Desbloquear el m¨®vil con tu cara no es tan seguro como piensas

Las medidas biom¨¦tricas se han aceptado popularmente como un sistema m¨¢s seguro que las contrase?as tradicionales. No es raro llegar a esa conclusi¨®n si pensamos que la clave m¨¢s utilizada es 123456 desde 2011 (??en serio, mundo, en serio?!). En comparaci¨®n con estas combinaciones tan obvias, un sistema que reconoce nuestra cara, huella dactilar o incluso las venas de nuestras manos parece infranqueable. Pero no lo es por dos motivos: porque los hackers saben que tendemos hacia ese tipo de protecci¨®n y est¨¢n perfeccionando sus t¨¦cnicas y porque, a diferencia de una combinaci¨®n de n¨²meros y letras, no podemos modificar nuestras medidas biom¨¦tricas: una vez que las consigan las tendr¨¢n para siempre.

Las empresas optan cada vez m¨¢s por la biometr¨ªa para proteger las cuentas de sus clientes porque entienden que es m¨¢s dif¨ªcil que los hackers consigan manipularlas. Charlie Jacco y Anthony Rjeily, expertos en ciberseguridad de KPMG, explican en un art¨ªculo de HBR que es posible que un hacker pueda acceder a la huella dactilar y la muestra de voz de un usuario, pero les parece imposible que ¡°replique de forma simult¨¢nea una huella dactilar del pulgar, un esc¨¢ner de retina y una firma por reconocimiento de voz en los segundos que tarda una aplicaci¨®n en abrirse¡±.

La combinaci¨®n de distintas medidas biom¨¦tricas aumenta la seguridad. Sin embargo, a¨²n no es habitual que te pidan varios datos f¨ªsicos a la vez para desbloquear tu m¨®vil o sacar dinero. Por ahora se usa de forma separada y as¨ª son casi tan manipulables como las contrase?as tradicionales. Olga Kochetova y Alexey Osipov, expertos de Kaspersky Lab, ya han descubierto m¨¢s de una docena de desarrolladores clandestinos que venden skimmers biom¨¦tricos en el mercado negro. Estos dispositivos se utilizan para robar huellas dactilares escaneadas. Tambi¨¦n hay otros cibercriminales que intentan crear dispositivos para interceptar los resultados del escaneo de iris y de la tecnolog¨ªa vascular.

Adem¨¢s de estos m¨¦todos, los delincuentes tambi¨¦n hackean servidores que contienen los datos de los clientes. Esa informaci¨®n suele estar compuesta por combinaciones de nombres de usuario y contrase?as, pero tambi¨¦n puede tratarse de las medidas biom¨¦tricas de sus usuarios. Estos datos se registran tambi¨¦n en los pasaportes y visados electr¨®nicos. As¨ª, si un atacante roba un pasaporte electr¨®nico, no solo consigue el documento, sino tambi¨¦n los datos biom¨¦tricos del viajero. ¡°Habr¨¢n robado la identidad de una persona¡±, explica Kochetova.

Algunos de estos futuribles ya suceden. Un hacker con el programa adecuado puede robar las huellas dactilares que aparecen en los selfies, las que se muestran cuando el retratado pone los dedos en forma de uve. Los cibercriminales utilizan esta informaci¨®n para acceder a los dispositivos protegidos con medidas biom¨¦tricas, como los m¨®viles que se desbloquean con las huellas dactilares. Lo demostr¨® Isao Echizu, jefe al frente de una investigaci¨®n sobre este tema que llev¨® a cabo el Instituto Nacional de Inform¨¢tica de Jap¨®n. Una vez que los cibercriminales consiguen la huella solo tienen que copiarla y utilizarla en cualquier dispositivo que dependa de este tipo de seguridad.

Es solo un ejemplo m¨¢s de las veces que las medidas biom¨¦tricas se han visto comprometidas. En 2015, el hacker Jan Krissler consigui¨® recrear el iris de Angela Merkel utilizando la foto de campa?a de la presidenta de Alemania. ¡°Una vez que los datos biom¨¦tricos han sido robados y vendidos en la Deep Web ¡ªesa zona de Internet fuera de control a la que solo tiene acceso una reducida parte de los usuarios¡ª, el riesgo de que se acceda ilegalmente a las cuentas y se utilice su identidad es extremadamente alto¡±, explica a The Telegraph Robert Capps, de la compa?¨ªa de seguridad NuData Security.

"El problema de la biometr¨ªa es que es imposible cambiar la imagen de la huella digital o el iris, a diferencia de las contrase?as o c¨®digos pin que se pueden modificar f¨¢cilmente en caso de estar comprometidos", cuenta Kochetova. Las medidas biom¨¦tricas acompa?an a los usuarios a todas partes. Vamos dejando huellas dactilares en todo lo que tocamos y publicando fotos en las que aparece nuestra cara en las redes sociales, facilitando el trabajo de los cibercriminales. Ante esta situaci¨®n, muchas compa?¨ªas est¨¢n buscando maneras de perfeccionar las medidas de protecci¨®n y hacerlas m¨¢s seguras. La empresa china Goodix est¨¢ desarrollando un esc¨¢ner de huellas dactilares en vivo, que analiza el dibujo de las yemas de los dedos y tambi¨¦n realiza un an¨¢lisis de infrarrojos y el tejido adyacente e incluso el pulso. Seg¨²n los expertos, una forma de evitar la suplantaci¨®n podr¨ªa ser analizar capas m¨¢s profundas de la piel en lugar de quedarse en la superficie.

Por lo que respecta a la tecnolog¨ªa de identificaci¨®n biom¨¦trica en general, desde Kaspersky recomiendan que todo el mundo la utilice como m¨¦todo secundario de protecci¨®n que complemente los otros m¨¦todos de seguridad, pero sin reemplazarlos del todo. Los rasgos de nuestro cuerpo se pueden imitar. No somos tan exclusivos como creemos.