Lo único no existe sin herramientas lo suficientemente precisas

lector huellas

Hace escasos meses publiqué una pieza en la que listaba por orden de recomendación qué sistema de seguridad utilizar en nuestras cuentas y dispositivos. En este artículo repasaba todos y cada uno de los sistemas de verificación de identidad que tenemos habitualmente en la electrónica de consumo, llegando a la conclusión de que el más recomendable (un equilibrio bastante justo entre usabilidad, seguridad y robustez) era la huella dactilar.

  • Es de los sistemas más cómodos de utilizar: Tan solo tienes que poner el dedo en algún lugar y listo. Considerando además que la mayoría de estos dispositivos son táctiles, el que tengamos que utilizar el dedo no es ni tan siquiera un impedimento (sino iba a estar en la pantalla, lo tendríamos cerca). Muchísimo más cómodo que cualquier patrón de desbloqueo, y que buena parte de los sistemas de identificación basados en la posesión.
  • Es tan seguro como seguro sea el sistema que almacena y compara la huella con el patrón: Es decir, siempre y cuando dicho patrón cuente con las medidas de seguridad oportunas (almacenamiento en local, tokenización con los servidores de la compañía) estamos casi libres de un potencial hackeo masivo (riesgo global), dependiendo entonces casi exclusivamente de riesgos locales (robo, extorsión física…). Eso sí, de acabar ocurriendo, estamos más vendidos que con cualquier otro sistema basado en el conocimiento o en la posesión, habida cuenta de que a diferencia de una contraseña o un dispositivo, no podemos cambiarnos el dedo.
  • Queda por tanto la parte de la integridad o la robustez del sistema, y aquí mi conclusión era la esperable. Depende de la tecnología utilizada.

Un atacante podría crear un negativo de nuestra huella a partir de una imagen subida a buena resolución en cualquier red social. Del negativo crear el positivo, y presuponiendo que el dispositivo funcione bajo una tecnología que no analiza profundidad, hacerse pasar por nosotros. En caso de que estuviéramos ante un sistema que sí reconociese la profundidad de los surcos de nuestra huella dactilar (por ejemplo, basado en infrarrojos), todavía podría crear un molde sintético que emulase esos surcos y fuese capaz de nuevo de pasar la verificación. Es más complicado, todo hay que decirlo, pero posible es.

No obstante, a estos dos escenarios recientemente se les ha unido un tercero: el que el atacante sea capaz de crear una huella dactilar maestra. Y este sí me preocupa de verdad, habida cuenta de que mientras los otros dos requieren de la preparación de un ataque dirigido, este último podría afectar a cualquier potencial víctima.

La creación de una huella maestra

Resulta que la New York University (NYU), en conjunto con la Tandon School of Engineering y el colegio de ingeniería de Michigan State University, han publicado un estudio (EN) en el que demuestran que esta medida de seguridad podría ser burlada sin recurrir a los dos escenarios anteriores (complejos de materializar en la vida real) con una suerte de “huella maestra”.

Para ello partieron de una muestra de 8.200 registros parciales de dedos de distintos usuarios. De ahí obtuvieron 92 potenciales huellas maestras (una por cada 800 impresiones parciales), cada una capaz de bypasear los controles estándares en un 4% de los bloqueos.

Con éstas, buscaron los puntos en común, generando una suerte de patrón maestro que sirvió para bypasear los controles en un entre 26 y 65% de los casos.  Casi uno de cada dos dispositivos protegidos por huella podrían ser atacados eficazmente bajo una técnica semejante.

Ahora imagínese que en vez de 8.200 registros, utilizamos varios millones. Y en vez de partir de un universo de 92 huellas maestras, partimos de uno con varias decenas de miles. Ni siquiera sería necesario crear una única huella para gobernarlos a casi todos. Bastaría con reducir el ámbito a tres o cuatro (en smartphones solemos tener tres intentos y a veces uno más si bloqueamos y desbloqueamos nuevamente la pantalla), cada una obtenida en base a los puntos en común de diferentes conjuntos analizados, para maximizar la eficiencia de este tipo de ataques. Hasta cuatro intentos con la probabilidad estimada anterior. ¿No está nada mal, verdad?

Como quien lleva una navaja suiza, pero aplicada a los sistemas de verificación basados en la inherencia.

La identidad está sujeta a la herramienta de verificación

Lo que me lleva al punto que quería tratar en esta pieza.

A nivel informático no existe una identidad absoluta y única. Al final, la identidad es tan débil como débil sea la herramienta utilizada para verificarla.

Aplicado a los sistemas basados en el conocimiento, una contraseña es tan identificativa de una persona como desconocida sea por un tercero…, y como seguro o vulnerable sea el sistema que utilizamos para verificarla. Si este sistema es débil frente a ataques de fuerza bruta (directa o inversa), o frente a ataques de negación de servicio que comprometan el propio patrón de verificación o los recursos críticos necesarios para el buen funcionamiento del mismo, el sistema está roto, y la identidad no es por tanto única.

Pero claro, a fin de cuentas en una contraseña tienes un conjunto de variables claramente finitas. Con los sistemas basados en la inherencia, no obstante, está pasando lo mismo.

A ojo humano, e incluso bajo la mayoría de sistemas informáticos utilizados en la actualidad, una huella dactilar, un iris o el latido del corazón son elementos identificativos de una persona.

Pero lo son porque el universo de estudio analizado no compete a todo el universo de posibles casuísticas, sino a un porcentaje muy reducido de las mismas. Y además, las herramientas tienen un margen de error que sirve a la vez tanto para mejorar la usabilidad de estos sistemas, como para aumentar exponencialmente el riesgo a que exista un conflicto entre dos elementos distintos.

La huella dactilar de cada uno de nosotros es única. No seré yo quien diga lo contrario. Pero el patrón que genera un sistema de verificación de identidad basado en huella dactilar (o en el iris de los ojos, o en el sistema de inherencia que más le guste) no lo es, sencilla y llanamente porque en su creación, por criterios de usabilidad, eficiencia y limitaciones propias del medio, se han obviado infinitas variables, reduciendo hasta el mínimo aceptable la complejidad de una yema de los dedos.

Basta que venga alguien con los recursos necesarios para analizar un universo lo suficientemente significativo de estos patrones para que al final se acaben encontrando patrones universales que dilapidan la identidad de un sistema inherente.

Jaque mate, biometría.

Por mucho que nos mole eso de identificarnos sin hacer nada, el único sistema que es y seguirá siendo seguro es aquel que una como mínimo mínimo dos o más sistemas de identificación. Nada nuevo bajo el sol, vaya, pero que conviene recordar en situaciones como esta :).