Mercados españoles cerrados en 7 hrs 13 min

Revelan fallas de seguridad del lector de huellas digitales de los celulares

Benjamin R. García

Los tenemos casi todos, porque es un modo más de facilitarnos la vida. En lugar de pulsar un código numéricos, situamos el dedo pulgar sobre un sensor y al acto nuestro teléfono celular se encuentra desbloqueado y listo para ser utilizado.

De igual manera, en servicios como Apple Pay o Android Pay, bastaría colocar una huella para poder adquirir cualquier producto online, que va desde un alfiler hasta un auto de lujo. Seguidamente, si así lo deseamos, este cómodo sistema nos permite pagar desde la comodidad de un sofá las facturas acumuladas o enviarle dinero a un familiar.

Sin embargo, ese novedoso sistema ya empieza a mostrar sus fallas, zonas de sombra que ya alarman a algunos expertos.

De acuerdo con un reporte de The New York Times, un equipo de investigadores de la Universidad de Nueva York y de la Universidad Estatal de Michigan han hecho públicos algunos descubrimientos que sostienen que estos teléfonos inteligentes son incluso ‘engañables’ a partir de huellas falsas también elaboradas digitalmente, muy, pero muy parecidas a las huellas humanas.

A partir de simulaciones realizadas en computadoras, quienes llevaron a cabo este experimento lograron desarrollar un conjunto de “MasterPrints”,  o huellas maestras, totalmente artificiales, coincidentes en hasta un 65% con huellas humanas.

A pesar de que algunos otros expertos en seguridad aseguraron que el índice de coincidencia sería significativamente menor en condiciones de vida real, estos hallazgos han empezado a generar sospechas sobre la efectividad de este sistema de seguridad a través de huellas digitales en nuestros teléfonos.

“Es verdad que no es tan preocupante como se ha presentado, pero es algo muy negativo”, considera Andy Adler, profesor de sistemas e ingeniería computacional de la Universidad Carleton en Canadá.

“Si lo único que quiero hacer es tomar tu teléfono y usar Apple Pay para comprar cosas, o si puedo entrar a 1 de 10 teléfonos, las probabilidades no son malas”, concluye.

Pagando con Apple Pay. Foto de Maxim Zmeyev (Reuters)

Siempre se ha hablado de lo verdaderamente arduo de falsificar una huella digital humana en su totalidad, pero no olvidemos que los escáneres configurados en los teléfonos para leer los detalles milimétricos de nuestro dedo pulgar son tan pequeños que su captación siempre será parcial, es decir, no todo nuestro dedo será ‘leído’.

Ahora bien, en el momento en que desbloqueamos nuestro teléfono, el dedo colocado deberá coincidir apenas con una sola imagen almacenada, por lo que este sistema resultaría propenso a dejarse confundir por coincidencias falsas.

“Es como si tuvieras 30 contraseñas y el atacante solo tuviera que hacer coincidir una”, asegura Nasir Memon, profesor de ciencias de la computación e ingeniería de la Escuela Tandon de Ingeniería de NYU, uno de los tres autores del estudio en cuestión.

Memon cree que, en caso de idear artificialmente un guante mágico con una huella maestra en cada dedo, esa persona podría tener acceso instantáneo al 40 o 50% de los iPhone con los que intente, antes de que se agoten las cinco pruebas que el aparato tolera antes de que pase a exigirle al usuario la colocación de la contraseña numérica o número de identificación personal.

Las empresas se defienden

Sin embargo, Apple ha sostenido que las probabilidades de que se produzca una coincidencia falsa en el sistema de huellas digitales del iPhone son de una entre cincuenta mil, siempre que sea a través de la huella digital.

Ryan James, uno de los portavoces de la compañía, aseguró que se habían llevado a cabo tests con varios ataques al desarrollar su sistema Touch ID, y que también se habían incorporado otras características de seguridad para prevenir las coincidencias falsas.

Para Stephanie Schuckers, profesora de la Universidad Clarkson, como los investigadores emplearon un software comercial de medio alcance, diseñado para hacer coincidir huellas digitales completas, ello limita definitivamente una capacidad más amplia de aplicación de los hallazgos.

“Para saber realmente cuál sería el impacto en un teléfono celular, habría que probarlo en uno”, señaló Schuckers.

Según la profesora, los fabricantes están sometiendo a prueba diversas técnicas para evitar las falsificaciones y detectar la presencia de un dedo verdadero.

Estas incluirían incluso la identificación de sudoraciones o el análisis a través de ultrasonido de capas más profundas de la piel de los dedos.

Los fabricantes también mencionaron que la facilidad para desbloquear un teléfono tocándolo con el dedo significaba que había más usuarios que realmente activaban las características de seguridad en vez de dejar sus teléfonos desbloqueados: un hábito común en los primeros días de los teléfonos inteligentes.

“Lo preocupante de la situación es que alguien se puede encontrar un teléfono, y que la barrera para efectuar un ataque sea bastante baja”, opinó Chris Boehnen, director del programa Odin del gobierno federal.

De aumentarse el tamaño del sensor de la huella digital, ello disminuiría el riesgo, según Boehnen, pues ese ‘ojo’ captaría mucho más espacio de la yema del dedo.

Memon dijo que, a pesar del hallazgo de su investigación, seguía usando la seguridad de huella digital en su iPhone. “No me preocupa”, dijo. “Creo que sigue siendo una manera muy cómoda de desbloquear un teléfono. Pero preferiría que Apple me obligara a introducir una clave si el teléfono está inactivo una hora”.