Uno de los artículos más leídos de esta página es aquel tutorial que escribía ya hace un par de añitos, y que he ido periódicamente actualizando, en el que hablábamos de qué sistema de seguridad utilizar en nuestras cuentas y dispositivos.
Se trata básicamente de un listado bastante completo y a modo de ranking de todos los sistemas de desbloqueo/identidad con los que cuentan hoy en día nuestros dispositivos, ordenados desde aquellos que recomiendo más a los que intentaría evitar teniendo en cuenta el triángulo típico (seguridad, usabilidad, robustez).
Y en él el ganador, hoy por hoy, sigue siendo bajo mi humilde opinión el reconocimiento basado en huella dactilar:
- Es muy cómodo de utilizar (la mayoría de usos que le damos a nuestro dispositivo requieren que previamente lo cojamos, y al cogerlo no nos cuesta nada poner el dedito donde corresponda).
- Es como la mayor parte de sistemas de identidad basados en la biometría difícil de atacar (sí, alguien puede crear un patrón 3D de tu dedo mediante una fotografía y usurparte la identidad, pero reconozcamos que sencillo, lo que se dice sencillo, no es).
- Y además es innato a nosotros, ergo requiere o sofisticados hackeos que ni de lejos están al alcance de cualquiera (el punto anterior), o que el ataque se realice de forma dirigida y en local, forzándonos a colocar nosotros el dedo en el dispositivo.
De hecho este último es uno de sus puntos débiles, ya que como explicaba ya hace unas cuantas semanas en privado para los mecenas de la comunidad, cada vez más gobiernos parecen interesados en considerar que si la persona no tiene explícitamente que realizar una acción consciente para permitir a las fuerzas del orden acceder a sus dispositivos, ese “dato personal” pasa a un segundo plano menos restrictivo, y las fuerzas del orden podría obligarnos sin mediación de un juez.
El tema tiene ya de por sí delito, ya que estamos hablando de que en algunas jurisprudencia empieza a ser posible que un policía te fuerce legalmente a colocar tu dedo o mirar hacia tu smartphone para consultar la información de su interior aludiendo a que esto lo podrías hacer incluso inconsciente. Cosa que, por ejemplo, si este dispositivo está bloqueado con una contraseña o incluso con un patrón de desbloqueo, al ser ambos sistemas de identificación basados en el conocimiento (y por tanto requerir consciencia para pasarlos), la ley nos ampara.
Y sin embargo…
Los sistemas de identificación basados en el conocimiento, además de ser más inseguros por el simple hecho de que la forma de evaluación (ver si el patrón o contraseña que hemos metido coincide con el que hay en X base de datos) es profundamente más insegura y subjetivada a ataques globales (tu cuenta está comprometida no porque te hayan atacado a ti personalmente, sino porque tal servicio ha sido comprometido y millones de contraseñas de usuario se han expuesto, entre ellas la tuya), son profundamente débiles por la propia particularidad del medio a un ataque tan low-tech como es el de la huella de grasa.
¿Que no sabes a qué me refiero?
Pues ahora mismo coge tu smartphone y muévelo levemente para que en la pantalla se refleje la luz.
¿Ves esas marcas que han dejado tus
grasososdedos al desplazarte por ella? Y a que casualmente, a base de desbloquear el terminal varias veces al día, esas huellas son más intensas en las zonas que tienes que pulsar para meter tu patrón o contraseña.
Esto con los sistemas de identidad basados en la biometría no pasa. Y recalco, es algo muy positivo, ya que un ataque basado en huella de grasa lo puede hacer hasta el más tonto (en Wounds, una película recientemente publicada de Netflix, el protagonista lo utiliza para acceder al terminal que dejan unos chicos en su bar y que es pilar de la trama). Pero uno basado en el hijackeo de una huella dactilar ya requiere unos conocimientos y recursos elevados.
Y sin embargo…
Visto lo visto sigo defendiendo eso de que la huella dactilar es el mejor sistema de identificación del momento.
Y sin embargo… parece que la moda actual es meterle reconocimiento facial a nuestros dispositivos.
Hasta el punto de que, como vimos en el recién presentado Google Pixel 4 (ES), ya ni siquiera viene con huella dactilar.
Y esto es, de nuevo bajo mi humilde opinión, un error por dos motivos principales:
- El primero, del cual ya hablé en profundidad no hace mucho, es que como es normal para un reconocimiento facial necesitamos que el dispositivo tenga una cámara frontal activa prácticamente siempre. Ergo, ¿dónde queda la privacidad? O mejor dicho, ¿cómo podemos saber a ciencia cierta que ese móvil que tenemos encima de la mesa cuando estamos reunidos en el trabajo no está, además de esperando a que nuestra cara pase por delante de su ángulo de visión, registrando todo lo que hacemos o decimos?
- El segundo -que tiene que ver con la propia implementación del sistema- y es que como ha ocurrido con este Pixel 4 los ingenieros de Google detrás de su desarrollo se han olvidado de tener en cuenta que para desbloquear el terminal la persona debería tener la vista fija en el mismo. Que ahora mismo cualquiera con un Pixel 4, hasta que en efecto solucionen “este pequeño error de seguridad” (EN), puede descubrir a las malas cómo su hijo o su pareja le desbloquea el terminal mientras éste está durmiendo. Ya ni hablemos frente a cualquier otro interesado, fuerzas del orden o ladrones incluidos (te dejan inconsciente y lo desbloquean).
Otro motivo (junto con su escasa batería, aunque sea cierto que con la carga rápida y un buen cable compatible se solventa, más si tenemos un código de descuento como este SAVE20WH) que enturbia el que sin lugar a dudas, y junto al iPhone 11, cuenta con la mejor cámara smartphone del momento, y al ser Android puro seguramente también la mejor experiencia Android que hay.
Y varios ejemplos de que la seguridad de un sistema de identidad va bastante más allá del papel puramente técnico de la herramienta.
Hoy en día hay tantos factores a tener en cuenta a la hora de decidir qué sistema es más seguro que parece que buena parte de la industria ha delegado la decisión final a factores puramente de estilo o de moda.
Que lo que mola ahora es que el terminal se desbloquee solo cuando lo tenemos en frente, como si fuera “maJia”.
Pese a que hablamos de un sistema de seguridad… cuya principal función es ofrecer seguridad.
______
Artículo publicado previamente en HackerCar (ES).
Pues si que tienes toda la razón, hoy en día cuando usamos nuestros dispositivos obligatoriamente tenemos que hacer uso de nuestros dedos, por lo que tener activa la protección basada en huella dactilar es muy buena idea frente a otras formas como pueden ser el reconocimiento facial por su gasto de batería o los patrones que con cualquier algoritmo de fuerza bruta tarde o temprano terminan descifrando.
Es el más cómodo, la verdad. Y con un equilibrio entre robustez y seguridad bastante aceptable.
Pena que parece que poco a poco se está imponiendo más el reconocimiento facial…
Bueno se impone por la novedad y porque cada vez son mas los jóvenes que usan estas tecnologías, pero a la larga tenemos que ver si finalmente se quedan o son las otras las que se terminan imponiendo, todo depender de como evolucionen los dispositivos
Y no tengo claro que esto vaya hacia atrás Luis Alberto. De cara al usuario parece que a priori es mejor simplemente poner la cara delante del dispositivo, pese a que ello te obliga tener que cogerlo con la mano o acercarte hacia él…
En fin, que por supuesto el tiempo dirá. Pero la perspectiva no parece muy halagüeña.