La publicación explica cómo entrenaron un modelo de inteligencia artificial capaz de identificar los sonidos generados por las pulsaciones del teclado de un ordenador.
Durante las pruebas, los investigadores, descubrieron que el modelo de IA que habían desarrollado era capaz de identificar una contraseña con una precisión del 95%. La precisión baja al 93% cuando usaron herramientas como Zoom para grabar el audio que permitía entrenar al sistema.
Hay que tener en cuenta que el sistema no funciona para cualquier teclado arbitrario: debe ser entrenado para cada teclado de manera específica, con referencias al sonido de cada tecla, ya que cada uno tiene una sonoridad distinta. En el caso de la investigación, usaron un MacBook Pro de 2021.
Este entrenamiento lo realizaron grabando el audio de manera local y remota. Para grabar el audio con un micrófono local usaron un iPhone 13 situado a 17 centímetros del portátil sobre una pieza de microfibra para reducir la vibración.
En el caso de la prueba de la grabación en remoto, usaron la aplicación Zoom para recoger el audio de las pulsaciones del teclado.
Para realizar la investigación, presionaron 36 teclas de manera individual, 25 veces cada una, variando la presión y el dedo utilizado para teclear. Esta fue la base para que el modelo de inteligencia artificial reconociera qué caracter estaba asociado al sonido de cada tecla.
Había diferencias sutiles en las ondas acústicas producidas para reconocer cada una con una gran precisión.
El grupo de investigadores, encabezados por Joshua Harrison, Ehsan Toreini y Maryam Mehrnezhad, explican que también tiene puntos débiles: hay cosas que se pueden hacer para reducir la precisión de este sistemas, que incluyen por ejemplo cambiar la manera en la que se teclea. El tecleo táctil reduce la capacidad de precisión de reconocimiento entre un 64% y un 40%.
Por contra, los teclados mecánicos, que tienen un sonido alto, son los más fácilmente reconocibles, pero incluso los teclados más silenciosos pueden ser susceptibles.
Como medidas de seguridad o protección contra posibles ciberataques que usen esta técnica (a la que han denominado “acoustic side channel attack» o «ataque de canal lateral acústico») recomiendan implementar una solución de software que permita generar falsas pulsaciones de teclado.
También recomiendan usar el doble factor de autenticación, utilizando un segundo dispositivo (o autenticación biométrica) para introducir los datos.
