Una cara impresa en 3D consigue desbloquear casi todos los móviles
Los smartphones de última generación ya son capaces de desbloquear la pantalla utilizando reconocimiento facial... pero también tiene sus brechas de seguridad
Se supone que el reconocimiento facial que incorporan los últimos teléfonos inteligentes está ahí para proteger tu vida digital de los fisgones. Lo que proponen como novedad en seguridad es que la pantalla del móvil se desbloquee cuando detecte la cara de su dueño. Pero resulta que no siempre es así. Aunque cualquiera podría pensar que es un sistema de seguridad infalible —"mi cara es imprescindible para desbloquear el teléfono y no hay nadie más que tenga mi cara"— resulta que, en la mayoría de los casos, es tan vulnerable como cualquier otro sistema biométrico.
Lo ha demostrado el periodista de Forbes Thomas Brewster, especializado en ciberseguridad. Brewster encargó una copia exacta de su cara impresa en 3D. Cincuenta cámaras tomaron imágenes de todos los ángulos de su cabeza, conformaron una imagen 3D completa que, después de unos retoques, estaba lista para ser impresa. A los pocos días tenía una copia bastante aproximada de su propio rostro en tamaño real.
Brewster usó el modelo en 3D de su cabeza para intentar desbloquear cinco terminales distintos, un iPhone X y cuatro dispositivos Android: un LG G7 ThinQ, un Samsung S9, un Samsung Note 8 y un OnePlus 6. Puso su cabeza falsa delante de los dispositivos para intentar desbloquearlos. Los Android se abrieron, aunque a unos les costó más que a otros. Solo el iPhone X resistió bloqueado y no se dejó engañar. Este es el resultado de la inversión que hizo Apple en el diseño de este dispositivo: la compañía trabajó con un estudio de Hollywood con el objetivo de crear máscaras realistas para probar su sistema Face ID.
La brecha de seguridad queda entonces demostrada y los fabricantes son conscientes de ella. Al configurar por primera vez el LG G7 y el Samsung S9 el dispositivo advierte al usuario de que no active el reconocimiento facial y muestra mensajes señalando que "es un método de desbloqueo secundario que hace que el teléfono sea menos seguro" y que el teléfono podría ser desbloqueado por alguien o algo que se parezca al usuario. "Si solo usa el reconocimiento facial, esto será menos seguro que usar un patrón, PIN o contraseña", se lee en los teléfonos. "No es de extrañar entonces que, en las pruebas iniciales, la cabeza impresa en 3D la abriera de inmediato", explica Brewster.
Aunque fue fácil desbloquear los cuatro móviles Android, el OnePlus 6 fue claramente el más accesible, según explica Brewster. "No incluía las advertencias de los otros teléfonos ni la opción de un reconocimiento más lento pero más seguro. Se abrió instantáneamente cuando se le puso la cara falsa delante. Fue, sin duda, el menos seguro de los dispositivos que probamos". Con el objetivo de responder a esta cuestión, un portavoz de OnePlus explica que siempre recomiendan que se use con otras medidas de seguridad. "Por esta razón, Face Unlock no está habilitado para ninguna aplicación segura como las de banca o pagos".
Esta prueba parece un tanto surrealista: muy pocas personas guardan datos tan valiosos en sus teléfonos como para que alguien realice todos estos esfuerzos para robarle el móvil y acceder a él. Aunque es difícil que esto llegue a suceder, los expertos siguen recomendando usar un código de acceso alfanumérico sólido. "La realidad con cualquier biométrica es que pueden copiarse. Cualquier persona con tiempo, recursos y objetivos suficientes invertirá para probar y falsificar estos datos biométricos", explica Matt Lewis, director de investigación del contratista de ciberseguridad NCC Group.
Tu suscripción se está usando en otro dispositivo
¿Quieres añadir otro usuario a tu suscripción?
Si continúas leyendo en este dispositivo, no se podrá leer en el otro.
FlechaTu suscripción se está usando en otro dispositivo y solo puedes acceder a EL PAÍS desde un dispositivo a la vez.
Si quieres compartir tu cuenta, cambia tu suscripción a la modalidad Premium, así podrás añadir otro usuario. Cada uno accederá con su propia cuenta de email, lo que os permitirá personalizar vuestra experiencia en EL PAÍS.
En el caso de no saber quién está usando tu cuenta, te recomendamos cambiar tu contraseña aquí.
Si decides continuar compartiendo tu cuenta, este mensaje se mostrará en tu dispositivo y en el de la otra persona que está usando tu cuenta de forma indefinida, afectando a tu experiencia de lectura. Puedes consultar aquí los términos y condiciones de la suscripción digital.