El PIN de la tarjeta se puede adivinar incluso si cubre el teclado del cajero automático con la mano

Al retirar o depositar dinero en un cajero automático, o simplemente verificar el saldo de su cuenta, debe asegurarse de que nadie esté mirando cuando ingrese su PIN. Pero eso no parece ser suficiente.

Investigadores de la Universidad de Padua, Italia, han demostrado que es posible entrenar un algoritmo de aprendizaje profundo para fines especiales, de modo que pueda adivinar los códigos PIN de las tarjetas a partir de videos de personas que usaron un cajero automático. De esta manera, los investigadores pudieron adivinar el PIN en el 41% de los casos, incluso cuando el teclado estaba cubierto a mano en la grabación.

El aprendizaje profundo es una función de la inteligencia artificial (IA) que imita el funcionamiento del cerebro humano en el procesamiento de datos y la creación de patrones en la toma de decisiones, que es la tecnología ideal para un algoritmo que debe adivinar contraseñas.

El experimento se realizó en una computadora con un procesador Xeon E5-2670 con 128 GB de RAM y tres Tesla K20m con 5 GB de RAM cada uno, componentes costosos comúnmente usados ​​en centros de datos.

La primera fase del estudio consistió en realizar una réplica del ATM objetivo que se utilizó en el laboratorio, ya que las dimensiones específicas y el espacio entre las claves de diferentes ATMs son cruciales en el entrenamiento del algoritmo. El modelo de aprendizaje profundo se entrenó con 5,800 videos de 58 personas diferentes que ingresaron sus PIN de tarjeta de cuatro y cinco dígitos. El algoritmo mostró combinaciones y probabilidades de precisión.

Los investigadores analizaron tres intentos de adivinar el algoritmo por prueba, que es la cantidad habitual de errores que las personas podrían cometer antes de bloquear una tarjeta. Durante estos intentos, el algoritmo pudo reconstruir la secuencia correcta para los PIN de cinco dígitos y el 41% para los PIN de cuatro dígitos en el 30% de los casos.

El entrenamiento de algoritmos, además de poder predecir qué teclas se presionaron en función del movimiento de los sujetos, también enseñó al modelo de aprendizaje profundo a excluir las teclas en función de la posición de la mano de la persona grabada.

La posición de la cámara también resultó importante en el estudio: colocar el dispositivo de grabación en un pequeño orificio en la parte superior del cajero automático era una posición ideal para este método. Si el dispositivo de grabación puede grabar sonido, el algoritmo se puede entrenar para identificar la clave y por el sonido, que es ligeramente diferente para cada clave, por lo que las predicciones son mucho más precisas.

El estudio mostró que solo cubrir los teclados en los cajeros automáticos no es una protección suficientemente efectiva, dado el futuro en el que los delincuentes podrían usar estos algoritmos para robar datos, pero puede ayudar a reducir el riesgo. El porcentaje de cobertura reduce significativamente la precisión de la predicción: un porcentaje de cobertura del 75% da una precisión de 0,55 de un máximo de 1 para cada intento, mientras que la cobertura total (100%) reduce la precisión a 0,33.

Los investigadores dicen que si un banco ofrece la opción de elegir un PIN de cinco dígitos en lugar de uno de cuatro dígitos, se debe elegir uno más largo. Puede que sea más difícil de recordar, pero es mucho más seguro.

La propuesta del investigador para reducir el riesgo es utilizar teclados virtuales y aleatorios en los cajeros automáticos en lugar del mecánico estándar. Aunque esta solución es una pesadilla logística para los bancos, con los costes que implica el cambio, es la mejor forma de evitar que dichos algoritmos se conviertan en un gran peligro en el futuro.

Curiosamente, los investigadores realizaron el mismo estudio con 78 personas para determinar si las personas podían adivinar un PIN oculto. En promedio, los participantes del estudio respondieron con una precisión de solo el 7,92%, lo que es insuficiente para realizar ataques de este tipo.



Source: Informacija.rs by www.informacija.rs.

*The article has been translated based on the content of Informacija.rs by www.informacija.rs. If there is any problem regarding the content, copyright, please leave a report below the article. We will try to process as quickly as possible to protect the rights of the author. Thank you very much!

*We just want readers to access information more quickly and easily with other multilingual content, instead of information only available in a certain language.

*We always respect the copyright of the content of the author and always include the original link of the source article.If the author disagrees, just leave the report below the article, the article will be edited or deleted at the request of the author. Thanks very much! Best regards!