Milagros de la comodidad
Los sensores para huellas digitales han hecho que los Smartphones se conviertan en milagros de la comodidad. El teléfono se desbloquea con solo tocarlo y no requiere una contraseña. Con servicios como Apple Pay o Android Pay, una huella puede bastar para comprar una bolsa de artículos del supermercado, una nueva computadora portátil o incluso un Aston Martin clásico con un valor de un millón de dólares. Además, al presionar con el dedo en una aplicación bancaria, el usuario puede pagar sus cuentas o transferir miles de dólares.Enorme resquicio de seguridad
A pesar de su practicidad, esta hechicería también tiene un enorme resquicio de seguridad. Un equipo de investigadores de la Universidad de Nueva York y de la Universidad Estatal de Michigan publicó recientemente nuevos hallazgos que sugieren que se puede engañar con facilidad a los Smartphones por medio de huellas falsas que están hechas digitalmente y cuentan con muchas características comunes con las huellas humanas. En simulaciones por computadora, los expertos pudieron desarrollar un conjunto de “MasterPrints” (huellas maestras) artificiales que coincidieron hasta un 65 por ciento de las veces con huellas reales que se usan en los Smartphones.“Es verdad que no es tan preocupante como se ha presentado, pero es algo muy negativo”, opinó Andy Adler, profesor de sistemas e ingeniería computacional de la Universidad Carleton en Canadá. “Si lo único que quiero hacer es tomar tu Smartphone y usar Apple Pay para comprar cosas, o si puedo entrar a 1 de 10 Smartphones, las probabilidades no son malas”.
Escáneres para dedos
Una huella digital humana es difícil de falsificar en su totalidad, pero los escáneres para dedos que usan los Smartphones son tan pequeños que solo leen huellas parciales. Cuando un usuario configura la seguridad por medio de huellas en un iPhone de Apple o en un Smartphone con el software Android de Google, el dispositivo normalmente toma de ocho a 10 imágenes de un dedo para que sea más fácil lograr la coincidencia. Y muchos usuarios registran más de un dedo: por ejemplo, el pulgar y el dedo índice de cada mano.Para desbloquear el Smartphone, el dedo que se usa debe coincidir solo con una imagen almacenada, por lo tanto el sistema es vulnerable a coincidencias falsas.
“Es como si tuvieras 30 contraseñas y el atacante solo tuviera que hacer coincidir una”, afirmó Nasir Memon, profesor de ciencias de la computación e ingeniería de la Escuela Tandon de Ingeniería de NYU, y uno de los tres autores del estudio que fue publicado en IEEE Transactions on Information Forensics and Security. Los otros autores son Aditi Roy, becaria posdoctoral de la Escuela Tandon de NYU, y Arun Ross, profesor de ciencias de la computación e ingeniería de la Universidad Estatal de Michigan.
Guante mágico
Apple señaló que las probabilidades de que hubiera una coincidencia falsa en el sistema de huellas digitales del iPhone eran de 1 en 50.000 con una huella introducida. Ryan James, un vocero de la empresa, dijo que Apple había hecho pruebas con varios ataques al desarrollar su sistema Touch ID, y que también había incorporado otras características de seguridad para prevenir las coincidencias falsas. Google se negó a hacer comentarios.
Tecnología de lector de huellas digitales
El riesgo verdadero es difícil de cuantificar. Apple y Google mantienen en secreto muchos detalles de su tecnología de huellas digitales, y la variedad de empresas que fabrican Smartphones Android puede adaptar el diseño estándar de Google, lo cual reduce el nivel de seguridad.Stephanie Schuckers, profesora de la Universidad Clarkson, fue precavida al hablar de las implicaciones que podían tener los hallazgos de las huellas. Schuckers afirmó que los investigadores usaron un software comercial de medio alcance que fue diseñado para hacer coincidir huellas digitales completas, lo cual limita una capacidad más amplia de aplicación de los hallazgos.
“Para saber realmente cuál sería el impacto en un teléfono celular, habría que probarlo en uno”, señaló Schuckers. Mencionó que los fabricantes de Smartphones celulares y otras empresas que utilizan los sistemas de seguridad por medio de huellas digitales están estudiando técnicas para evitar las falsificaciones y detectar la presencia de un dedo verdadero, como buscar la sudoración o examinar patrones en capas más profundas de la piel. Por ejemplo, un nuevo lector de huellas digitales de Qualcomm utiliza ultrasonido.
Los fabricantes también mencionaron que la facilidad para desbloquear un teléfono tocándolo con el dedo significaba que había más usuarios que realmente activaban las características de seguridad en vez de dejar sus Smartphones desbloqueados: un hábito común en los primeros días de los Smartphones.
Ross reconoció las limitaciones de su trabajo. “La mayoría de los vendedores de Smartphones de la actualidad no nos da acceso a la imagen de la huella digital”, dijo. No obstante, el hallazgo esencial del equipo acerca de las vulnerabilidades de esta tecnología es significativo, opinó Chris Boehnen, director del programa Odin del gobierno federal.
Los fabricantes podrían aumentar la seguridad fácilmente si hicieran que la coincidencia de la huella parcial fuera más complicada, “pero, en general, las empresas están más preocupadas de que te moleste poner el dedo en tu teléfono dos o tres veces en lugar de que alguien pueda desbloquearlo”.
Si aumentara el tamaño del lector de la huella digital, también disminuiría el riesgo, afirmó Boehnen. Y hay nuevas opciones de seguridad biométrica que son más difíciles de engañar, como el escáner de iris en el nuevo Galaxy S8 de Samsung.
Memon dijo que, a pesar del hallazgo de su investigación, seguía usando la seguridad de huella digital en su iPhone. “No me preocupa”, dijo. “Creo que sigue siendo una manera muy cómoda de desbloquear un teléfono. Pero preferiría que Apple me obligara a introducir una clave si el teléfono está inactivo una hora”.
Fuente: The New York Times
No hay comentarios:
Publicar un comentario