Autenticación en smartphones: ¿el fin de las claves?

Para tener en cuenta: este artículo no incluye información sobre la gama completa de tecnologías de autenticación para smartphones conocidas; sólo es una versión ampliada de las respuestas que dimos a una serie de preguntas recientes sobre algunas tecnologías específicas y al pedido de profundizar sobre otros temas más abstractos.

Hace poco, Karenina Velandia, de parte de BBC Mundo (la versión en español de BBC World Service) nos pidió (más específicamente, a ESET Reino Unido) que hiciéramos algunos comentarios sobre un artículo en el que estaba trabajando, acerca de la seguridad y la eficacia de las tecnologías disponibles para bloquear dispositivos móviles.

Las preguntas se referían a cuatro tecnologías principales:

  • La autenticación biométrica mediante huellas dactilares
  • La autenticación biométrica mediante la lectura del iris
  • La detección corporal (on-body detection), una característica para Android
  • La “contraseña tradicional”

Lo que sigue a continuación son esencialmente mis observaciones personales con algunos datos que agregué a modo de aclaración.

Autenticación biométrica con huellas dactilares

Sin duda alguna, la lectura de huellas digitales ya no es nada nuevo. Este método se ha empleado con frecuencia para iniciar sesión en una laptop, así como para obtener acceso físico a edificios o habitaciones.

La efectividad de la autenticación biométrica mediante huellas dactilares depende en gran medida del dispositivo que escanea la huella y la aplicación utilizada para procesarla. Sin embargo, muchas tecnologías de este tipo se consideran vulnerables, dado que es posible engañar al escáner con huellas digitales robadas y clonadas, e incluso con un dedo amputado.

De todas formas, no deja de ser un obstáculo para el ladrón oportunista cotidiano. Por otro lado, diversos problemas físicos pueden provocar que el escáner no sea capaz de autenticar a un usuario legítimo. Aunque un usuario legítimo también puede olvidar su clave… en este caso, el problema radica en la forma en que el proveedor soluciona las fallas de autenticación legítima.

Reconocimiento del iris

El reconocimiento del iris se basa en la hipótesis de que es posible encontrar patrones complejos únicos mediante un análisis automatizado de imágenes de vídeo que registren el iris de un individuo. Una vez más, esto depende de la calidad del escáner, así como del software utilizado.

Desde hace un tiempo están disponibles algunos teléfonos que aseguran ser capaces de leer el iris en forma confiable, pero es difícil determinar su eficacia: de hecho, actualmente no conozco ningún teléfono donde se esté usando esta tecnología, aunque no significa que no existan  (no soy tan fanático de los smartphones).

En principio, el iris es más difícil de falsificar que una huella digital, a menos que seas Tom Cruise. Aunque creo que la tecnología que usaban para identificar a la gente en la película Minority Report en realidad era la lectura de la retina, una tecnología similar que es mucho menos común.  ;)

Detección corporal

La detección del cuerpo humano es una tecnología de bloqueo inteligente presentada por Google para dispositivos móviles Android. Tengo entendido que simplemente bloquea el teléfono cuando el acelerómetro indica que nadie lo lleva encima.

No es un método alternativo de autenticación, como tampoco lo es bloquear el teléfono pasados los n minutos: simplemente activa el mecanismo de autenticación previamente configurado en el dispositivo. De hecho, incluso podría hacer que el dispositivo fuera aún más vulnerable al uso indebido si el usuario se lo da a un tercero o si se lo saca un carterista.

Contraseñas y claves

La contraseña “tradicional” es una cadena de caracteres que se usa para autenticarse y obtener acceso a una ubicación o a un recurso. Según la implementación, los caracteres que componen la cadena pueden ser números, letras, signos de puntuación y otros caracteres especiales, o (más probablemente) una mezcla de ellos. La clave, en cambio, se usa generalmente como un sinónimo del número de identificación personal (o PIN), donde solo se emplean caracteres numéricos.

Aquí voy a citarme a mí mismo (algo que escribí para un blog independiente, no para WeLiveSecurity):

Hasta cierto punto, la combinación de una buena clave o contraseña con un límite de intentos en su ingreso es muy difícil de vencer (siempre y cuando los atacantes no usen otras técnicas alternativas, como el ataque por fuerza bruta o la adivinación de contraseñas offline).  [Claro que esto no tiene validez si por algún otro medio se divulgan los pares de contraseña + nombre de usuario de la cuenta, por ej., si al proveedor le roban los datos de la base de credenciales.] … los smartphones suelen tener una opción para borrar los datos y/o para hacer que el teléfono sea inaccesible tras cierta cantidad de intentos erróneos de acceso. … Entonces parecería que si evitamos el reducido grupo de las claves más comunes tendríamos que estar a salvo mientras se aplique esta combinación de defensas.

(Aclaro que con esto no quiero decir que no se deberían usar mejores tecnologías de autenticación cuando estén disponibles, y desde luego no estoy sugiriendo que la autenticación en varias fases sea una mala idea).

En otras palabras, normalmente hasta un número de PIN de cuatro dígitos es razonablemente seguro siempre y cuando no sea uno de los números estereotipados ampliamente utilizados (en este paper explico las estrategias que emplean los usuarios para elegir sus claves y saco algunas conclusiones sobre las opciones más comunes), y si la cantidad de intentos permitidos está restringido, y si las credenciales no se divulgaron por otros medios (por ej., por un ataque a la base de datos del proveedor del servicio).

Lo mismo se aplica a las claves más largas, las contraseñas alfanuméricas (en especial si se permite el uso de otros caracteres), pero sin duda, con la diferencia de que aquí la cantidad de opciones es mayor.  Hay que recordar que la mayoría de claves o contraseñas descifradas se basan en el robo de las bases de datos y no en adivinar una contraseña individual como lo hacen en las películas…

Sin embargo, el dispositivo que describo en este artículo evade el mecanismo utilizado por una marca de smartphones para restringir la cantidad de intentos de acceso. De todas formas, no es algo que todo ladrón de teléfonos lleve en el bolsillo. De hecho, existen otras técnicas utilizadas por investigadores forenses que pueden resultar muy efectivas para obtener acceso a un smartphone y que pueden funcionar sin importar el tipo de autenticación empleada, pero ya estamos hablando de herramientas especializadas que no están a disposición de cualquier ladrón oportunista.

Lo que está por venir

Las preguntas originales también mencionaban el método de “deslizar el dedo por un patrón de desbloqueo”, lo que probablemente se refiriera al mecanismo de Android que Righard Zwienenberg analizó en 2012. El artículo sugiere que los números de PIN y el dibujo de una letra u otro patrón en la pantalla son subdivisiones de la misma categoría. No estoy convencido de que este sea el caso, pero existe una similitud entre dibujar una imagen con líneas uniendo los puntos de una cuadrícula de 9 puntos y seleccionar una contraseña o código basándose en patrones según la disposición en un teclado numérico.

Como indicó Righard, también hay algunas variaciones: en particular mencionó la tecnología “floating touch” (dibujar el patrón sobre la pantalla sin tocarla), ya que existe la posibilidad de que quede un rastro físico en la pantalla tras dibujar el mismo patrón en forma reiterada; y también habla sobre el SmartTag (un pequeño token con capacidad de lectura/escritura cuando se encuentra dentro del radio de alcance del teléfono), que ni siquiera se mencionaron en el artículo de BBC.

Conclusión

Por más interesante que sea todo esto, debemos decir que (como ocurre con las demás tecnologías informáticas) la autenticación en el teléfono se ve perjudicada por el hecho de que la mayoría de las tecnologías (para que el usuario haga el menor esfuerzo posible) se orientan a proporcionar una autenticación simple y única en lugar de usar tecnologías de múltiples factores, que son más seguras, pero menos convenientes para el usuario. Y no quiero ni pensar en la práctica de llevar el propio dispositivo al trabajo (BYOD).

De hecho, unos días después de que se publicó el artículo de BBC, el Times me hizo una consulta donde no tuve más opción que empezar a hablar sobre BYOD. La siguiente fue mi respuesta a varios de los temas que surgieron.

El creciente uso de algunas formas de autenticación biométrica en dispositivos móviles probablemente hizo que los consumidores notaran su existencia y comenzaran a utilizar un rango más amplio de opciones. Esto no es para nada bueno por varios motivos.

Lamentablemente, la tendencia actual es promover el uso de una nueva tecnología en reemplazo de otra (por ejemplo, de las contraseñas y las claves), en lugar de promover la autenticación en varias fases para evitar el peligro que significaría el fallo de un método individual. Esta es una consecuencia inevitable de la tendencia en la cual las nuevas tecnologías informáticas aparecen primero en el mercado del consumidor y luego se propagan hacia las organizaciones: incluso en los entornos corporativos, la seguridad tiende a quedar en segundo plano y se prioriza la conveniencia.

Para el consumidor, que no tiene un equipo de TI o un CISO que lo presione para cumplir con políticas y requisitos obligatorios, la conveniencia puede parecer mucho más importante, en particular porque tiende a pensar más en la pérdida del hardware y menos en los problemas potenciales de la pérdida de datos, credenciales, etc.

El uso corporativo (y en especial gubernamental) de métodos biométricos suele involucrar hardware sofisticado y costoso (quizá por eso la autenticación biométrica no esté tan difundida como se esperaba 20 años atrás). La aplicación de la tecnología biométrica en los dispositivos móviles se encuentra en expansión, pero puede verse comprometida por las limitaciones de hardware, o por el costo de actualización de hardware que implica.

Es probable que el impacto de estos temas afecten el ámbito de la seguridad corporativa en empresas donde se imponga la práctica de BYOD (Bring Your Own Device). En ese punto, el problema va más allá de la pérdida de un dispositivo personal e incluso de los datos personales, para pasar a ser fraude corporativo, espionaje industrial, entre otros ataques de seguridad y privacidad.

Autor David Harley, ESET

Síguenos