Este problema es más político que técnico.
La organización tiene muchas computadoras que se conectan a través de un navegador web a una base de datos central. Regularmente, los clientes se quedan desatendidos con acceso físico a las terminales durante más de 15 minutos a la vez. Informé que son vulnerables a los keyloggers de hardware. La respuesta oficial de TI fue: "Somos conscientes de esa posibilidad y tenemos una solución. Obtener contraseñas no haría ningún bien a un atacante". Pero los altos mandos no le permitieron decir nada más: la seguridad en la oscuridad.
El punto es: creo que están faroleando. No sé cuál es su solución, pero hay cientos de vectores de ataque abiertos cuando tienes acceso físico. ¿Realmente no están preocupados por eso porque el riesgo (probabilidad de ataque) es lo suficientemente bajo como para superar el costo de mejorar la seguridad física? ¿Cómo consigo que escuchen? ¿Vale la pena el esfuerzo?