La huella dactilar se cae como medida estrella de seguridad

FARO DE VIGO Miércoles, 12 Agosto 2015

Dos "hackers" consiguen acceder a móviles burlando este sistema de seguridad. El fallo permite hacer compras a cargo de la víctima.

No hay sistema infranqueable para el ciberdelincuente. Tampoco los biométricos, que se perfilan como las grandes estrellas de la seguridad. Yulong Zhang y Tao Wei, dos expertos en protección de la información computacional de FireEye, han logrado burlar uno de los mecanismos de protección más robustos, el de la huella digital, y hacerse con el control de varios dispositivos Android. Lo han hecho en directo, durante la Defcon, en Las Vegas, poniendo de nuevo sobre la mesa el problema de la vulnerabilidad de los datos, cada vez más numerosos y más personales, que se almacenan en estos pequeños dispositivos.

"En informática no hay ningún sistema invulnerable. Puede haber sistemas más seguros que otros, pero la seguridad total es imprescindible", sostiene Fernando Suárez, presidente del Colexio Oficial de Enxeñaría en Informática de Galicia (CPEIG).

Los modelos utilizados para alertar del error de los dispositivos con Android han sido un HTC One Max y un Samsung Galaxy S5, aunque la amenaza afecta igualmente a cualquier Android con sensor de huella dactilar. La fórmula para hacerse con el control del móvil consistió en tomar imágenes de las huellas dactilares. El terminal no guarda por completo la información de la huella, sino que se queda en una especie de una nube a la que los hackers han logrado acceder. Según estos dos programadores, se trata de un problema en el diseño de los Android y aseguran que en este sentido los iPhone de Apple son más seguros, en parte porque la empresa de la manzana encripta los datos de las huellas digitales.

El problema del "robo" de la huella dactilar es que puede emplearse no solo para desbloquear el móvil, sino para acceder a cualquier otro dispositivo y suplantar al dueño del móvil para acceder a su cuenta bancaria o aplicaciones como Dropbox, que ya aceptan esta fórmula y para hacer compras a cargo de la víctima. Incluso podría emplearse para falsificar documentos.

"Lo bueno de la huella digital es que es irremplazable y es muy difícil de falsificar. En este sentido, es un sistema de protección más seguro que el de los códigos alfanuméricos, al que puedes acceder con distintos intentos de combinaciones de números y letras. Lo malo es que una vez que alguien accede a tu huella digital la tiene para siempre porque tú no puedes reemplazarla como haces cuando te han robado una contraseña", reconoce el presidente de los informáticos gallegos.

El mayor riesgo derivado del fallo de los Android puede llegar si se combina con una aplicación camuflada que reutilice la información enviándola a terceros, y que estos la usen para robar. Otro error del que alertan estos sensores apunta al uso de ingeniería inversa para usar el controlador del lector para que capture la huella sin que lo desee el usuario. Aunque todavía son pocos los modelos que ofrecen esta opción -casi todos de alta gama-, las previsiones de la industria apuntan a que en 2019 lo incluirá más de la mitad de los móviles.

Siempre que se descubre una brecha en la seguridad de Internet, esta sirve para que el usuario reflexione sobre qué tipo de información quiere dejar expuesta en determinados sitios, lo que, en opinión del presidente del CPEIG, es bueno. "A veces guardamos o subimos información a la red muy alegremente. Lo bueno de este caso es que la seguridad no ha sido vulnerada por personas con el ánimo de acceder a datos sensibles y delinquir, sino para demostrar la existencia de un fallo en la seguridad, para que se mejore. Lo malo es que una vez que se se da a conocer una vulnerabilidad, muchas organizaciones criminales estarán intentando dar con el fallo también", explica.

Para mejorar el blindaje del acceso a los datos, Suárez aconseja no confiar en un único sistema como barrera de protección, sino combinarlos. "Para reforzar nuestra seguridad podemos combinar un código que sabemos, como puede ser el alfanumérico, con otro que nos pertenece, la huella dactilar", explica. Otro patrón biométrico del futuro es el iris, aunque este último no es tan popular, al menos de momento. "El dedo lo usas para marcar el código, así que te da igual usarlo como sistema. La gente es más reticente a poner el ojo delante de un dispositivo", afirma el experto.

Consulta a noticia