Los sistemas de autenticación a través de la biometría se han convertido en la norma en nuestros dispositivos móviles. Atrás quedan los tiempos en los que para desbloquear el móvil usábamos únicamente el patrón o la contraseña, y ahora los lectores de huella dactilar o los sensores de reconocimiento facial ayudan (y mucho) en ese ámbito.
Sin embargo es conveniente recordar que están lejos de ser perfectos como sistema de seguridad, y lo ideal es acompañarlos de un segundo sistema de verificación como un PIN o un patrón. Los problemas de Samsung en sus Galaxy S10, y la posibilidad de desbloquear los Pixel 4 con los ojos cerrados son buenos ejemplos de un ámbito que proporciona comodidad, pero no necesariamente seguridad y privacidad.
La huella no es suficiente
La introducción de Touch ID en los primeros iPhone 5s en 2013 planteó toda una revolución en dispositivos móviles: pronto todos los fabricantes adoptaron una tecnología que se convirtió en perfecta por ofrecer un excelente equilibrio entre privacidad, seguridad y comodidad.
Desde el principio, no obstante, se dejó claro que el sensor de huella dactilar no era inexpugnable: era posible engañar a estos sensores, algo que se ha repetido incluso cuando la tecnología de estos sensores ha ido mejorando.
El último ejemplo lo tenemos en el problema que estos días se ha descubierto para los Samsung Galaxy S10: al colocarles un protector de pantalla cualquier dedo no registrado podía superar la autenticación biométrica. Samsung ya está trabajando en un parche para corregir el problema, pero mientras tanto la recomendación es clara: desactivar este método y usar otras alternativas "clásicas".
Comodidad por la cara
También Google ha sido cuestionado: tras el lanzamiento del Pixel 4 se descubrió que su nuevo (y teóricamente avanzado) sistema de reconocimiento facil permitía desbloquear el teléfono incluso con los ojos cerrados. Cualquiera podría cogerte el móvil mientras duermes y aprovecharse de esa circunstancia para desbloquearlo sin problemas.
Proof, for those asking #madebygoogle #pixel4 pic.twitter.com/mBDJphVpfB
— Chris Fox (@thisisFoxx) 15 de octubre de 2019
En el documento de soporte de los Pixel 4 se especifica en las advertencias que "tu teléfono puede ser desbloqueado por otra persona si lo mantienen frente a tu cara, incluso si tus ojos están cerrados".
La empresa ha indicado en un comunicado tras esas quejas que "El desbloqueo facial del Pixel 4 cumple con los requisitos de seguridad como un factor biométrico fuerte, y puede utilizarse para hacer pagos y autentificación en apps, incluyendo aplicaciones bancarias. Es resistente ante intentos de desbloqueo por otros medios, como el uso de máscaras. Para deshabilitar temporalmente el desbloqueo facial, se puede usar el modo de bloqueo mediante PIN / patrón / contraseña".
Ese problema se une a la propia debilidad del reconocimiento facial como sistema biométrico: varios han sido los investigadores y curiosos que han explorado varios métodos para superar la seguridad impuesta por ejemplo por Face ID, el más reputado de todos estos sistemas, y aunque puede ser más o menos engorroso, el reconocimiento facial de la mayoría de fabricantes no está pensado como sistema de seguridad, sino como una ayuda para hacernos el desbloqueo más cómodo.
Mejor combinar la biometría con un PIN o un patrón
Ha habido por ejemplo críticas en el pasado para OnePlus, que lleva integrando estos sistemas en sus móviles desde que lanzó el OnePlus 5T. En los Oneplus 6 se volvió a aprovechar esa opción, pero se comprobó que era posible desbloquear el teléfono con algo tan absurdo como una fotografía del propietario del móvil.
I printed my face to unlock my OnePlus 6 for the lulz... it worked ¯\_(ツ)_/¯ pic.twitter.com/rAVMq8JKBr
— rik van duijn (@rikvduijn) 29 de mayo de 2018
OnePlus respondió a las críticas indicando que ellos diseñaron "Face Unlock como opción de comodidad, y aunque hemos tomado las medidas correspondientes para optimizar su seguridad, siempre recomendamos una contraseña/PIN/huella para la seguridad. Por esta razón Face Unlock no está activado para aplicaciones seguras como los pagoso la banca online".
El problema es que el reconocimiento facial se está convirtiendo en mecanismo suficiente para los fabricantes que han reforzado su apuesta por esta tecnología. Apple lo habilita en Apple Pay, y Google también ofrece esa opción en los Pixel 4.
Teniendo en cuenta que se trata de sistemas que no aportan una seguridad absoluta, quizás los fabricantes deberían tratar de advertir de forma mucho más clara de los riesgos de usar esta tecnología como sustituta de una buena contraseña o de un buen patrón.
De hecho lo ideal, insistimos, es combinar la huella o el reconocimiento facial con estos sistemas clásicos, sobre todo en escenarios sensibles como los pagos o la banca online. Y a ser posible, aprovechar las aplicaciones de atuenticación en dos pasos para aumentar nuestro nivel de protección frente a fraudes y engaños.
La comodidad es importante, y estos sistemas biométricos han hecho nuestra vida más fácil que nunca. Pero cuidado, porque esa comodidad puede conllevar riesgos importantes para la seguridad y privacidad de nuestros datos y dispositivos.
Ver 15 comentarios
15 comentarios
Usuario desactivado
Me parece un articulo muy alarmista y sesgado en las conclusiones. Ayer mismo la chica que tenia delante en el autobus introdujo el patron para desbloquearlo, similar a un 4 ¿podemos afirmar que no es metodo inexpugnable? Pues claro, lo que habra que analizar es la dificultad de los diferentes metodos para saltarselo, en que situaciones y condiciones.
Cuando habla de Touch ID lo hace en su version 1 y esto es aplicable a Android que en sus primeras versiones tuvo agujeros muy graves como el poder robar en remoto la huella de forma legible. En el 2019 no se puede escoger situaciones de hace 5 o 6 años para ponerlo como ejemplo, habra que actualizarlo a como se comporta el sensor de huellas hoy, demuestrenos que se levanta el sistema sin la colaboracion del propietario.
De igual forma con el desbloqueo Facial, que existan soluciones mas o menos vulnerables en X situaciones no deberia alarmarnos, todo se corrige y mejora, ahi esta la gracia de la tecnologia. Tampoco veo justo meter a todos en el mismo saco, si el sistema de OnePlus no tiene nada que ver con Face Id por ejemplo, el problema es de OnePlus por ofrecerlo, no del sistema biometrico en terminos generales. Face ID se ha convertido en sistema muy muy seguro, no solo por el hardware sino por todas las herramientas de seguridad que rodean a ese hardware. Saltarse el sistema en un laboratorio controlado y hecho a medida, con no se cuantas pruebas y recursos, eliminando ademas todas las funcionalidades de seguridad de iOS, no es vulnerar nada, porque el procedimiento empleado es irreal y forzado, cuando usted demuestre que eso que dice hacer lo consigue sin la colaboracion del propietario me creere que el sistema falla, mientras tanto pues no.
pandiloko
Si te roban un password lo cambias y ya está. Que pasa si te roban tus datos biometricos? Te cambias la cara? Las huellas digitales? A mí no me acaba de convencer el tema.
quique_fs
Con la huella dactilar también te pueden desbloquear el móvil mientras duermes, basta con acercar un dedo tuyo al sensor...
Pero lo de desbloquear con una foto impresa es increíble, hay métodos de anti-spoofing para evitar eso en producción desde hacer por lo menos 10 años (detección de vida, sensor de piel...)
allan.white.501
y el lector de iris? Que tal fue?