{"id":18446,"date":"2020-04-20T10:52:57","date_gmt":"2020-04-20T16:52:57","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=18446"},"modified":"2020-04-20T10:52:57","modified_gmt":"2020-04-20T16:52:57","slug":"sas2020-fingerprint-cloning","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/sas2020-fingerprint-cloning\/18446\/","title":{"rendered":"La falsificaci\u00f3n de huellas dactilares es posible"},"content":{"rendered":"<p>Durante a\u00f1os, la <strong>seguridad<\/strong> de la <strong><a href=\"https:\/\/latam.kaspersky.com\/blog\/fingerprints-sensors-security\/6552\/\" target=\"_blank\" rel=\"noopener\">autorizaci\u00f3n mediante huellas dactilares<\/a><\/strong> ha estado sujeta a un debate encarnizado. En 2013, poco despu\u00e9s del lanzamiento del iPhone 5S con <strong>TouchID<\/strong>, los investigadores demostraron que se pod\u00eda <strong><a href=\"https:\/\/www.ccc.de\/en\/updates\/2013\/ccc-breaks-apple-touchid\" target=\"_blank\" rel=\"nofollow noopener noreferrer\"><em>hackear<\/em> esta tecnolog\u00eda<\/a><\/strong>\u00a0 al fotografiar una <strong>huella dactilar<\/strong> en una superficie de vidrio y usarla para obtener un molde que enga\u00f1ara al sistema. Pero la tecnolog\u00eda no deja de evolucionar y las mejoras fueron alentadoras.<\/p>\n<p>El a\u00f1o pasado, por ejemplo, los fabricantes comenzaron a equipar sus <strong><em>smartphones<\/em><\/strong> con esc\u00e1neres de <strong>huellas dactilares ultras\u00f3nicos<\/strong>, escondidos bajo la pantalla, lo que eliminaba la necesidad de paneles adicionales y los hac\u00eda m\u00e1s seguros, al menos en teor\u00eda.<\/p>\n<p>Nuestros colegas en <strong>Cisco Talos<\/strong> <strong><a href=\"https:\/\/blog.talosintelligence.com\/2020\/04\/fingerprint-research.html\" target=\"_blank\" rel=\"nofollow noopener noreferrer\">decidieron comprobar<\/a><\/strong> cu\u00e1n f\u00e1cil era enga\u00f1ar a los diversos tipos de esc\u00e1neres de <strong>huellas dactilares<\/strong> en los <strong>dispositivos modernos<\/strong>; o si la tecnolog\u00eda al menos era segura.<\/p>\n<p>\u00a0<\/p>\n<h2>La teor\u00eda detr\u00e1s de la autorizaci\u00f3n mediante huellas dactilares<\/h2>\n<p>Para empezar, un breve recordatorio sobre el funcionamiento de los esc\u00e1neres de huellas dactilares. La idea fundamental es sencilla: coloca tu dedo en el esc\u00e1ner de un <strong><em>smartphone<\/em><\/strong>, <strong><em>laptop<\/em><\/strong> o un <strong><a href=\"https:\/\/latam.kaspersky.com\/blog\/why-smart-padlocks-suck\/14468\/\" target=\"_blank\" rel=\"noopener\">candado inteligente<\/a><\/strong>\u00a0 y el <strong>sensor<\/strong> extraer\u00e1 una imagen de tu <strong>huella dactilar<\/strong>. Cada tipo de esc\u00e1ner reconoce las huellas dactilares a su modo. El equipo de Cisco Talos se concentr\u00f3 en los tres tipos de esc\u00e1neres m\u00e1s comunes:<\/p>\n<ul>\n<li><strong>Los esc\u00e1neres capacitivos<\/strong> son los m\u00e1s comunes. Crean una imagen por medio de una peque\u00f1a carga el\u00e9ctrica generada por los condensadores en miniatura integrados que pueden almacenar electricidad. Cuando el dedo toca el esc\u00e1ner, descarga estos condensadores. Mientras m\u00e1s extenso sea el contacto (crestas papilares), mayor ser\u00e1 la descarga; los espacios entre la piel y el sensor (valles) provocan una menor descarga. El esc\u00e1ner mide la diferencia y determina el patr\u00f3n.<\/li>\n<li><strong>Los esc\u00e1neres \u00f3pticos<\/strong> b\u00e1sicamente toman una fotograf\u00eda de la <strong>huella dactilar<\/strong>. El dispositivo emite una luz hacia el dedo a trav\u00e9s de un prisma; las crestas y los valles reflejan esta luz de modo distinto; el sensor lee la informaci\u00f3n y la convierte en una imagen.<\/li>\n<li>Los <strong><a href=\"https:\/\/latam.kaspersky.com\/blog\/mwc19-recap\/14157\/\" target=\"_blank\" rel=\"noopener\">esc\u00e1neres ultras\u00f3nicos<\/a><\/strong> usan una <strong>se\u00f1al de ultrasonido<\/strong> en lugar de una luz y registran el eco emitido por las crestas y valles (lo mismo que el reflejo de luz, las crestas y valles presentan diferentes ecos). Este tipo de esc\u00e1ner no necesita entrar en contacto con el dedo, as\u00ed que puede situarse debajo de la pantalla. Adem\u00e1s, \u201coye\u201d no s\u00f3lo la parte del dedo m\u00e1s cercana a la superficie, sino tambi\u00e9n los bordes m\u00e1s alejados del sensor, de modo que la imagen est\u00e1 m\u00e1s pr\u00f3xima a lo tridimensional, lo cual ayuda al esc\u00e1ner a <strong>detectar las falsificaciones<\/strong> que usan copias planas de impresiones.<\/li>\n<\/ul>\n<p>Al leer tu <strong>huella dactilar<\/strong>, el esc\u00e1ner o el sistema operativo la compara con la que est\u00e1 almacenada en el dispositivo. Y dado que no existe un m\u00e9todo de <strong>lectura de huellas dactilares<\/strong> que sea perfecto, cada fabricante permite cierto margen de error.<\/p>\n<p>Cuanto m\u00e1s amplio es el margen de error, m\u00e1s f\u00e1cil resulta <strong><a href=\"https:\/\/latam.kaspersky.com\/blog\/new-fingerprint-reading-technologies\/12561\/\" target=\"_blank\" rel=\"noopener\">falsificar una huella dactilar<\/a><\/strong>. Si los ajustes son m\u00e1s estrictos y el margen de error es estrecho, el esc\u00e1ner se vuelve dif\u00edcil de burlar, pero a cambio es m\u00e1s probable que el dispositivo no reconozca a su propietario leg\u00edtimo.<\/p>\n<p><strong><input type=\"hidden\" class=\"category_for_banner\" value=\"ksc-trial-generic\"><\/strong><\/p>\n<p>\u00a0<\/p>\n<h2>C\u00f3mo los investigadores falsificaron las huellas dactilares<\/h2>\n<p>Para hacer una <strong>copia f\u00edsica <\/strong><strong>de una<\/strong> <strong>huella dactilar<\/strong>, evidentemente necesitas conseguir una. El equipo de investigaci\u00f3n hall\u00f3 tres maneras de hacerlo.<\/p>\n<p>\u00a0<\/p>\n<h3>C\u00f3mo robar una huella dactilar. M\u00e9todo 1: elabora un molde<\/h3>\n<p>Es posible hacer un molde de la <strong>huella dactilar<\/strong> deseada cuando, por ejemplo, la v\u00edctima est\u00e1 inconsciente o indispuesta. Cualquier material suave que fije es adecuado; por ejemplo, la plastilina.<\/p>\n<p>Un atacante puede entonces utilizar el molde para <strong>falsificar<\/strong> la yema de los dedos. La dificultad evidente es que el atacante necesita que la v\u00edctima se encuentre en un lugar adecuado y f\u00edsicamente accesible.<\/p>\n<p>\u00a0<\/p>\n<h3>C\u00f3mo robar una huella dactilar. M\u00e9todo 2: apoderarse de una imagen del esc\u00e1ner<\/h3>\n<p>Otra manera de <strong>robar una<\/strong> <strong>huella dactilar<\/strong> es mediante un esc\u00e1ner. Este m\u00e9todo es m\u00e1s complicado en el aspecto t\u00e9cnico, pero la buena noticia para los ladrones de poca monta es que no todas las empresas que manejan <strong>datos biom\u00e9tricos<\/strong> los almacenan de modo fiable. No resulta imposible <strong><a href=\"https:\/\/www.vpnmentor.com\/blog\/report-biostar2-leak\/\" target=\"_blank\" rel=\"nofollow noopener noreferrer\">encontrar las huellas dactilares escaneadas<\/a><\/strong> de alguien o adquirirlas a bajo costo en la <strong><em>darknet<\/em><\/strong>.<\/p>\n<p>A continuaci\u00f3n, la <strong>imagen bidimensional<\/strong> se tiene que convertir en un <strong>modelo 3D<\/strong> e imprimirse mediante una <strong>impresora 3D<\/strong>. En primer lugar, el programa con el cual los investigadores crearon el dibujo no les permiti\u00f3 determinar su tama\u00f1o. En segundo lugar, el fotopol\u00edmero usado en la <strong>impresora 3D<\/strong> de bajo costo tuvo que calentarse despu\u00e9s de imprimir, lo cual alter\u00f3 las dimensiones del modelo.<\/p>\n<p>En tercer lugar, cuando los investigadores finalmente lograron crear un <strong>modelo de huella dactilar<\/strong> adecuado, result\u00f3 que el <strong>pol\u00edmero<\/strong> con el que estaba hecho era demasiado duro, y no se pudo burlar ning\u00fan esc\u00e1ner. Para resolverlo, en lugar del modelo de un dedo, los investigadores decidieron imprimir un molde que posteriormente usaron para hacer una <strong>pr\u00f3tesis dactilar<\/strong> a partir de un material m\u00e1s el\u00e1stico.<\/p>\n<p>\u00a0<\/p>\n<h3>C\u00f3mo robar una huella dactilar. M\u00e9todo 3: toma una fotograf\u00eda de una huella dactilar de una superficie de vidrio<\/h3>\n<p>Otra opci\u00f3n para <strong>robar una huella dactilar<\/strong>, y tambi\u00e9n la m\u00e1s simple, es obtener una <strong>fotograf\u00eda<\/strong> de la <strong>huella dactilar<\/strong> deseada de una <strong>superficie de vidrio<\/strong>. Eso es exactamente lo que sucedi\u00f3 con el iPhone 5S. La imagen se procesa para lograr el nivel requerido de claridad y despu\u00e9s, lo mismo que antes, se manda a una <strong><a href=\"https:\/\/latam.kaspersky.com\/blog\/3d-printed-keys\/6543\/\" target=\"_blank\" rel=\"noopener\">impresora 3D<\/a>.<\/strong><\/p>\n<p>Seg\u00fan lo que se\u00f1alan los investigadores, los experimentos con la <strong>impresora 3D<\/strong> fueron largos y tediosos. Tuvieron que calibrar la impresora y encontrar el molde del tama\u00f1o correcto mediante prueba y error, y la impresi\u00f3n efectiva de cada modelo (50 en total) con los ajustes requeridos tom\u00f3 una hora. As\u00ed pues, la <strong>falsificaci\u00f3n de una<\/strong> <strong>huella dactilar<\/strong> para desbloquear un <strong><em>smartphone<\/em><\/strong> robado no es algo que se puede hacer r\u00e1pidamente; tampoco es un m\u00e9todo muy r\u00e1pido copiar la huella dactilar de una v\u00edctima mientras duerme.<\/p>\n<p>Fabricar un molde para falsificar la huella dactilar es apenas la mitad del camino. La elecci\u00f3n del <strong>material<\/strong> para el propio modelo resulta ser mucho m\u00e1s dif\u00edcil, porque la falsificaci\u00f3n estuvo destinada a probarse en tres <strong>tipos de sensores<\/strong>, cada uno con un m\u00e9todo diferente de lectura de huellas dactilares. Por ejemplo, para los sensores ultras\u00f3nicos y \u00f3pticos, resulta irrelevante si el material puede conducir corriente, pero no para el de tipo capacitivo.<\/p>\n<p>Sin embargo, sin ir m\u00e1s lejos, esta parte del proceso para falsificar una huella dactilar es accesible para todos: el mejor material para hacer impresiones falsas es el pegamento para telas barato.<\/p>\n<p>\u00a0<\/p>\n<h2>Qu\u00e9 dispositivos pudimos <em>hackear<\/em> con las huellas dactilares falsificadas<\/h2>\n<p>Los investigadores probaron sus <strong>falsificaciones de huellas dactilares<\/strong> en varios <em>smartphones<\/em>, <em>tablets<\/em>, y <em>laptops<\/em> de diversos fabricantes, as\u00ed como en <strong>candados inteligentes<\/strong> y dos <strong><a href=\"https:\/\/latam.kaspersky.com\/blog\/weaponized-usb-devices\/14409\/\" target=\"_blank\" rel=\"noopener\">unidades USB<\/a><\/strong> protegidas con un <strong>sensor de huellas dactilares<\/strong>: Verbatim Fingerprint Secure y Lexar Jumpdrive Fingerprint F35.<\/p>\n<p>Los resultados fueron desalentadores: se burl\u00f3 la mayor\u00eda de los <em>smartphones<\/em> y <em>tablets<\/em> en un 80%\u201390% de las veces; en algunos casos, la tasa de \u00e9xito fue del 100%. Los moldes de <strong>impresora 3D <\/strong>eran los menos efectivos en la escala, pero la diferencia realmente no era mucha; los tres m\u00e9todos descritos anteriormente en realidad funcionaron bien.<\/p>\n<p>Hubo excepciones, sin embargo. Por ejemplo, el equipo de investigaci\u00f3n no pudo burlar por completo el smartphone Samsung A70, aunque vale la pena aclarar que el A70 es el m\u00e1s propenso a no reconocer a su verdadero propietario.<\/p>\n<p>Los dispositivos con <strong><a href=\"https:\/\/latam.kaspersky.com\/blog\/windows-adobe-type-manager-vulnerability\/17959\/\" target=\"_blank\" rel=\"noopener\">Windows 10<\/a><\/strong> tambi\u00e9n resultaron impenetrables, independientemente del fabricante. Los investigadores atribuyen esta notable uniformidad al hecho de que el <strong>sistema operativo<\/strong> es el que compara la <strong>huella dactilar<\/strong>,\u00a0 as\u00ed que no es mucho lo que depende del fabricante del dispositivo.<\/p>\n<p>Por su parte, las <strong>unidades extra\u00edbles<\/strong> <strong>protegidas<\/strong> resultaron dignas de ese nombre, pese a que nuestros colegas advirtieron que tambi\u00e9n puede ser susceptibles a ataques m\u00e1s sofisticados.<\/p>\n<p>Y, por \u00faltimo, pero no menos importante, los <strong>esc\u00e1neres de huellas dactilares<\/strong> <strong>ultras\u00f3nicos<\/strong> fueron los m\u00e1s f\u00e1ciles de burlar. A pesar de su capacidad de percibir una imagen 3D, leyeron las impresiones falsas como genuinas cuando un dedo real colocaba la falsificaci\u00f3n sobre el sensor.<\/p>\n<p>\u00a0<\/p>\n<h2>Protecci\u00f3n mediante huellas dactilares para los usuarios comunes<\/h2>\n<p>De acuerdo con los investigadores, la seguridad de la <strong>autorizaci\u00f3n mediante huellas dactilares<\/strong> deja mucho que desear, e incluso hasta cierto punto su situaci\u00f3n se ha deteriorado en comparaci\u00f3n con a\u00f1os pasados. Si te interesa conocer m\u00e1s, no dejes de leer nuestras publicaciones donde nuestros expertos tambi\u00e9n consiguen <strong><em>hackerar<\/em> un<\/strong> <strong><a href=\"https:\/\/latam.kaspersky.com\/blog\/36c3-immobilizers\/17096\/\" target=\"_blank\" rel=\"noopener\">auto<\/a><\/strong>\u00a0 y una <strong><a href=\"https:\/\/latam.kaspersky.com\/blog\/vulnerable-smart-home\/14962\/\" target=\"_blank\" rel=\"noopener\">casa inteligente<\/a><\/strong>.<\/p>\n<p>Dicho esto, elaborar un dedo falso es un proceso un tanto oneroso, al menos desde el punto de vista del tiempo requerido, lo cual significa que el usuario com\u00fan no tiene nada que temer. Pero es una historia muy diferente si acaso est\u00e1s en la mira de un <strong>grupo criminal<\/strong> o un <strong>servicio de inteligencia<\/strong> bien financiado. De ser as\u00ed, lo mejor es proteger todos tus dispositivos, adem\u00e1s de la huella dactilar, con una cl\u00e1sica<strong> contrase\u00f1a<\/strong> <strong>segura<\/strong>. Despu\u00e9s de todo, quebrar una <strong><a href=\"https:\/\/latam.kaspersky.com\/blog\/strong-password-day\/14015\/\" target=\"_blank\" rel=\"noopener\">contrase\u00f1a segura<\/a><\/strong> es m\u00e1s dif\u00edcil y siempre puedes cambiarla si sospechas que pudo haber ca\u00eddo en manos equivocadas o si te han <strong><a href=\"https:\/\/latam.kaspersky.com\/blog\/smartphones-vs-pickpockets\/13099\/\" target=\"_blank\" rel=\"noopener\">robado el dispositivo<\/a><\/strong>.<\/p>\n<p>\u00a0<\/p>\n<p><strong><input type=\"hidden\" class=\"category_for_banner\" value=\"ksc-trial-generic\"><\/strong><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Los investigadores encontraron un modo de falsificar huellas dactilares para enga\u00f1ar a los dispositivos, si bien les cost\u00f3 mucho trabajo.<\/p>\n","protected":false},"author":2581,"featured_media":18447,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2738],"tags":[3939,2231,2232,778,783,3940,1710,781],"class_list":{"0":"post-18446","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-technology","8":"tag-candados-inteligentes","9":"tag-datos-biometricos","10":"tag-huellas-dactilares","11":"tag-laptops","12":"tag-sas","13":"tag-sas-2020","14":"tag-security-analyst-summit","15":"tag-smartphones"},"hreflang":[{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/sas2020-fingerprint-cloning\/18446\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/sas2020-fingerprint-cloning\/20638\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/sas2020-fingerprint-cloning\/16466\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/sas2020-fingerprint-cloning\/8128\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/sas2020-fingerprint-cloning\/21522\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/sas2020-fingerprint-cloning\/19775\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/sas2020-fingerprint-cloning\/22420\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/sas2020-fingerprint-cloning\/21364\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/sas2020-fingerprint-cloning\/28101\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/sas2020-fingerprint-cloning\/8113\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/sas2020-fingerprint-cloning\/34929\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/sas2020-fingerprint-cloning\/14668\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/sas2020-fingerprint-cloning\/14974\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/sas2020-fingerprint-cloning\/13338\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/sas2020-fingerprint-cloning\/23729\/"},{"hreflang":"zh","url":"https:\/\/www.kaspersky.com.cn\/blog\/sas2020-fingerprint-cloning\/11372\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/sas2020-fingerprint-cloning\/28161\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/sas2020-fingerprint-cloning\/25306\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/sas2020-fingerprint-cloning\/22053\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/sas2020-fingerprint-cloning\/27359\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/sas2020-fingerprint-cloning\/27197\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/latam.kaspersky.com\/blog\/tag\/sas\/","name":"SAS"},"_links":{"self":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/18446","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/users\/2581"}],"replies":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/comments?post=18446"}],"version-history":[{"count":2,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/18446\/revisions"}],"predecessor-version":[{"id":18449,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/18446\/revisions\/18449"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media\/18447"}],"wp:attachment":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media?parent=18446"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/categories?post=18446"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/tags?post=18446"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}