Desde que Apple y Samsung implementaron lectores biométricos en sus teléfonos estrella, estos comenzaron a volverse una medida de seguridad habitual, pero puede que no sean tan seguras como muchos creen.
Según Ubergizmo, el investigador alemán Jan Krissler aseguró haber logrado copiar la impresión del pulgar de la Ministra de Defensa de Alemania desde una fotografía digital, en un formato legible para máquinas. Durante su presentación en el reciente Chaos Communication Congress, Krissler, alias Starbug, explicó cómo usó una imagen en primer plano del pulgar de Ursula von der Leyen, combinándola con otras fotografías para ensamblar la huella, usando para esta tarea un software biométrico llamado Verifinger.
Lectores biométricos, ¿tan seguros como creemos?
Es posible obtener huellas dactilares de cualquier objeto que una persona ha tocado, dicen desde la organización, pero esta demostración intenta confirmar que también podrían reproducirse desde fotografías comunes y corrientes, incluso de figuras públicas. ”Tras esta charla, los políticos posiblemente empiecen a usar guantes al hablar en público”, dijo Starbug.
De igual forma, cualquier atacante que utilice un método como este debería tener también acceso a una máquina que pueda fabricar una huella dactilar falsa de latex, y al dispositivo que requiera autenticación biométrica de la persona suplantada.
¿Una medida de seguridad obsoleta?
Lo cierto es que pocos días después del lanzamiento del Samsung Galaxy S5, se descubrió una vulnerabilidad en su lector biométrico integrado en el botón de inicio. En ese caso, una copia realizada con pegamento para madera y obtenida a partir de una foto de una huella en la pantalla del dispositivo fue suficiente para poder recrear la misma.
Venturebeat afirma que, más allá de la hipotética utilización de esta técnica, la identificación biométrica sigue siendo más segura que otras medidas de seguridad, como códigos PIN, y comenta: “Incluso si reproducir una huella fuera un método viable para acceder a un sistema, sea este un smartphone o un bóveda de alta seguridad, esto no significa que las huellas dactilares sean de repente inútiles. Las medidas de seguridad perfectas no existen, y las huellas todavía tienen su lugar”.
Tal vez uno de los aspectos más preocupantes sea que no existe un límite de intentos a la hora de autentificarse con una huella, lo que permite a un atacante múltiples intentos de acceso sin pedir una contraseña. De todas formas, la implementación de identificación biométrica en dispositivos de nueva generación es un paso adelante a la hora de mejorar la seguridad, lo cual no quita que deba acompañarse de otras medidas complementarias.
Josep Albors a partir de un artículo de Rob Waugh en We Live Security