No existe un servicio digital 100% seguro, por mucho que intenten venderlo o aparentarlo. El eterno juego del gato y el ratón continua.
Un sistema aislado sin conexión a internet tampoco, otro día hablaremos como Stuxnet fue capaz de introducirse en los sistemas industriales de control de centrales nucleares iraníes, aunque parezca película no lo es.
Nos hemos acostumbrado a no usar solo usuario y contraseña, algo bueno que ha ido evolucionando bajo la misma premisa. Algo que sabemos con algo que tenemos o somos (MFA, Multi Factor Authentication), el móvil habitualmente aunque pueden usarse otros métodos combinados: token USB, huella, rostro, voz…
Por ejemplo, introduces usuario y contraseña en una web o aplicación, se solicita un código aleatorio de una app móvil y tu huella digital. Si, los bancos también han ido dejando de lado la verificación por SMS…
Hoy toca una nueva palabrota informática: pixnapping, lo podemos traducir como «secuestro de imágenes»; puede ser usada para mensajes de chat, códigos de autenticación en dos pasos (2FA, Two Factor Authentication), los correos electrónicos… todos son «visibles».
Esta nueva investigación se basa en un ataque lateral a la API de Android, por traducirlo: las propias herramientas e instrucciones que Android pone a disposición de los desarrolladores son las que han permitido que sea posible.
Imagina que tienes una hoja con una palabra escrita y alguien, sin tocarla directamente, hace pequeños toques en partes muy concretas de la hoja para que cambie apenas la forma de las letras. Esos toques son tan sutiles que no notas nada a simple vista, pero al repetirlos y medir lo que pasa después, se puede deducir qué palabra estaba escrita.
Aplicado a la pantalla del móvil: la app maliciosa genera micro-cambios visuales muy localizados justo donde aparece el dato (por ejemplo, el código 2FA). Esos cambios no son un gran parpadeo visible, sino manipulaciones mínimas del contenido gráfico en esa zona. El objetivo no es mostrar algo nuevo, sino provocar un efecto físico o lógico que, en el siguiente paso, pueda ser medido para recuperar lo que estaba ahí.
No roba la imagen directamente, sino que provoca una respuesta del teléfono que filtra información. Al repetir la operación muchas veces y combinar las mediciones, se puede reconstruir letra a letra o píxel a píxel lo que estaba en pantalla.
Como si pudiera hacer una «captura de pantalla» como resultado final, magia.
Si todo esto te suena ciencia ficción para tu empresa, llamamos y vemos cómo podemos mejorar de manera continua…
