01 Oct Tu huella dactilar es el próximo objetivo de los cibercriminales
El reciente robo de 5,6 millones de huellas digitales a empleados del gobierno de EEUU pone de manifiesto el problema de encontrar un sistema de identificación personal seguro. La huella digital se está convirtiendo en la última moda en este frente, y no solo en sistemas informáticos corporativos, también en algo tan usado como los ‘smartphones’. El problema es que no son tan seguros como parece.
Los lectores biométricos integrados en móviles son un sistema muy práctico para desbloquear el teléfono o aceptar pagos. Solo tienes que posar el dedo sobre el lector y automáticamente tienes acceso. Se está convirtiendo en algo tan usado por millones de personas que los delincuentes empiezan a verlos como un objetivo.
La huella dactilar, sin embargo, es una vieja conocida en informática. Hace una década IBM presentó el primer portátil con lector de huellas, agregando una nueva capa de seguridad para acceder al sistema operativo. Desde entonces esta tecnología ha mejorado, aunque su integridad se sigue poniendo en duda.
Tus huellas valen dinero
Los cibercriminales siguen el dinero y eso es exactamente lo que está ocurriendo con los lectores biométricos. Al usarse tan a menudo y convertirse en un sistema que permite, entre otras cosas, realizar pagos asociados a tarjetas bancarias, el creciente interés por ‘hackearlos’ y robar información es claro. Esos datos pueden llegar a ser muy valiosos vendidos en el mercado negro.
El pasado septiembre se descubrió que entre los datos robados en una base de datos de empleados del gobierno norteamericano existían 5,6 millones de huellas dactilares. Es la primera vez que se tiene conocimiento de una brecha de seguridad tan grande y que incluye este tipo de información.
El miedo del gobierno de EEUU es que estos datos caigan en manos equivocadas y se pueda abrir una brecha de seguridad en sus servicios o incluso en sus instalaciones por todo el mundo. La paranoia ha llegado a tal punto que la embajada de EEUU en Pekín acaba de reducir su personal en estas instalaciones como medida de precaución.
David Barroso, especialista en seguridad, comenta a ‘Teknautas’ cómo este tipo de sistemas no habían triunfado hasta ahora por considerarse demasiado invasivos: “Están guardando detalles de cada usuario. No te roban una contraseña, acaban robando una parte de ti, algo que no puedes cambiar”, explica.
¿Es la huella más segura que una contraseña?
Los sistemas biométricos se basan en características físicas como el iris, una huella, detalles del rostro o incluso la voz. Características únicas que nunca se repiten con los de otra persona.
Aunque los lectores biométricos detectan detalles únicos, no son infalibles. Los primeros sistemas de detección de rostros fueron un fracaso porque no reconocían la diferencia entre una cara real de la de una fotografía.
Los lectores de huellas tampoco han sido especialmente de fiar. Empleando una técnica más bien propia de películas de espías, es posible reproducir una huella, utilizarla para desbloquear un móvil y acceder a toda la información almacenada.
Las contraseñas son las menos fiables como única medida de seguridad. Continuas filtraciones de bases de datos en internet incluyen contraseñas asociadas a sus usuarios, que pueden ser usadas para acceder a todo tipo de servicios.
Ahora mismo parece no haber vuelta atrás. Los lectores de huellas están destinados a ser cada vez más populares. ¿Se deben tomar medidas extra de seguridad? Barroso señala un primer paso: “Lo primero es no utilizar tu huella en un dispositivo que no confíes. Tienes que fiarte que el proveedor toma las medidas oportunas para protegerla”.
Es importante asegurarse que el dispositivo almacena esta información de forma segura. Equipos de Samsung y HTC han demostrado vulnerabilidades al almacenarlas, permitiendo a un atacante acceder a esta información. Con el nuevo ‘Android 6.0 Marshmallow’ se agrega soporte oficial a estos lectores, haciendo el sistema más robusto y seguro. Algo es algo.
Aunque estas empresas no comentan cómo guardan la información, algunas como Apple explican que sólo almacenan una representación matemática, asegurando que “es imposible que alguien pueda replicar tu huella dactilar a partir de esta representación matemática”.
Una de las mejores recomendaciones que da Barroso es el uso de sistemas de verificación en dos pasos. Se necesita una contraseña y una verificación (como un código en un mensaje de texto) para acceder a una cuenta. “El sistema de seguridad perfecto sería algo que tú tienes, tú sabes y tú eres”. Una doble o triple verificación es la mejor forma para evitar que se acceda a datos privados. Algo que tú tienes puede ser un móvil para mandar una verificación; algo que tú sabes puede ser una contraseña y algo que tú eres puede ser un sistema biométrico como la voz o la huella.
La combinación de dos o más pasos aumenta la seguridad. Aunque, al final, queda la resignación: “si no te fias de una empresa o sistema, no lo utilices”, remata Barroso.
Fuente: El Confidencial
