Noticias
¿Es segura la identificación mediante huella dactilar?
Desde hace tiempo pensamos que la huella dactilar es una «clave» segura. Pero es posible que no lo fuera tanto como nos ha gustado creer.
La huella dactilar ha sido, durante los últimos años, la opción más empleada en los sistemas de identificación biométrica. Desde la función de desbloqueo de smartphones y ordenadores, hasta los sistemas de control de acceso a lugares restringidos, poner en el dedo en un lector y obtener acceso de manera inmediata es un sistema no solo seguro, sino también bastante cómodo y efectivo. El problema es que, tras un estudio llevado a cabo por Talos Intelligence, lo de seguro no está tan claro ahora como hace unos años.
Y es que el resultado de la investigación llevado a cabo por los equipos de esta división de Cisco, ha demostrado que los escáneres de huellas no son lo suficientemente seguros. Dicho de otra manera, los investigadores han logrado desbloquear y acceder a varios dispositivos usando una impresora 3D, software y un pegamento de bajo costo.
Para realizar las pruebas, en primer lugar se intentó obtener la huella dactilar de la persona cuyo acceso se quería suplantar. Esta fase no es demasiado compleja, ya que de manera común (obviamente no en las circunstancias excepcionales que estamos viviendo actualmente) no tenemos reparo alguno en tocar todo aquello que está a nuestro alcance: el vaso en el que nos sirven el café, el servilletero que hay a su lado, el carro de la compra en el supermercado, un producto que dudamos si comprar pero al final devolvemos a su estantería, la cerradura del coche…
Una vez obtenida la huella dactilar llega la segunda parte del plan: generar, con la misma, un modelo tridimensional que, una vez completado, es reproducido mediante una impresora 3D. A partir de ese punto, ya puedes imaginar lo que prosigue, claro: intentar desbloquear los dispositivos mediante la impresión de la huella generada a partir de datos de la huella real.
Y ahora es cuando llega el dato preocupante: “Logramos una tasa de éxito de alrededor 80 por ciento mientras usamos las huellas digitales falsas, donde los sensores se omitieron al menos una vez. Alcanzar esta tasa de éxito fue un trabajo difícil y tedioso. Encontramos varios obstáculos y limitaciones relacionadas con la escala y las propiedades físicas del material. Aun así, este nivel de tasa de éxito significa que tenemos una probabilidad muy alta de desbloquear cualquiera de los dispositivos probados«, dijeron los investigadores.
Es probable que, si tienes conocimientos específicos sobre los sensores de huella dactilar, te estés preguntando si los hay más y menos fiables en base a su sistema de funcionamiento. Para el estudio se emplearon sensores capacitivos, ópticos y ultrasónicos. Aunque Cisco Talos no encontró grandes diferencias en términos de seguridad, el equipo dijo que lograron la mayor tasa de éxito contra los sensores ultrasónicos.
Y es que, según se puede deducir tras leer el estudio, la clave está no solo en el propio lector de huellas, como en el software responsable de analizar las imágenes y datos obtenidos por el mismo. Algo razonablemente tranquilizador, la verdad, pues nos indica que con mejoras en este sentido, el sistema podría recuperar parte de esa fiabilidad que, a día de hoy, consideramos que se ha perdido.
Debemos tener en cuenta, eso sí, que hablamos de un proceso laborioso y no especialmente sencillo. La reproducción de una huella dactilar supone un importante trabajo, que hace que no compense si la recompensa es acceder a los datos del móvil de un particular. Para los usuarios domésticos la huella sigue siendo un sistema fiable. Sin embargo, si hablamos de sistemas de control de acceso (ya sea físico o electrónico) a activos valiosos… ahí ya es otra historia.
Como ya te aconsejamos al hablarte de la protección de acceso físico a tu CPD, los sistemas de dos o más factores son la mejor opción. Y si son tres factores, mejor que dos. La clave es intentar calcular el coste que tendrá, para el potencial atacante, intentar sortear dichas protecciones, y si el resultado que obtendrá al hacerlo compensa la inversión inicial. Solo cuando estas cuentas nos salgan, podremos dormir razonablemente tranquilos.