Los fallos de seguridad del sensor de huellas del iPhone

Los fallos de seguridad del sensor de huellas del iPhone

La seguridad por huellas dactilares no es tan personal e intransferible como parece

0
Compartir

Los sensores de huellas digitales que empiezan a aparecer en algunos dispositivos móviles, han convertido a dichos aparatos modernos en milagros de conveniencia. Con solo un toque de un dedo se puede desbloquear el teléfono, sin necesidad de una contraseña, además, con servicios como Apple Pay o Android Pay, al poner una simple huella digital se pueden comprar muchas cosas, como por ejemplo, una computadora portátil. Presionar un dedo dentro de una aplicación bancaria permite al usuario pagar las facturas o transferir miles de dólares sin mucho esfuerzo.

Sin embargo, pueden tener algunos fallos técnicos que ponen tu seguridad de nuevo en entredicho. Por tal motivo, te traemos un estudio realizado por investigadores de la Universidad de Nueva York y la Universidad Estatal de Michigan, donde demuestran que los sensores de huella dactilar de los teléfonos inteligentes no son tan seguros como aparentan.

Con los nuevos hallazgos se sugiere que los teléfonos inteligentes pueden ser engañados con facilidad, utilizando huellas dactilares falsas compuestas digitalmente de muchas características comunes que se encuentran en huellas humanas.

Además, se hace referencia a que los sensores tienen un tamaño menor que el dedo de una persona, por tal motivo, pueden detectar una pequeña parte de la huella solamente. Puesto que, cuando un usuario configura la seguridad de las huellas dactilares, ya sea en un iPhone de Apple o en un teléfono que ejecute el software Android de Google, normalmente el sistema guarda varias copias parciales de la huella (entre ocho o diez imágenes de un dedo), de este modo el terminal se desbloquea al colocar el dedo en un lugar diferente, lo que reduce su efectividad en seguridad.

De hecho, algunos fabricantes han admitido que los sensores no son del todo seguros. Por ejemplo, Apple ha reconocido que existe una posibilidad de uno entre 50.000 intentos de que los sensores de huellas propias, llamado Touch ID, el cual se encuentra en sus iPhones, puedan reconocer erróneamente la huella de otra persona.

Ryan James, portavoz de la compañía, dijo que Apple había probado varios ataques al desarrollar su sistema, por lo que incorporó otras características de seguridad para evitar accesos erróneos.

“Es como si usted tiene 30 contraseñas y el atacante sólo tiene que coincidir con una”, dijo Nasir Memon, profesor de ciencias de la computación e ingeniería en la Universidad de Nueva York, y uno de los tres autores del estudio. Los otros autores son Aditi Roy, una compañera del postdoctoral en la Escuela Tandon, de la Universidad de Nueva York, y Arun Ross, profesor de ciencias de la computación e ingeniería en el estado de Michigan.

En la siguiente imagen se pueden apreciar algunos ejemplos de las huellas dactilares que usaron los investigadores en comparación con los llamados MasterPrints, donde se pueden observar las huellas que tuvieron una coincidencia.

Con la observación de todas esas vulnerabilidades, los científicos de las universidades propusieron crear una huella artificial que pudiera encajar con alguna de las huellas parciales almacenadas por el sensor.

En simulaciones por computadora, los investigadores fueron capaces de desarrollar una llave maestra, a la que bautizaron como “MasterPrint”, la cual funciona con el 65% de las personas, según la investigación.

El Dr. Memon expresó que sus hallazgos indicaban que si pudiera de alguna forma crear un guante especial con una MasterPrint en cada dedo, sería capaz de acceder a entre el 40-50% de los iPhone dentro de los cinco intentos permitidos, antes de que el teléfono pida la contraseña numérica.

Aditi Roy, examina los datos sobre huellas dactilares maestras que podrían utilizarse para desbloquear un teléfono inteligente, todo ello con su computadora en la Escuela de Ingeniería Tandon de N.Y.U.

Apple y Google siguen manteniendo en secreto muchos detalles de la tecnología que utilizan para las huellas dactilares, y las otras decenas de empresas que fabrican teléfonos Android pueden adaptar el diseño estándar de Google de manera que reduzcan el nivel de seguridad. Por lo que es sumamente difícil cuantificar el riesgo real.

La profesora de la Universidad Clarkson y directora del Centro para la Investigación de la Tecnología de Identificación, Stephanie Schuckers, fue muy cautelosa sobre las extensiones de los resultados de MasterPrint. Dijo que en dicha investigación se utilizó un programa de software de gama media, comercialmente disponible, y diseñado para coincidir con huellas digitales completas, limitando la aplicación de los hallazgos.

“Para saber realmente cuál sería el impacto en un teléfono celular, tendría que probarlo en el teléfono celular”

Además, señaló que los fabricantes de teléfonos y otros que utilizan sistemas de seguridad de huellas dactilares, se encuentran estudiando varias técnicas para detectar la presencia de un dedo real, como buscar sudor o examinar patrones en capas muy profundas de la piel. Qualcomm, por ejemplo, ha fabricado un nuevo sensor de huellas digitales que utiliza ultrasonido.

“La mayoría de los proveedores actuales de teléfonos inteligentes no nos dan acceso a la imagen de la huella digital”, dijo el Dr. Ross, reconociendo las limitaciones de la investigación. No obstante, para que un ladrón o un espía puedan utilizar un conjunto de llaves maestras en un teléfono inteligente, requeriría de un montón de trabajo adicional, debido a que tendrían que hacer dedos falsos para hacer ese tipo de ataques.

El hallazgo obtenido por el equipo de investigadores, con respecto a que los sensores de huellas digitales tienen vulnerabilidad a la falsificación es significativo, según Chris Boehnen, gerente del programa Odin del gobierno federal, el cual estudia cómo derrotar a los ataques de seguridad biométricos, considerados como parte de la Inteligencia Avanzada.

Algo que le preocupa mucho al Dr. Boehnen, es que en los teléfonos haya una barrera poco segura a un ataque, poniendo en riesgo la seguridad de las personas hoy en día.

Los fabricantes fácilmente pueden revertir la inseguridad de los sensores, haciendo que sea más difícil hacer coincidir la huella digital parcial. Con la adición de un sensor de huella digital más grande se podría disminuir el riesgo.

Sin embargo, se puede decir que en la actualidad a las compañías les preocupa más que al usuario le moleste tener que poner el dedo contra el sensor dos o tres veces, dejando de lado la importancia de que alguien extraño pueda acceder al teléfono, según el gerente del programa Odin.

Hay algunas nuevas opciones de seguridad biométrica, como es el caso del escáner de iris en el nuevo Galaxy S8 de Samsung, el cual es muchísimo más difícil de engañar. Otra opción es el reconocimiento facial, una elección de seguridad que está disponible en algunos teléfonos, considerado mucho menos seguro que las huellas dactilares.

Una recomendación del Dr. Boehnen es que los usuarios de teléfonos se protejan apagando la autentificación de huellas digitales para sus aplicaciones más sensibles, como los pagos móviles.

A pesar de la investigación, el Dr. Memon afirmó que seguía utilizando la seguridad de huella digital en su iPhone, debido a que no se encontraba preocupado y lo consideraba una manera muy conveniente de desbloquear un teléfono. Aunque prefiere que Apple le haga ingresar el PIN si el teléfono está inactivo durante una hora.

En conclusión, los investigadores no probaron sus hallazgos con teléfonos reales, por lo que otros expertos en seguridad dijeron que la tasa de coincidencia sería significativamente menor en las aplicaciones de la vida real, lo cual no es tan alarmante como se pensaba. Sin embargo, los resultados plantean preocupantes preguntas sobre la eficacia de la seguridad que tienen los sensores de huellas digitales en los teléfonos inteligentes.