Colocar el dedo sobre el sensor de huella dactilar del iPhone es más cómodo que introducir la contraseña. También debería ser más seguro. Al menos así es como se presentan estas tecnologías biométricas, que se basan en los rasgos biológicos únicos de una persona para identificarla.
La activación por voz o el reconocimiento facial son otras de las técnicas que ya se están usando comercialmente en smartphones y ordenadores. Incluso el reconocimiento del iris o la lectura de las venas de la mano han dejado de ser patrimonio de la ciencia ficción y de las instalaciones militares.
Un equipo de investigadores demostró el pasado mes de agosto, en la conferencia sobre seguridad digital Black Hat, en Las Vegas, que los sensores de huella dactilar de la mayoría de smartphones del mercado eran vulnerables. Los investigadores encontraron la forma de robar la información de la huella contenida en teléfonos de Apple, Samsung, Huawei o HTC.
Otro trabajo, en esta ocasión procedente de la Universidad de Alabama, se centró en la activación por reconocimiento de voz y logró sobrepasar este control de una forma ingeniosa y barata. Los autores únicamente tuvieron que hacerse con grabaciones cortas de una persona hablando y con un sintetizador les dieron forma para finalmente convertir la voz del atacante en la de la víctima. El resultado fue tan preciso que estos investigadores consiguieron hacerse pasar por personajes como Oprah Winfrey o Morgan Freeman.
Ladrones de huellas, de rostro y de voz
Los investigadores que presentaron el primero de los trabajos en Black Hat se habían dado cuenta de que, en la mayoría de móviles, las huellas se almacenaban en ciertos ficheros que no eran difíciles de recuperar. Hay que decir que el cifrado que se usa en iPhone puso las cosas algo más complicadas, aunque al final se logró comprometer toda la información sobre las huellas dactilares.
Los datos no dejan de estar guardados en el teléfono. ¿Es fácil llegar hasta ellos? "Depende de los modelos, de la arquitectura del dispositivo y de cómo el sistema operativo gestione el almacenamiento de estos datos", explica Josep Albors, investigador de seguridad de la empresa de antivirus ESET. "Al final lo que se guarda es un archivo que dice 'ésta es la huella correcta' o 'éste es el patrón de cara correcto'", comenta.
El lector de huella dactilar sólo capta ciertos patrones de la misma para identificar y dar acceso al usuario. Esto quiere decir que no hace falta tener la huella completa para engañar a un lector. Aunque ya hay quien se ha buscado la manera de hacer un duplicado exacto de la forma más original. El hacker alemán Jan Krissler utilizó fotos publicadas de la ministra de Defensa Ursula von der Leyen para reproducir su huella dactilar mediante un proceso minucioso, que incluía ampliar la resolución para obtener el detalle del dedo.
También se ha logrado engañar al reconocimiento facial con una foto o un vídeo en alta definición. No obstante, la técnica evoluciona. Recientemente Intel hizo una demostración en la que un ordenador con Windows 10 que usaba su tecnología era capaz de diferenciar entre dos gemelas, dando acceso solo a la autorizada.
Albors argumenta, sin embargo, que la mayoría de los usuarios no tendrán acceso a esos equipos ni esas cámaras. "Tenemos un equipo que vale 300 euros o menos y le metemos Windows 10, ¿cómo de buena será esa cámara?", se pregunta, refiriéndose al nivel de detalle que pueda captar. Además, este experto recuerda que la seguridad de los dispositivos móviles no tiene comparación con la biometría que se usa a otros niveles, como en instalaciones militares.
También se puede ver comprometido el reconocimiento de voz. Hay varias investigaciones que han profundizado en este tema. Una de las últimas ha empleado un método muy original. Científicos franceses de la Agence Nationale de la Securité des Systèmes d’Information (ANSSI) se sirvieron de un emisor de ondas de radio para enviar comandos por voz a Google Now, en un móvil Android. Sin decir una palabra podían enviar mensajes premium, hacer llamadas y todo tipo de tropelías digitales. De ahí a suplantar a una persona hablando hay un paso. Como todo sonido, la voz es una onda de audio y es cuantificable, con lo que determinando la longitud de onda se puede imitar.
Las ventajas de la biometría
A pesar de todo la biometría tiene ventajas respecto a la seguridad tradicional. "No dependes de una persona que recuerde la contraseña o que la tenga que generar y, por tanto, genere una contraseña sencilla”, comenta Albors. "Por lo menos tu cara es tu cara y es única".
Antonio Rodríguez, investigador de seguridad en el INCIBE (Instituto Nacional de Ciberseguridad) ahonda en otro beneficio. "La biometría está diseñada para que tú no tengas que hacer nada. Simplemente el dispositivo te reconoce".
Sin embargo, recomienda moderar su uso. Cita a los portátiles, algunos de cuyos modelos incluyen desde hace tiempo lector de huellas. "El buen uso sería para que no te vean teclear tu contraseña en lugares públicos; en tu casa no tiene mucho sentido tenerlo siempre activado porque nadie te va a ver teclear la contraseña y, al final, estás abriendo una puerta más a un ataque", indica Rodríguez.
Más allá está el iris
La biometría no solo vive de huellas y de voz. Hay empresas, como Fujitsu, que están introduciendo nuevas técnicas, como el reconocimiento del iris o de las venas de la mano. ¿Qué hay de estos nuevos métodos?
"El registro de la huella dactilar se basa en un número de puntos que tampoco es muy elevado. Es único pero es básico. El iris es más identificativo y los puntos de reconocimiento son mucho mayores que los de una huella", apunta Albors.
Aunque no hay nada infalible. Rodríguez, del INCIBE, opina que la tecnología no está lo suficientemente madura como para adoptarse como único sistema de seguridad. También arroja luz sobre una complicación más: "Una contraseña la puedes cambiar si te la roban, una tarjeta la puedes cancelar, pero un rasgo biométrico no lo puedes cambiar".
Y ésa es la parte más negativa: una vez robada la información del rasgo -o la huella, o el iris- ya no se podrá usar nunca más como contraseña para acceder al móvil, para hacer pagos o iniciar sesión en el correo, porque habrá alguien ahí fuera que tendrá la información para suplantar la identidad del usuario.