Aunque ya se presentaron bastante antes móviles con dispositivos biométricos, fue el lanzamiento del iPhone 5S en 2013 el que dio el pistoletazo de salida para popularizarlos entre el gran público. Este iPhone trajo a las masas el lector de huellas dactilares para desbloquear y acceder al dispositivo, una funcionalidad que ahora se da por hecha en todos los móviles de gama media o alta, a pesar de haberse demostrado con creces su bajo nivel de seguridad.
Pero claro, los fabricantes de terminales de gama alta deben justificar sus exorbitados precios de alguna manera, y poco a poco van añadiendo todo tipo de características y sensores, que en muchas ocasiones son poco más que un juguete para llamar la atención. Los más avanzados ahora incorporan también lector de iris. Samsung lo introdujo en su malogrado Galaxy Note 7, y ahora vuelve a la carga incorporándolo al Galaxy S8. Como este dispositivo tiene "pantalla infinita", no les ha quedado más remedio que colocar el lector de huellas en la parte de atrás, un sitio bastante inconveniente. Por ello, este modelo te permite desbloquearlo simplemente mirando a la pantalla, gracias a su reconocimiento de iris.
Ahora, los famosos hackers alemanes del Chaos Computer Club han logrado romper el acceso al móvil de la manera más sencilla: con una fotografía y una lentilla blanda.
Para ello basta con sacar una foto al individuo cuyo teléfono queremos atacar desde unos cinco metros de distancia con una cámara capaz de tomar fotos nocturnas o alguna a la que se le haya quitado el filtro de infrarrojos. Luego se imprime en una impresora con calidad suficiente (una de la propia marca, para mayor insulto) y se le coloca una lentilla blanda sin graduación encima a la impresión. El resultado: el móvil se desbloquea instantáneamente.
Puedes ver todo el proceso en este vídeo de un minuto:
La idoneidad de basar la seguridad en sistemas biométricos
De acuerdo: no es tan fácil conseguir una foto con esas características de alguien, ¿o sí?...
Bueno, este tipo de funcionalidad va a empezar a verse por todas partes en breve. Lo más probable es que otras marcas, especialmente de móviles más baratos, usen unos sensores también más sencillos y económicos, que se puedan engañar con una foto convencional. Es cuando muchos se van a arrepentir de ciertos "selfies" subidos a las redes sociales, por ejemplo.
En este sentido es interesante leer la nota de prensa que lanzó el CCC para anunciar que habían roto el sistema biométrico del S8.
En cualquier caso, antes de usar medidas de carácter biométrico para proteger información importante, es necesario pensar en sus implicaciones. Y no debemos olvidar que, cada vez más, nuestra vida va dentro de nuestros móviles, así que la decisión es más importante de lo que parece.
Sí, desbloquear el móvil con la huella dactilar o mirando para la pantalla es de lo más cómodo y nos permite ahorrar un segundo cada vez que lo desbloqueamos (eso son varios minutos al día, dado que lo desbloqueamos cientos de veces cada jornada). Pero debemos tener claro que, por bonito que nos lo pinten, no existen sistemas de información 100% seguros. Son un mito.
Una de las máximas de la seguridad es:
"Las claves son como el cepillo de dientes: solo lo utilizas tú y deberías cambiarlo cada poco tiempo".
Esto es así porque si se pierde o se compromete la clave o cualquier otro tipo de token de acceso a un sistema, deberíamos poder cambiarlo de inmediato para asegurarlo de nuevo.
Esto no ocurre con los sistemas biométricos, en los que por definición nuestra huella dactilar, patrón ocular o lóbulo de la oreja (por citar algunos ejemplos) son únicos en el mundo. Si por el motivo que sea éstos se ven comprometidos, de repente los sistemas cuya seguridad dependa de ellos se verán expuestos. Y hay muchas formas de que esto ocurra: desde una copia, como la del ejemplo del iris en el S8, hasta que los sistemas de almacenamiento de esa información, a priori seguros, se vean comprometidos.
Se está trabajando hace años en medidas biométricas cancelables, pero es muy complicado implementarlas en la práctica debido precisamente a que se pierde la conveniencia de las mismas, y por lo tanto pierden gran parte de su sentido original.
Además, existe otra consideración importante que acertadamente apunta el mítico Bruce Schneier en su libro clásico Beyond Fear: incluso si el sistema de autenticación es 100% seguro, de repente el eslabón débil de la cadena de seguridad pasas a ser tú. Desde luego yo no querría un sistema biométrico en mi coche (¡¡y esta noticia es vieja!!).
En resumen
No pretendo ser alarmista. Pero aprovecho la notica para intentar divulgar la idea de utilizar los sistemas de seguridad sabiendo qué hacemos, conociendo sus pros y sus contras. Comodidad frente a seguridad, incluso nuestra seguridad física.
Si lo único que nos interesa es proteger el acceso y cifrar el sistema de archivos por si perdemos el móvil o nos lo roban, es probable que la huella dactilar (no tanto el iris) sea suficiente para la persona media. El problema es no conocer las implicaciones de su uso cuando este tipo de barreras de seguridad se empiecen a ver en muchos otros ámbitos. Si además del móvil, donde ya guardamos cada vez más todos nuestros secretos, también los accesos a nuestra casa, el coche, la empresa... se realizan con medidas biométricas, es posible que empiecen los verdaderos problemas.
Una vez que nuestra "clave" se vea comprometida, no podremos cambiarla, así que conviene estar seguros de que a quienes se la proporcionamos son empresas serias con sistemas serios, y además debemos calibrar el impacto a largo plazo de haber cedido esa información ahora, cuando no parece tan importante.
¿Algunas ideas al respecto que quieras aportar? Usa los comentarios debajo.