Las huellas dactilares se han señalado durante mucho tiempo como el identificador final, único e imposible de robar, y se posicionaron como una opción de autenticación más segura que las contraseñas. Por ese motivo, los lectores de huellas se convirtieron en una parte integral de la seguridad de los dispositivos móviles.
Podríamos pensar entonces que están en su nivel máximo de desarrollo en seguridad… pero no es así. Hoy, celebrando el Día Mundial de la Contraseña, vamos a derribar tres mitos en relación a sus competidoras, las huellas dactilares.
Mito 1: Las huellas dactilares son más seguras que las contraseñas
Contrario a lo que muchas personas asumen, los lectores biométricos no son infalibles. Tienen sus propias vulnerabilidades, su tecnología puede ser explotada y las huellas pueden ser robadas, incluso desde fotografías.
TODAVÍA ESTAMOS LEJOS DE REEMPLAZAR A LAS CONTRASEÑAS EN FORMA DEFINITIVA
Por ejemplo, en Estados Unidos, es política de Seguridad Nacional recolectar las huellas dactilares de las personas no ciudadanas de entre 14 y 79 años cuando entran al país. En tanto, el FBI lleva un registro de aproximadamente 100 millones de huellas, de las cuales más de 30 millones son “civiles”, es decir, no vinculadas a actividad criminal.
Estos dos ejemplos equivalen a repositorios de información sensible, que son atractivos para los cibercriminales. Si logran acceder a esos registros, sería como cuando roban bases de datos con nombres y números de tarjetas de crédito; podrían usarlos con fines maliciosos.
Mito 2: No puedes copiar una huella dactilar
En 2013, Apple se sumergió en la era biométrica anunciando la incorporación de un escáner de huellas dactilares a su iPhone 5S. Prometía mantener tu teléfono súper protegido y proporcionar el método Touch ID para comprar en iTunes y App Store, de manera que las contraseñas ya no eran necesarias (aunque no definitivamente).
Pero a los dos días de su lanzamiento, un investigador alemán llamado Starburg usó el software disponible públicamente llamado VeriFinger para recrear las huellas del Ministro de Defensa de Alemania, usando fotos de alta resolución de las mismas. Afirmó que las copias eran capaces de burlar el sistema de autenticación de un dispositivo.
Más recientemente, en 2016, la firma Vkansee demostró que esta tecnología puede ser burlada con pocos elementos; todo lo que necesitas es arcilla y plastilina del tipo Play-Doh, y puedes capturar suficientes detalles de una huella dactilar como para engañar a un sensor y que piense que es la real. Cabe destacar que la compañía dijo que el proceso es más bien complicado y que es probable que a veces no resulte. Sin embargo, sugiere que las huellas dactilares pueden ser copiadas.
Mito 3: Las huellas dactilares reemplazarán a las contraseñas en el futuro
Dado que las huellas se pueden robar, copiar y usar para engañar a los lectores biométricos actuales, está claro que todavía estamos lejos de reemplazar a las contraseñas en forma definitiva. Incluso cuando se declaren obsoletas, van a seguir estando presentes por un tiempo, mientras probamos otras alternativas.
Lo que esto nos indica es que no hay una única solución a los problemas de seguridad en la tecnología, y ese es el motivo por el que muchos expertos recomiendan un enfoque de múltiples capas y medidas. De esa forma, hay más de una puerta de entrada que los atacantes deben evadir.
En la práctica, significa mezclar huellas dactilares, contraseñas y otras medidas como doble autenticación, particularmente cuando la información a proteger es de naturaleza sensible.
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad