Los nuevos lectores biométricos también pueden ser engañados

Podríamos decir que prácticamente se ha convertido en una tendencia el hecho de que nuevos dispositivos sean lanzados al mercado implementando diversas metodologías de seguridad, y las mismas sean vulneradas a los pocos días u horas de su venta al público. En este caso, le tocó a la nueva versión del Samsung Galaxy S5 y su lector biométrico integrado al botón de inicio.

La vulnerabilidad radica en cómo el lector interpreta la huella digital, ya que una copia realizada con pegamento para madera y obtenida a partir de una foto de una huella en la pantalla de la víctima fue suficiente para poder recrear la misma. Este es el mismo ataque utilizado hace no mucho tiempo en el lector de huellas del iPhone 5s. En ese caso, también se había utilizado una técnica de spoofing.

El problema se ve agravado ya que no existe un límite de comprobaciones de la huella ingresada, permitiendo a un atacante múltiples intentos de acceso sin pedir una contraseña o pin de seguridad. A su vez, estos nuevos dispositivos se integran con los servicios de billeteras digitales, permitiendo proteger el acceso a estas con la misma huella digital. Es por esto que el peligro es mayor, no sólo por la posibilidad de acceder al dispositivo y la información alojada allí, sino también por el potencial peligro de que se realicen transferencias sin el consentimiento del usuario.

Si bien los lectores de huellas evolucionaron aumentando su nivel de sensibilidad en los últimos años, logrando que los ataques mas básicos (fotografías de baja resolución o burbujas de aire creadas al momento de recrear la huella) dejen de funcionar, siguen existiendo maneras de engañarlos. Es por esto que, teniendo en cuenta la antigüedad de estas metodologías, y el reciente desarrollo de estos dispositivos, resulta cuestionable que sigan siendo vulnerables a estos ataques.

Existen alternativas biométricas que ofrecen mayores niveles de seguridad y son considerablemente más difíciles de copiar, como es el reconocimiento vascular, que extrae el patrón biométrico a partir de la geometría del árbol de venas del dedo. Los beneficios de esta metodología es que no deja rastros y sólo puede ser obtenida en presencia del usuario. Si dicha tecnología puede ser lo suficientemente reducida en tamaño como para ser utilizada en dispositivos móviles, entonces se dispondrá de un método más eficiente y seguro de identificación biométrica.

Teniendo en cuenta la cantidad de información confidencial que hoy se aloja en los dispositivos móviles, y la actual tendencia a utilizarlos como una billetera digital, es muy recomendable que el control de acceso al mismo sea lo más seguro posible. Por tal motivo, es aconsejable utilizar una contraseña alfanumérica fuerte y poco predecible, hasta que los métodos alternativos de control sean mejorados.

Créditos imagen: ©Janitors/Flickr
 

Autor Joaquín Rodríguez Varela, ESET

Síganos

Suscríbete a nuestro boletín

Recibe las últimas noticias directamente en tu bandeja de entrada

9 artículos relacionados a:
Hot Topic


Archivos

Anterior
Copyright © 2014 ESET, Todos Los Derechos Reservados.