Translate

domingo, 16 de abril de 2017

¡CUIDADO! el lector de huella de los SMARTPHONES no es confiable

lector huella smartphones no confiable

Milagros de la comodidad

Los sensores para huellas digitales han hecho que los Smartphones se conviertan en milagros de la comodidad. El teléfono se desbloquea con solo tocarlo y no requiere una contraseña. Con servicios como Apple Pay o Android Pay, una huella puede bastar para comprar una bolsa de artículos del supermercado, una nueva computadora portátil o incluso un Aston Martin clásico con un valor de un millón de dólares. Además, al presionar con el dedo en una aplicación bancaria, el usuario puede pagar sus cuentas o transferir miles de dólares.

Enorme resquicio de seguridad

A pesar de su practicidad, esta hechicería también tiene un enorme resquicio de seguridad. Un equipo de investigadores de la Universidad de Nueva York y de la Universidad Estatal de Michigan publicó recientemente nuevos hallazgos que sugieren que se puede engañar con facilidad a los Smartphones por medio de huellas falsas que están hechas digitalmente y cuentan con muchas características comunes con las huellas humanas. En simulaciones por computadora, los expertos pudieron desarrollar un conjunto de “MasterPrints” (huellas maestras) artificiales que coincidieron hasta un 65 por ciento de las veces con huellas reales que se usan en los Smartphones.

Los investigadores no hicieron pruebas con Smartphones reales, y otros expertos en seguridad afirmaron que el índice de coincidencia sería significativamente menor en condiciones de la vida real. Sin embargo, los hallazgos generaron dudas sobre la efectividad que podía tener la seguridad de las huellas digitales en los Smartphones.


“Es verdad que no es tan preocupante como se ha presentado, pero es algo muy negativo”, opinó Andy Adler, profesor de sistemas e ingeniería computacional de la Universidad Carleton en Canadá. “Si lo único que quiero hacer es tomar tu Smartphone y usar Apple Pay para comprar cosas, o si puedo entrar a 1 de 10 Smartphones, las probabilidades no son malas”.

Escáneres para dedos

Una huella digital humana es difícil de falsificar en su totalidad, pero los escáneres para dedos que usan los Smartphones son tan pequeños que solo leen huellas parciales. Cuando un usuario configura la seguridad por medio de huellas en un iPhone de Apple o en un Smartphone con el software Android de Google, el dispositivo normalmente toma de ocho a 10 imágenes de un dedo para que sea más fácil lograr la coincidencia. Y muchos usuarios registran más de un dedo: por ejemplo, el pulgar y el dedo índice de cada mano.

2. lector huella smartphones no confiable
Muestras de huellas digitales que los investigadores de NYU y de la Universidad Estatal de Michigan compararon con las llamadas “MasterPrints”. Las líneas negras que están alrededor de una huella indican una coincidencia.

Para desbloquear el Smartphone, el dedo que se usa debe coincidir solo con una imagen almacenada, por lo tanto el sistema es vulnerable a coincidencias falsas.

“Es como si tuvieras 30 contraseñas y el atacante solo tuviera que hacer coincidir una”, afirmó Nasir Memon, profesor de ciencias de la computación e ingeniería de la Escuela Tandon de Ingeniería de NYU, y uno de los tres autores del estudio que fue publicado en IEEE Transactions on Information Forensics and Security. Los otros autores son Aditi Roy, becaria posdoctoral de la Escuela Tandon de NYU, y Arun Ross, profesor de ciencias de la computación e ingeniería de la Universidad Estatal de Michigan.

Guante mágico 

Memon afirmó que sus hallazgos indicaban que, si de alguna manera se podía crear un guante mágico con una huella maestra en cada dedo, se podría acceder del 40 al 50 por ciento de los iPhone dentro de las cinco pruebas que permite el teléfono antes de pedir la contraseña numérica, la cual es conocida como un número de identificación personal.

Apple señaló que las probabilidades de que hubiera una coincidencia falsa en el sistema de huellas digitales del iPhone eran de 1 en 50.000 con una huella introducida. Ryan James, un vocero de la empresa, dijo que Apple había hecho pruebas con varios ataques al desarrollar su sistema Touch ID, y que también había incorporado otras características de seguridad para prevenir las coincidencias falsas. Google se negó a hacer comentarios.

Tecnología de lector de huellas digitales

El riesgo verdadero es difícil de cuantificar. Apple y Google mantienen en secreto muchos detalles de su tecnología de huellas digitales, y la variedad de empresas que fabrican Smartphones Android puede adaptar el diseño estándar de Google, lo cual reduce el nivel de seguridad.

Stephanie Schuckers, profesora de la Universidad Clarkson, fue precavida al hablar de las implicaciones que podían tener los hallazgos de las huellas. Schuckers afirmó que los investigadores usaron un software comercial de medio alcance que fue diseñado para hacer coincidir huellas digitales completas, lo cual limita una capacidad más amplia de aplicación de los hallazgos.

“Para saber realmente cuál sería el impacto en un teléfono celular, habría que probarlo en uno”, señaló Schuckers. Mencionó que los fabricantes de Smartphones celulares y otras empresas que utilizan los sistemas de seguridad por medio de huellas digitales están estudiando técnicas para evitar las falsificaciones y detectar la presencia de un dedo verdadero, como buscar la sudoración o examinar patrones en capas más profundas de la piel. Por ejemplo, un nuevo lector de huellas digitales de Qualcomm utiliza ultrasonido.

3. lector huella smartphones no confiable
Aditi Roy, la autora principal de un nuevo trabajo sobre huellas digitales maestras que se podrían utilizar para desbloquear teléfonos inteligentes, examina datos en su computadora en la Escuela Tandon de Ingeniería de NYU. Credit Roger Kisby para The New York Times

Los fabricantes también mencionaron que la facilidad para desbloquear un teléfono tocándolo con el dedo significaba que había más usuarios que realmente activaban las características de seguridad en vez de dejar sus Smartphones desbloqueados: un hábito común en los primeros días de los Smartphones.

Ross reconoció las limitaciones de su trabajo. “La mayoría de los vendedores de Smartphones de la actualidad no nos da acceso a la imagen de la huella digital”, dijo. No obstante, el hallazgo esencial del equipo acerca de las vulnerabilidades de esta tecnología es significativo, opinó Chris Boehnen, director del programa Odin del gobierno federal.


“Lo preocupante de la situación es que alguien se puede encontrar un teléfono y la barrera para efectuar un ataque es bastante baja”, afirmó Boehnen.

Los fabricantes podrían aumentar la seguridad fácilmente si hicieran que la coincidencia de la huella parcial fuera más complicada, “pero, en general, las empresas están más preocupadas de que te moleste poner el dedo en tu teléfono dos o tres veces en lugar de que alguien pueda desbloquearlo”.

Si aumentara el tamaño del lector de la huella digital, también disminuiría el riesgo, afirmó Boehnen. Y hay nuevas opciones de seguridad biométrica que son más difíciles de engañar, como el escáner de iris en el nuevo Galaxy S8 de Samsung.

Memon dijo que, a pesar del hallazgo de su investigación, seguía usando la seguridad de huella digital en su iPhone. “No me preocupa”, dijo. “Creo que sigue siendo una manera muy cómoda de desbloquear un teléfono. Pero preferiría que Apple me obligara a introducir una clave si el teléfono está inactivo una hora”.

Fuente: The New York Times