Casi todas las marcas principales de smartphone ya vienen equipadas con novedosos escáneres de huellas digitales. Los proveedores afirman que los sensores biométricos mejoran tanto la experiencia del usuario como la seguridad de los dispositivos móviles. Pero, ¿es eso cierto?
No exactamente. En primer lugar, estos sensores no son perfectos, tienen sus fallos. Los antiguos escáneres capacitivos no suelen reconocer las huellas digitales cuando se tienen las manos húmedas y, en cualquier caso, tampoco suelen funcionar siempre en el primer intento. Así que, si tienes las manos sudorosas en verano o durante un entrenamiento, es muy probable que tu smartphone no te reconozca. Las cicatrices, arañazos y otros defectos de la piel también disminuyen la calidad de reconocimiento. Por otra parte, muchos sensores no son capaces de distinguir un dedo real de una reproducción del mismo, lo que supone un gran problema en el sistema de seguridad.
Algunos de estos problemas podrían solucionarse cuando Qualcomm lance su sensor ultrasónico, que utiliza ultrasonidos para escanear el dedo en una imagen 3D. Este no podrá ser engañado por una reproducción de tu dedo. Además, el nuevo sensor ultrasónico funciona incluso si el dedo está sucio o mojado. Pero todavía existen otras amenazas.
#MWC2015: four promising IT #security trends https://t.co/d9P5V0mEEA
— Kaspersky (@kaspersky) March 11, 2015
Las nuevas tecnologías son siempre vulnerables, por eso mismo, porque son nuevas. No es suficiente con lanzar una gran innovación, también se tiene que implementar de forma segura, y no todos los proveedores lo pueden hacer. E incluso si lo hacen, es muy probable que no lo consigan en la primera versión. En agosto de 2015, se descubrió otra forma de sustraer las huellas digitales, de forma remota y a gran escala.
Los expertos en seguridad descubrieron que los smartphones HTC One Max y Samsung Galaxy S5 almacenaban imágenes de las huellas digitales en un archivo en formato .bmp no cifrado y que puede leerse mediante cualquier app, como si fuera una simple imagen de mapa de bits. Cualquier software, con acceso a Internet y a las fotos de los usuarios, podría hacerse con ellas. Los desarrolladores lanzaron rápidamente un parche tras el descubrimiento de este hecho, pero, ¿quién puede garantizar que no cometan errores de este tipo en los nuevos teléfonos y sistemas operativos?
Además, muchos smartphones cuentan con sensores poco protegidos, por lo que el malware puede acceder a las huellas digitales directamente desde el escáner. Curiosamente, los smartphones de Apple son muy seguros, ya que estos sí cifran los datos del escáner de las huellas digitales.
The HTC One Max accidentally stored fingerprints where any app could see them http://t.co/MFwoSIwmiv pic.twitter.com/1fNSb5ZGhx
— The Verge (@verge) August 17, 2015
Algunos proveedores (por ejemplo, Huawei) utilizan tecnología ARM TrustZone para proteger la información de sus dispositivos. Esta funciona mediante imágenes de huellas digitales en un “mundo” virtual especializado, que no es accesible para el sistema operativo principal. Por lo tanto, la información crucial (como las huellas digitales) no se puede filtrar, y no puede ser usada por aplicaciones de terceros. Por desgracia, esta tecnología también puede tener fallos, dependiendo del modelo de implementación.
Cuando oigas que una huella digital no es una contraseña, y que no se puede compartir con otras personas, olvidar o mostrar a los demás, no te lo creas. Este año los investigadores han demostrado lo fácil que es robar una huella dactilar, de forma remota, incluso sin tener contacto cara a cara. Se puede hacer usando una foto de buena calidad del dedo de la víctima. Puede ser suficiente con una cámara réflex con un buen zoom o incluso con la foto de una revista impresa en alta resolución. Por cierto, se puede usar el mismo método para falsificar el iris.
How easy is it for hackers to steal your face? https://t.co/SGtYtE1y63 #digitalidentity pic.twitter.com/Cz85TxEkYt
— Kaspersky (@kaspersky) October 28, 2015
Cuando se filtra una contraseña, se puede cambiar en cuestión de minutos, sin embargo, las huellas digitales son para toda la vida. ¿Y si se las roban? Por eso no debemos creer por completo las promesas de marketing de los proveedores. Si tienes un smartphone con sensor de huellas digitales integrado, te recomendamos que sigas estas tres sencillas reglas:
Escáneres móviles de #HuellasDigitales: ¿#seguridad adicional u otra vulnerabilidad?
Tweet
1. A pesar de las promesas de los proveedores, no utilices el escáner de huellas para autentificar tu cuenta de PayPal u otros servicios financieros. No es seguro. Ahora mismo el teléfono está en tu poder, pero mañana puede que te lo hayan robado. Un ladrón podría copiar fácilmente tus huellas desde el teléfono y usarlas en sus compras. Que tus contraseñas se vean comprometidas es más difícil, pero solo si se utilizan correctamente.
Tell me who you are and I will tell you your lock screen pattern https://t.co/kWOXB4qOIE #mobile #security pic.twitter.com/iaw6p2SJ3k
— Kaspersky (@kaspersky) August 11, 2015
2. Por lo general, las personas optan por utilizar el dedo índice o el pulgar para el acceso biométrico. Es lo más cómodo, pero no es lo mejor, ya que son los dedos que más utilizamos al teléfono. Por eso, en cualquier teléfono se podría encontrar una impresión intacta de estos dedos y crear una huella falsa para acceder, además hay una gran cantidad de manuales al respecto en Internet. Así que, lo mejor es usar el meñique y el corazón de la mano izquierda en el caso de las personas diestras y, al contrario, en el caso de las personas zurdas.
3. Un escáner de huellas digitales no es suficiente para proteger tus datos personales. Si te preocupa la privacidad, considera el uso de una aplicación especial. Por ejemplo, Kaspersky Internet Security para Android ha incorporado las funciones de Contactos personales y Antirrobo. Estas funciones te ayudarán a monitorizar un teléfono robado, borrar todos los datos del dispositivo de forma remota u ocultar el historial de mensajes de texto y la lista de contactos.
Secret code for Kaspersky Internet Security for #Android: it’s your data – https://t.co/eAAQGfsE8R pic.twitter.com/sCvGjvE2n6
— Kaspersky (@kaspersky) December 4, 2015
En general, el escáner de huellas digitales es una gran innovación, que es mucho más útil que perjudicial. Pero no debes confiar demasiado en esta herramienta, utiliza las nuevas tecnologías con prudencia y no ignores otras medidas de seguridad como las contraseñas y la verificación en dos pasos.