Era cuestión de tiempo que los sistemas de seguridad biométricos que empiezan a destacar en los smartphones fueran examinados bajo lupa para comprobar qué tan seguros son. La conferencia de seguridad Black Hat ha sido el escenario en el que los expertos en esta área han demostrado que los sensores de huellas son un blanco fácil para los piratas informáticos. Sin embargo, cabe destacar que son más vulnerables a los ataques los sensores incluidos en los dispositivos de marcas como Samsung, HTC y Huawei que el utilizado por Apple en sus iPhones, el popular sensor Touch ID. ¿Por qué?
Patrones de bloqueo y pines han sido y son actualmente las opciones más aceptadas para bloquear por software nuestros smartphones. También existen otras variantes como Knock Code de LG, pero durante los últimos años empiezan a aparecer otras herramientas de seguridad basadas en hardware. Nos referimos principalmente al sensor de huellas, elemento que introdujeron sin demasiada suerte empresas como Pantech, pero que Apple logró convertir en un estándar en el sector a partir de su sensor Touch ID en el iPhone 5s. Desde entonces el número de smartphones que incluyen esta característica va en aumento y se espera que en 2019 el 50% de los smartphones disponga de sensor de huellas.
El éxito del sensor de huellas
La facilidad a la hora de desbloquear un smartphone e incluso la utilidad para identificar al usuario en servicios de pago como Pay Pal y la App Store de Apple sin contraseñas han convertido al sensor de huellas en un elemento diferenciador. Sin embargo, desde su establecimiento en el sector muchos han sido los debates en torno a la seguridad de estos sistemas biométricos. ¿Son tan seguros como prometen? La Red ha servido de escaparate para mostrar las técnicas con las que es posible crear una copia de nuestra huella y suplantarnos, aunque para ello era necesario contacto directo y físico con el terminal.
Vulnerables en la distancia
Ahora, las charlas impartidas en el marco de la conferencia de seguridad anual Black Hat, celebrada en Las Vegas, nos ponen en conocimiento que los sensores de huellas de los smartphones pueden suponer una amenaza para la seguridad del terminal y del propio usuario. Y es que los investigadores de FireEye Tao Wei y Yulong Zhang han demostrado varios tipos de ataques –concretamente cuatro- mediante los cuales es posible robar la copia digital de las huellas dactilares almacenadas en los smartphones Android. Independientemente de las técnicas usadas, lo más relevante es que las huellas digitales pueden ser robadas de forma remota sin que el usuario sea consciente. Las pruebas que confirman la teoría de estos dos expertos en la materia han sido llevadas a cabo en un HTC One Max y un Samsung Galaxy S5, pero avanzan que se puede extrapolar al resto de equipos de Samsung, HTC y Huawei que actualmente disponen de un sensor de huellas.
El problema reside en que el sensor de huellas no está “blindado” y la situación es más acuciante cuando el usuario decide rootear el equipo –conseguir permisos de superusuario o root-, una de las principales capas de seguridad del sensor. Aunque Wei y Zhang no han determinado que fabricante ofrece mayores niveles de seguridad, sí que han indicado que el sensor Touch ID es “bastante seguro”. La razón habría que buscarla en el funcionamiento del mismo dado que la huella digital está en todo momento cifrada, incluso en el momento de la lectura, y lo más importante, no está almacenada como imagen. Por tanto, aunque el pirata informático en cuestión robase la copia, aún se encontraría con una barrera más, el logaritmo utilizado por la firma de Cupertino. La pregunta es: ¿por qué no existe este cifrado en Android? ¿Tomará nota el resto de fabricantes? Por lo pronto ya han sido advertidos del riesgo que puede entrañar el uso del sensor de huellas en sus equipos.