Desbloquear el móvil con tu cara no es tan seguro como piensas

Las medidas biométricas se han aceptado popularmente como un sistema más seguro que las contraseñas tradicionales. No es raro llegar a esa conclusión si pensamos que la clave más utilizada es 123456 desde 2011 (¡¿en serio, mundo, en serio?!). En comparación con estas combinaciones tan obvias, un sistema que reconoce nuestra cara, huella dactilar o incluso las venas de nuestras manos parece infranqueable. Pero no lo es por dos motivos: porque los hackers saben que tendemos hacia ese tipo de protección y están perfeccionando sus técnicas y porque, a diferencia de una combinación de números y letras, no podemos modificar nuestras medidas biométricas: una vez que las consigan las tendrán para siempre.

Las empresas optan cada vez más por la biometría para proteger las cuentas de sus clientes porque entienden que es más difícil que los hackers consigan manipularlas. Charlie Jacco y Anthony Rjeily, expertos en ciberseguridad de KPMG, explican en un artículo de HBR que es posible que un hacker pueda acceder a la huella dactilar y la muestra de voz de un usuario, pero les parece imposible que “replique de forma simultánea una huella dactilar del pulgar, un escáner de retina y una firma por reconocimiento de voz en los segundos que tarda una aplicación en abrirse”.

La combinación de distintas medidas biométricas aumenta la seguridad. Sin embargo, aún no es habitual que te pidan varios datos físicos a la vez para desbloquear tu móvil o sacar dinero. Por ahora se usa de forma separada y así son casi tan manipulables como las contraseñas tradicionales. Olga Kochetova y Alexey Osipov, expertos de Kaspersky Lab, ya han descubierto más de una docena de desarrolladores clandestinos que venden skimmers biométricos en el mercado negro. Estos dispositivos se utilizan para robar huellas dactilares escaneadas. También hay otros cibercriminales que intentan crear dispositivos para interceptar los resultados del escaneo de iris y de la tecnología vascular.

Además de estos métodos, los delincuentes también hackean servidores que contienen los datos de los clientes. Esa información suele estar compuesta por combinaciones de nombres de usuario y contraseñas, pero también puede tratarse de las medidas biométricas de sus usuarios. Estos datos se registran también en los pasaportes y visados electrónicos. Así, si un atacante roba un pasaporte electrónico, no solo consigue el documento, sino también los datos biométricos del viajero. “Habrán robado la identidad de una persona”, explica Kochetova.

Algunos de estos futuribles ya suceden. Un hacker con el programa adecuado puede robar las huellas dactilares que aparecen en los selfies, las que se muestran cuando el retratado pone los dedos en forma de uve. Los cibercriminales utilizan esta información para acceder a los dispositivos protegidos con medidas biométricas, como los móviles que se desbloquean con las huellas dactilares. Lo demostró Isao Echizu, jefe al frente de una investigación sobre este tema que llevó a cabo el Instituto Nacional de Informática de Japón. Una vez que los cibercriminales consiguen la huella solo tienen que copiarla y utilizarla en cualquier dispositivo que dependa de este tipo de seguridad.

Es solo un ejemplo más de las veces que las medidas biométricas se han visto comprometidas. En 2015, el hacker Jan Krissler consiguió recrear el iris de Angela Merkel utilizando la foto de campaña de la presidenta de Alemania. “Una vez que los datos biométricos han sido robados y vendidos en la Deep Web —esa zona de Internet fuera de control a la que solo tiene acceso una reducida parte de los usuarios—, el riesgo de que se acceda ilegalmente a las cuentas y se utilice su identidad es extremadamente alto”, explica a The Telegraph Robert Capps, de la compañía de seguridad NuData Security.

"El problema de la biometría es que es imposible cambiar la imagen de la huella digital o el iris, a diferencia de las contraseñas o códigos pin que se pueden modificar fácilmente en caso de estar comprometidos", cuenta Kochetova. Las medidas biométricas acompañan a los usuarios a todas partes. Vamos dejando huellas dactilares en todo lo que tocamos y publicando fotos en las que aparece nuestra cara en las redes sociales, facilitando el trabajo de los cibercriminales. Ante esta situación, muchas compañías están buscando maneras de perfeccionar las medidas de protección y hacerlas más seguras. La empresa china Goodix está desarrollando un escáner de huellas dactilares en vivo, que analiza el dibujo de las yemas de los dedos y también realiza un análisis de infrarrojos y el tejido adyacente e incluso el pulso. Según los expertos, una forma de evitar la suplantación podría ser analizar capas más profundas de la piel en lugar de quedarse en la superficie.

Por lo que respecta a la tecnología de identificación biométrica en general, desde Kaspersky recomiendan que todo el mundo la utilice como método secundario de protección que complemente los otros métodos de seguridad, pero sin reemplazarlos del todo. Los rasgos de nuestro cuerpo se pueden imitar. No somos tan exclusivos como creemos.