noticias

30 Septiembre 2016

La seguridad en los «smartphones»: huella dactilar frente al reconocimiento ocular

Los expertos en seguridad informática apuestan por soluciones que combinen dos factores.

Los sistemas de seguridad basados en contraseñas no han muerto, al contrario, siguen siendo uno de los principales métodos de acceso a los servicios de internet y a los dispositivos electrónicos. Los fabricantes, a lo sumo, han visto las orejas al lobo y han asumido las demandas de los consumidores para introducir mecanismos más robustos que intenten poner freno a posibles intromisiones. En el ámbito de la movilidad, salvo excepciones, comienzan a popularizarse los sensores biométricos en donde se almacena la huella dactilar, la impresión visible que se encuentran en los dedos de los seres humanos y que se utilizan como medio de identificación de personas. Pero también empiezan a surgir otras propuestas. La biometría, en efecto, ha llegado para quedarse.

Los expertos en seguridad informática suelen ser tajantes al respecto: no existe nada 100% seguro. Siempre se deja algún resquicio que pueden aprovechar los ciberdelincuentes. Frente a ellos, únicamente queda el desafío de mejorar los sistemas de los servicios y dispositivos que utilizamos de forma habitual y que, por regla general, almacenan información sensible. Uno de los primeros modelos de teléfono móvil inteligente en introducir un lector de huellas dactilares fue el Toshiba G500 en 2007. Vinieron otros tantos, como el Motorola Atrix (2011) cuyo objetivo era desbloquear el terminal. No fue, sin embargo, hasta la llegada del iPhone 5S (2013) cuando el mundo de la tecnología se rindió ante una solución que se ha visto solvente y cómoda. Como esta industria es, a veces, tan desagradecida, hubo un intento, en 2002, que se acercaba a esta visión futurista: el IPAQ para PocketPC de HP.

En cualquier caso, los sensores biométricos ya se pueden ver en los teléfonos más avanzados del mercado y en algunos de gama media. El turno ha sido, ahora, para el sistema de reconocimiento ocular, como que se está presente en el Galaxy Note 7, de Samsung, que pese a los problemas técnicos derivados de sus baterías defectuosas el terminal ha introducido novedades importantes. ¿Cuál de ambos métodos se impondrá? A día de hoy, todo apunta a que por comodidad y buen rendimiento la huella dactilar.

Los expertos dudan de que estos lectores de huellas dactilares presentes en el entorno móvil sean totalmente seguros. Se han difundido experimentos y casos de suplantación de identidad únicamente realizando copias de la marca del propietario. Las distintas modalidades biométricas están, todavía, en diferentes etapas de maduración. El reconocimiento por huellas dactilares se lleva usando desde hace más de un siglo, mientras que el reconocimiento por iris no tiene más de una década de utilización. «Los sistemas tradicionales basados en contraseñas han demostrado lo buenos que son», ironiza Luis Corrons, director técnico de PandaLabs, pero «no quiere decir que vayan a desaparecer».

En su opinión, para que una tecnología u otra triunfe es crucial que sea fácil de usar y, por ahora, la huella dactilar es mucho más cómoda para los usuarios. «Puede que haya sistemas más seguros, pero para que se implementen si no es cómodo de usar no se va a imponer», considera. La tecnología actual permite almacenar la huella de manera precisa y rápida, lo que ha permitido que los fabricantes de telefonía móvil apuesten por este mecanismo en sus lanzamientos. Sin embargo, los expertos creen que esta marca (la huella) se va dejando en muchos sitios de manera constante y, en algún caso, «se ha demostrado que es fácil de copiar y hacernos pasar por otra persona y utilizarla», asegura a ABC. «Cada vez que agarras con la mano el dispositivo, lo llenas de tus propias huellas. Con lo que casi cualquier delincuente que conozca algunos métodos muy poco tecnológicos puede duplicar nuestra huella y usarla para desbloquearte el teléfono».

Frente a esta postura, el reconocimiento ocular, aún en una profunda fase de evolución, se empieza a ver en algunos dispositivos. Como aspecto positivo, esta modalidad -dice Corrons- es más difícil de «hackear» pero, por contra, es más incómodo de utilizar. «No vamos la huella del ojo en todos los sitios, aunque se tomen imágenes a grandes resoluciones, pero es más incómodo y forzado, con lo cual tengo mis dudas que vaya a extenderse en el mundo de la movilidad. De cara a acceso a sitios seguros parece más seguro», sostiene. «La huella dactilar es más insegura que el sistema reconocimiento ocular» desde el punto de vista de copiar la identificación.

Según el especialista de PandaLabs, dependiendo del momento y la tarea a llevar a cabo es recomendable utilizar un mecanismo u otro. Por ejemplo -dice- para realizar pagos móviles es preferible servirse de la huella dactilar, aunque la mejor opción es una solución combinada, es decir, introducir la huella y el iris para acceder a la información. Esto es, apostar por una verificación de segundo factor. «La experiencia me dice que todo es hackeable, para añadir más seguridad no es simplemente encontrar un único mecanismo, sino dos sistemas; la combinación de dos suele hacer que sea mucho más difícil».

El robo bancario, en el punto de mira

En otros entornos como los cajeros bancarios el uso de la biometría entraña ciertas dudas. Los expertos de la firma Kaspersky Lab han analizado cómo los ciberdelincuentes podrían explotar las nuevas tecnologías de autenticación previstas por los bancos. Aunque muchas organizaciones financieras consideran las soluciones basadas en biometría como el futuros, los ciberdelincuentes pueden tener a su disposición otra oportunidad para robar información sensible.

Porque los cajeros automáticos llevan años en el punto de mira de los ciberestafadores a la caza de datos de tarjetas de crédito. Lo hicieron mediante los llamados «skimmers», que se trata de aparatos caseros conectados capaces de robar información de la banda magnética de la tarjeta y el código pin con ayuda del teclado PIN o una cámara web de un cajero automático falso. Los expertos recuerdan que, con el tiempo, el diseño de estos dispositivos ha mejorado para hacerse menos visible. «Con la implementación de las tarjetas de chip y pin, se hace mucho más difícil, pero no imposible, clonarlas», aseguran.

De acuerdo con una investigación de Kaspersky Lab actualmente existen al menos doce vendedores que ofrecen este tipo de aparatos capaces de robar las huellas dactilares de las víctimas. Y al menos tres de ellos ya están analizando dispositivos que podrían obtener ilegalmente datos de los sistemas de reconocimiento de venas de la mano y del iris.

«El problema de la biometría es que es imposible cambiar la imagen de la huella digital o el iris, a diferencia de las contraseñas o códigos PIN que pueden ser fácilmente modificados en caso de estar comprometidos. Por lo tanto, si los datos se ven comprometidos una vez, no será seguro usar ese método de autenticación de nuevo. Es muy importante mantener dichos datos protegidos y transmitirla de manera segura. Los datos biométricos se registran también en los pasaportes modernos - llamados pasaportes electrónicos - y visados. Por lo tanto, si un ciberatacante roba un pasaporte electrónico, tendrá acceso a los datos biométricos de esa persona. Roban la identidad de una persona», afirma en un comunicado Olga Kochetova, experta en seguridad de Kaspersky Lab