The New York Times
2017-04-16
San Francisco— Los sensores de huellas digitales han convertido a los celulares modernos en milagros de la comodidad. Un toque del dedo brinda acceso al teléfono –no se requiere clave. Con servicios como Apple Pay o Android Pay, una huella digital puede servir para comprar una bolsa de víveres, una nueva laptop o incluso un Aston Martin de un millón de dólares. Y oprimir el dedo en una aplicación bancaria permite al usuario pagar recibos o transferir miles de dólares.
Aunque tal tecnología resulta conveniente, también ha abierto una brecha de seguridad.
Nuevos descubrimientos realizados por investigadores de la Universidad de Nueva York y la Universidad Estatal de Michigan sugieren que los celulares inteligentes pueden ser fácilmente engañados con huellas digitales falsas compuestas digitalmente a partir de muchas características comunes que se encuentran en las huellas humanas. En simulaciones en computadora, los investigadores de las universidades pudieron desarrollar un conjunto de “Huellas Maestras” artificiales que semejaban huellas digitales reales similares a las que usan los celulares hasta un 65 por ciento de las veces.
Los investigadores no probaron su enfoque con celulares reales, y otros expertos de seguridad opinaron que el índice de correspondencia sería bastante más bajo en condiciones de la vida real. Aun así, el descubrimiento causa cuestionamientos sobre la efectividad de la seguridad vía huellas digitales en los celulares inteligentes.
“Ciertamente no es tan preocupante como se presenta, pero casi seguro que sí es muy malo”, expresó Andy Adler, profesor de Ingeniería en Sistemas Computacionales en la Universidad Carleton en Canadá, quien estudia sistemas de seguridad biométricos”. Si todo lo que quiero hacer es agarrar su celular y usar Apple Pay para comprar cosas y lo logro en 1 de cada 10 celulares, no me fue mal”.
Las huellas digitales completas de los seres humanos son difíciles de falsificar, pero los escáneres de los celulares son tan pequeños que solamente leen huellas parciales. Cuando un usuario establece seguridad vía huella digital en un iPhone de Apple o un celular que funciona con el software Android de Google, el celular típicamente toma de 8 a 10 imágenes de un dedo para que sea más fácil reconocerlo. Y muchos usuarios graban más de un dedo –por ejemplo el índice y el pulgar de cada mano.
Dado que al leer un dedo sólo debe ser igual a una de las imágenes grabadas en el celular, el sistema está vulnerable a identificaciones falsas.
“Es como si usted tuviera 30 claves de acceso y el intruso sólo tiene que adivinar una”, explicó Nasir Memon, profesor de Ingeniería en Sistemas Computacionales en la Escuela Tandon de Ingeniería en la Universidad de Nueva York, uno de los tres autores del estudio, el cual fue publicado en Transacciones de Seguridad de la Información del Instituto de Ingenieros en Electricidad y Electrónica. Los otros autores son Aditi Roy, estudiante de post doctorado de la Escuela Tandon de la Universidad de Nueva York, y Arun Ross, profesor de Ingeniería en Sistemas Computacionales en la Universidad Estatal de Michigan.
El doctor Memon comentó que sus hallazgos indican que si usted pudiera de alguna manera crear un guante mágico con una Huella Maestra en cada dedo, podría penetrar la seguridad en un 40 a 50 por ciento de los iPhones en los primeros cinco intentos que el teléfono le permite antes de exigirla una clave numérica, conocida como el número de identificación personal – NIP.
Apple declaró que la probabilidad de una identificación errónea en el sistema de huellas digitales del iPhone era de 1 en 50 mil con una huella registrada. Ryan James, vocero de la compañía comentó que Apple había probado varios ataques cuando desarrollaba su sistema de Touch ID, y también incorporó otras características de seguridad para impedir falsas identificaciones.
Google se rehusó a comentar.
Es difícil cuantificar el riesgo verdadero. Apple y Google mantienen secretos muchos detalles de su tecnología de huellas digitales, y las docenas de empresas que hacen celulares con Android pueden adaptar el diseño estándar de Google en formas que reducen el nivel de seguridad.
Stephanie Schuckers, profesora en la Universidad Clarkson y directora del Centro para Investigación de la Tecnología de Identificación, fue cauta sobre las implicaciones de los hallazgos respecto a las Huellas Maestras. Expresó que los investigadores usaron un programa computacional de rango medio, disponible comercialmente, que fue diseñado para igualar huellas digitales completas, limitando la aplicabilidad más amplia de sus hallazgos.
“Para saber cuál sería realmente el impacto en un celular, tendría que probarlo en el celular”, dijo. Observó que los fabricantes de celulares y otros que usan sistemas de seguridad de huellas digitales están estudiando técnicas anti-errores para detectar la presencia de un dedo verdadero, tales como identificar la sudoración o examinar los patrones en capas más profundas de la piel. Por ejemplo, un nuevo sensor de huellas desarrollado por Qualcomm, usa ultrasonido.
Los fabricantes de celulares han reconocido que los sensores de huellas digitales no son a prueba de errores, pero opinaron que la facilidad que brinda el tocar un celular con el dedo para desbloquearlo implicó que más usuarios activaran medidas de seguridad, en vez de dejar sus celulares sin protección —un hábito común en los primeros días de los teléfonos inteligentes.
El doctor Ross reconoció las limitantes del estudio. “La mayoría de los vendedores actuales de celulares no nos dan acceso a la imagen de la huella”, comentó.
Para que un ladrón o un espía conviertan esas huellas maestras en claves para el celular aún se requeriría mucho trabajo adicional.
“Para realizar una intrusión así usted todavía tendría que crear dedos falsos”, comentó el doctor Ross.
Sin embargo, el descubrimiento básico del equipo de que las huellas digitales parciales son vulnerables es significativo, comentó Chris Broehnen, quien administra el programa Odín del gobierno federal, el cual estudia cómo vencer los ataques a la seguridad biométrica como parte de la actividad de los Proyectos Avanzados de Investigación de Inteligencia.
“Lo que nos preocupa de esta situación es que usted podría agarra un celular al azar, y su barrera para penetrarlo es muy baja”, exclamó el doctor Broehnen.
Los fabricantes de celulares podrían fácilmente aumentar la seguridad haciendo más difícil la igualación de la huella digital parcial, comentó, “pero la compañía promedio de celulares está más preocupada de que usted se moleste por tener que poner su dedo dos o tres veces de lo que está por que alguien pueda accederlo”.
También poner un sensor de huellas digitales más grande reduciría el riesgo, agregó el doctor Broehnen. Y algunas nuevas medidas de seguridad biométrica, tales como el escaneo del iris en el nuevo Galaxy S8 de Samsung, son más difíciles de engañar. El reconocimiento del rostro, otra opción de seguridad disponible en algunos celulares, se considera menos segura que las huellas digitales.
Los usuarios de celulares también pueden protegerse apagando la revisión de huellas digitales para sus aplicaciones más delicadas, tales como los pagos desde el celular, explicó el doctor.
El doctor Memon comentó que a pesar de su investigación, él todavía usaba seguridad basada en huellas digitales en su iPhone.
“No estoy preocupado”, dijo. “Creo que es una forma muy conveniente de acceder un celular. Pero me gustaría más que Apple me forzara a teclear mi NIP si mi celular estuvo inactivo por una hora”.