Las cerraduras convencionales son relativamente fáciles de abrir si ha pasados suficiente tiempo dominando la habilidad, pero un grupo de investigadores de la Universidad Nacional de Singapur ha facilitado aún más la tarea. Si puedes usar tu teléfono para grabar un sonido, puedes capturar toda la información que necesitas para crear un duplicado funcional de una llave.
Esta vulnerabilidad, que es más bien un uso de la tecnología moderna para comprometer una tecnología obsoleta, fue descubierta por la investigadora de sistemas ciberfísicos Soundarya Ramesh y su equipo de la Universidad Nacional de Singapur. El ataque, bautizado con el nombre de SpiKey, funciona en lo que se conoce como cerraduras de tambor de pines, que se abren con una llave con un patrón de muescas único en el borde. A medida que la llave se desliza dentro de la cerradura, las muestras empujan seis pasadores de metal con resorte a diferentes alturas que, cuando están alineados correctamente, permiten que un tambor gire y abra la cerradura. Es uno de los tipos de cerraduras más comunes que existen, y se usan en cualquier cosa, desde puertas hasta candados, lo que hace que este ataque sea especialmente preocupante.
Para abrir una cerradura de tambor de pines sin llave, un cerrajero usa un conjunto especializado de herramientas (o una ganzúa) para ajustar manualmente la altura de cada pasador, uno por uno, hasta que descubre la disposición única necesaria para que el tambor gire. La técnica SpiKey es mucho más fácil y requiere poca o ninguna habilidad especial, aparte de los entresijos de operar una impresora 3D.
El equipo de investigación descubrió que los sonidos que hacen las muescas de una llave cuando chocan con los pasadores con resorte mientras se insertan en una cerradura, y el tiempo entre cada clic metálico, pueden analizarse y someterse a ingeniería inversa para determinar la forma de la llave, o al menos una coincidencia cercana. Si bien una cerradura de seis pines tiene cerca de 330.000 formas de llave posibles, el ataque SpiKey puede reducir las posibilidades a solo tres, que son relativamente fáciles de imprimir y probar.
Sin embargo, existen algunos desafíos para poner en práctica la técnica. El software SpiKey tiene incorporadas algunas correcciones de errores, pero sobre todo requiere que se inserte una llave en una cerradura a una velocidad constante para que los sonidos grabados se analicen con éxito y se sometan a ingeniería inversa. Si te preocupa que alguien use la técnica para entrar a tu casa, de ahora en adelante, simplemente usa movimientos bruscos erráticos al insertar la llave en el cerrojo. El atacante también tiene que estar muy cerca de la cerradura si usa un teléfono para grabar los sonidos, para obtener suficiente fidelidad de audio para que el software haga su trabajo correctamente, a menos de 10 cm de distancia, lo que hace que realizar un ataque encubierto con SpiKey sea muy desafiante. Pero los investigadores sugieren que un malware instalado en el teléfono de un objetivo podría usarse para grabar los sonidos de una cerradura que está siendo abierta. También un timbre inteligente, a menudo montado justo al lado de una puerta, podría verse comprometido y usarse para grabar los sonidos necesarios. .
Eso, asumiendo que el área circundante sea relativamente tranquila, sin tráfico u otros sonidos que puedan comprometer la grabación. No es un ataque infalible, al menos no todavía, por lo que de momento puedes mantenerte a salvo con solo ponerte a cantar cada vez que llegues a casa y abras la puerta de entrada, suponiendo no lo hagas ya.