Los sistemas de autenticación a través de la biometría se han convertido en la norma en nuestros dispositivos móviles. Atrás quedan los tiempos en los que para desbloquear el móvil usábamos únicamente el patrón o la contraseña, y ahora los lectores de huella dactilar o los sensores de reconocimiento facial ayudan (y mucho) en ese ámbito.
Sin embargo es conveniente recordar que están lejos de ser perfectos como sistema de seguridad, y lo ideal es acompañarlos de un segundo sistema de verificación como un PIN o un patrón. Los problemas de Samsung en sus Galaxy S10, y la posibilidad de desbloquear los Pixel 4 con los ojos cerrados son buenos ejemplos de un ámbito que proporciona comodidad, pero no necesariamente seguridad y privacidad.
La huella no es suficiente
La introducción de Touch ID en los primeros iPhone 5s en 2013 planteó toda una revolución en dispositivos móviles: pronto todos los fabricantes adoptaron una tecnología que se convirtió en perfecta por ofrecer un excelente equilibrio entre privacidad, seguridad y comodidad.
Desde el principio, no obstante, se dejó claro que el sensor de huella dactilar no era inexpugnable: era posible engañar a estos sensores, algo que se ha repetido incluso cuando la tecnología de estos sensores ha ido mejorando.
El último ejemplo lo tenemos en el problema que estos días se ha descubierto para los Samsung Galaxy S10: al colocarles un protector de pantalla cualquier dedo no registrado podía superar la autenticación biométrica. Samsung ya está trabajando en un parche para corregir el problema, pero mientras tanto la recomendación es clara: desactivar este método y usar otras alternativas "clásicas".
Comodidad por la cara
También Google ha sido cuestionado: tras el lanzamiento del Pixel 4 se descubrió que su nuevo (y teóricamente avanzado) sistema de reconocimiento facil permitía desbloquear el teléfono incluso con los ojos cerrados. Cualquiera podría cogerte el móvil mientras duermes y aprovecharse de esa circunstancia para desbloquearlo sin problemas.
Proof, for those asking #madebygoogle #pixel4 pic.twitter.com/mBDJphVpfB
— Chris Fox (@thisisFoxx) 15 de octubre de 2019
En el documento de soporte de los Pixel 4 se especifica en las advertencias que "tu teléfono puede ser desbloqueado por otra persona si lo mantienen frente a tu cara, incluso si tus ojos están cerrados".
La empresa ha indicado en un comunicado tras esas quejas que "El desbloqueo facial del Pixel 4 cumple con los requisitos de seguridad como un factor biométrico fuerte, y puede utilizarse para hacer pagos y autentificación en apps, incluyendo aplicaciones bancarias. Es resistente ante intentos de desbloqueo por otros medios, como el uso de máscaras. Para deshabilitar temporalmente el desbloqueo facial, se puede usar el modo de bloqueo mediante PIN / patrón / contraseña".
Ese problema se une a la propia debilidad del reconocimiento facial como sistema biométrico: varios han sido los investigadores y curiosos que han explorado varios métodos para superar la seguridad impuesta por ejemplo por Face ID, el más reputado de todos estos sistemas, y aunque puede ser más o menos engorroso, el reconocimiento facial de la mayoría de fabricantes no está pensado como sistema de seguridad, sino como una ayuda para hacernos el desbloqueo más cómodo.
Mejor combinar la biometría con un PIN o un patrón
Ha habido por ejemplo críticas en el pasado para OnePlus, que lleva integrando estos sistemas en sus móviles desde que lanzó el OnePlus 5T. En los Oneplus 6 se volvió a aprovechar esa opción, pero se comprobó que era posible desbloquear el teléfono con algo tan absurdo como una fotografía del propietario del móvil.
I printed my face to unlock my OnePlus 6 for the lulz... it worked ¯\_(ツ)_/¯ pic.twitter.com/rAVMq8JKBr
— rik van duijn (@rikvduijn) 29 de mayo de 2018
OnePlus respondió a las críticas indicando que ellos diseñaron "Face Unlock como opción de comodidad, y aunque hemos tomado las medidas correspondientes para optimizar su seguridad, siempre recomendamos una contraseña/PIN/huella para la seguridad. Por esta razón Face Unlock no está activado para aplicaciones seguras como los pagoso la banca online".
El problema es que el reconocimiento facial se está convirtiendo en mecanismo suficiente para los fabricantes que han reforzado su apuesta por esta tecnología. Apple lo habilita en Apple Pay, y Google también ofrece esa opción en los Pixel 4.
Teniendo en cuenta que se trata de sistemas que no aportan una seguridad absoluta, quizás los fabricantes deberían tratar de advertir de forma mucho más clara de los riesgos de usar esta tecnología como sustituta de una buena contraseña o de un buen patrón.
De hecho lo ideal, insistimos, es combinar la huella o el reconocimiento facial con estos sistemas clásicos, sobre todo en escenarios sensibles como los pagos o la banca online. Y a ser posible, aprovechar las aplicaciones de atuenticación en dos pasos para aumentar nuestro nivel de protección frente a fraudes y engaños.
La comodidad es importante, y estos sistemas biométricos han hecho nuestra vida más fácil que nunca. Pero cuidado, porque esa comodidad puede conllevar riesgos importantes para la seguridad y privacidad de nuestros datos y dispositivos.
Ver 15 comentarios