IP en conjunto con los teclados.”

Los teclados en pantallas táctiles en dispositivos más pequeños, como en teléfonos inteligentes y tabletas, no son susceptibles a estos ataques. Teclados de proyección laser u holograficos también son inmunes.

Los coautores en el estudio de Tsudik son Daniele Lain, estudiante de posgrado de la Universidad de Padua; Alberto Compagno, estudiante de doctorado de la Universidad Sapienza de Roma; y Mauro Conti, profesor adjunto de la Universidad de Padua.