Cómo pueden hackear tu cuenta escuchando solo el sonido de las teclas que oprimes

La aparición de la inteligencia artificial ha abierto la puerta a una nueva generación de ataques informáticos capaces de vulnerar la privacidad de millones de personas. Un ejemplo alarmante es el método que permite descifrar lo que un usuario escribe solo mediante el análisis del sonido de su teclado.

Este fenómeno, conocido como ataque de canal lateral acústico, ha dejado de ser una mera hipótesis para convertirse en una amenaza real, según han demostrado recientes investigaciones.

Qué es un ataque de canal lateral acústico

Un ataque de canal lateral acústico consiste en aprovechar las ondas sonoras generadas por las teclas de un teclado para inferir la información escrita por el usuario. Para llevarlo a cabo, un atacante solo necesita obtener acceso al micrófono de la víctima, ya sea en un ordenador portátil, un teléfono móvil o incluso a través de aplicaciones de videollamadas.

Una vez controlado ese canal, el atacante registra el sonido de cada pulsación y utiliza algoritmos de inteligencia artificial para descifrar el texto.

Este tipo de espionaje no es completamente nuevo. Desde la década de 1950, distintas agencias de inteligencia utilizaron técnicas similares para interceptar comunicaciones cifradas.

Sin embargo, la diferencia fundamental reside en la capacidad de la inteligencia artificial moderna para analizar patrones acústicos con una precisión nunca vista, incluso en teclados de última generación cuyos sonidos resultan casi indistinguibles para el oído humano.

Cómo funciona este método de ciberataque

El proceso comienza cuando el atacante logra acceder al micrófono del dispositivo objetivo. Esta intrusión puede producirse mediante la instalación de un malware, la aceptación inadvertida de permisos en una aplicación o, incluso, mediante la explotación de vulnerabilidades en plataformas de videollamada. A partir de ese momento, cada vez que el usuario teclea, el sonido característico de cada tecla queda registrado.

Gracias a los avances en aprendizaje profundo, especialmente en modelos de redes neuronales con capas de autoatención, los atacantes pueden analizar espectrogramas para identificar patrones únicos en el sonido de cada tecla. Si bien para una persona resulta casi imposible distinguir entre la pulsación de una “a” y una “s”, para un modelo entrenado en estos espectrogramas cada tecla es única y reconocible.

Investigadores británicos realizaron en 2023 un experimento con un iPhone 13 mini situado a 17 centímetros de un MacBook Pro. El modelo de inteligencia artificial entrenado logró identificar correctamente lo escrito en el teclado en el 95% de los casos.

Cuando el ataque se realizó a través de una llamada en Zoom, la precisión solo descendió al 93%. Esto demuestra que ni siquiera es necesario estar físicamente presente: el espionaje remoto es perfectamente viable con las herramientas actuales.

Cómo evitar caer en este tipo de ciberataque

La prevención es el primer paso para mitigar este tipo de ataques. Es fundamental revisar los permisos que se otorgan a las aplicaciones, especialmente aquellos que permiten el acceso al micrófono. Desconfía de aplicaciones que soliciten permisos innecesarios o que provengan de fuentes no confiables.

Otra recomendación es la utilización de contraseñas complejas y aleatorias, que combinen mayúsculas, minúsculas, símbolos y números. Los algoritmos de ataque suelen tener dificultades para descifrar combinaciones en las que se pulsan varias teclas simultáneamente o se alternan caracteres especiales.

Modificar el estilo de escritura, como variar la presión sobre las teclas o el ritmo de tecleo, puede reducir la precisión del ataque.

El uso de la autenticación en dos pasos o mediante datos biométricos añade una capa extra de protección. De este modo, aunque un atacante logre descifrar la contraseña, no podrá acceder a la cuenta sin la segunda verificación.

En contextos donde sea imprescindible escribir información sensible, considera desactivar temporalmente el micrófono o utilizar dispositivos que no tengan acceso a él.