La identificación biométrica (la cual utiliza rasgos físicos únicos como las huellas dactilares para autentificar a las personas) se ha considerado segura durante mucho tiempo. De por sí, la tecnología es muy atractiva para los bancos y para los usuarios de los bancos, los cuales, en conjunto, son un gran objetivo para los ciberdelincuentes.
https://media.kasperskydaily.com/wp-content/uploads/sites/87/2016/10/05200021/biometric-atm-featured.jpg
De hecho, muchos bancos ya están probando cajeros nuevos con acceso biométrico (o planean hacerlo pronto).
Desde el punto de vista institucional, la gran ventaja de métodos como el escaneo de iris o la tecnología vascular es que disminuyen la tasa de errores del falso rechazo (tipo I) y de la falsa aceptación (tipo II). A los usuarios les gusta la biométrica porque la tecnología funciona rápidamente y les libera de tener que recordar contraseñas u otros códigos secretos.
Por desgracia, la tecnología de escaneo de huellas dactilares está muy extensa y no es tan segura como debería ser. Por ejemplo, los usuarios de dispositivos Android y iOS suelen quejarse de que sus dispositivos no se desbloquean con usuarios autorizados (o lo hacen con otras personas).
Los cajeros automáticos biométricos aún no se han implementado en ninguna parte, pero nuestros expertos en seguridad Olga Kochetova y Alexey Osipov ya han descubierto más de una docena de desarrolladores clandestinos que venden skimmers biométricos en el mercado negro. Estos dispositivos son concebidos para robar huellas dactilares escaneadas.
Otros desarrolladores clandestinos intentan crear dispositivos que puedan interceptar los resultados del escaneo de iris y de la tecnología vascular. Además, el uso de skimmers no es el único método para robar datos biométricos. Los ataques man-in-the-middle y métodos similares serán tan efectivos con las credenciales biométricas como lo son ahora con los nombres de usuario y las contraseñas.
Por supuesto, los delincuentes también hackean servidores que contienen los datos de los usuarios, sin importar el tipo de información. Ten en cuenta que este año Dropbox perdió la información de unos 60 millones de cuentas y, luego, Yahoo admitió el filtrado de 500 millones de cuentas (y estos son solo dos ejemplos entre muchos otros).
More bad news from the #Yahoohack https://t.co/neicHoAHh0 #infosec #yahoo pic.twitter.com/zl6dOXe5gu
— Kaspersky (@kaspersky) September 27, 2016
Ahora, imagínate que en lugar de contraseñas, esas compañías hubieran perdido los datos biométricos de sus usuarios. Cambiar las contraseñas será un fastidio, pero no puedes cambiar tu ADN.
Además, con la ayuda de skimmers biométricos, los delincuentes pueden usar datos primarios para crear un modelo falso de datos de acceso. Los bancos necesitarán trabajar en los estándares de seguridad meticulosamente antes de lanzar los cajeros biométricos.
El declive de la seguridad biométrica
El uso de la biometría empezó con los gobiernos, las fuerzas de seguridad y la industria de defensa. En estos campos, la biometría ha resultado ser fiable, principalmente porque las instituciones podían permitirse equipos caros de primera clase.
Con la extendida adopción de la biometría, hemos visto el declive de su fantástica seguridad. La popularidad de la tecnología es en realidad el mayor factor que contribuye a esta realidad por dos razones. En primer lugar, las estándares de las especificaciones de seguridad para bienes del consumidor son menores que las de las actuaciones de importancia crítica para una actividad. En segundo lugar, el amplio campo de los dispositivos fáciles de obtener otorga a los delincuentes un gran banco de pruebas para que prueben los dispositivos de los consumidores y así encontrar siempre más vulnerabilidades (en su beneficio propio, claro). El rápido desarrollo de la impresión en 3D también ha contribuido a las vulnerabilidades biométricas.
El año pasado, se instalaron unos 6 millones de aplicaciones móviles que daban soporte a la autentificación mediante huella dactilar. Según Juniper Research, para el 2019 la humanidad usará unos 770 millones de aplicaciones de ese tipo. Para entonces, la autentificación biométrica será algo corriente. Otros expertos son más optimistas: Acuity Market Intelligence cree que para 2020, 2,500 millones de personas utilizarán 4,800 millones de dispositivos biométricos.
Esperanza (y recomendaciones) para el futuro
Por fortuna, los datos biométricos no se guardan tal como son: sino que un servidor recibe solo los datos escaneados con el hash, lo que lo hace menos atractivo para los ladrones. No obstante, los delincuentes pueden usar métodos como el ya mencionado ataque man-in-the-middle, introduciéndose en el canal de transferencia de datos entre un cajero y un centro de procesamiento para robar el dinero del usuario.
RT @emm_david: 4 ways to hack an ATM: https://t.co/tsZDBfnu04 via @kaspersky
— Kaspersky (@kaspersky) October 4, 2016
Por último, los bancos y los usuarios deberán continuar empleando medidas de seguridad estrictas contra las brechas de los datos de acceso tradicionales, además de añadir protección contra el fraude biométrico. Desde el punto de vista empresarial, eso incluye mejorar el diseño de los cajeros para también prevenir la instalación de skimmers, además de establecer y mantener un control sobre la seguridad del hardware y el software de un cajero.
Por lo que respecta a la tecnología de identificación biométrica en general, por ahora recomendamos que todo el mundo la utilice como método secundario de protección que complemente los otros métodos de seguridad, pero sin reemplazarlos del todo.