La semana pasada publicaba un artículo sobre cómo mejorar la seguridad de los sistemas digitales amparándose en el multifactor y la identificación inherente en cada individuo.
La tesis que defendía partía de una tecnología que algunos chips de Intel empiezan a traer, con vista al mercado corporativo, en el que la identificación depende de variables que son innatas en el usuario, como puede ser su desempeño dentro de una oficina, o también, factores puramente biométricos, como es el caso de la huella dactilar.
El principal problema, como explicaba en el mismo, radicaba en que implementar un sistema de estos en la electrónica de consumo resultaba a priori muy complicado.
A diferencia del mundo corporativo, la electrónica de consumo debe ofrecer una parametrización lo suficientemente sencilla como para que el usuario haga uso de este tipo de herramientas, y lo suficientemente flexible como para que cubra la amplia mayoría de casuísticas que podrían darse.
De ahí que la tendencia en materia de seguridad para los dispositivos tecnológicos de consumo sea bien apostar por un doble factor de autenticación basado en el conocimiento (contraseña) y la posesión o inherencia (SMS a un terminal que el usuario debería tener o sensores biométricos), bien directamente a prescindir de todo lo anterior y apostar por la biometría.
Así, tanto Samsung como Apple como HTC como Huawei (por decir cuatro de las grandes compañías de electrónica de consumo) llevan ya tiempo ofreciendo en sus terminales de gama alta sensores de huella dactilar como método alternativo (y prácticamente, principal) de desbloqueo e identificación en las aplicaciones de su ecosistema.
Algo normal, habida cuenta de que frente al patrón o a la contraseña (sea numérica o alfanumérica), este sensor se vuelve mucho más cómodo de aplicar, y a priori, su seguridad depende en mayor medida de factores propios del desarrollo de la tecnología que tiene detrás, y no tanto de acciones por parte del usuario (lo cual es bueno, ya que el usuario, por regla general, es vago y desconocedor de los riesgos a los que se enfrenta).
Lo que no quita que haya que considerar también sus vulnerabilidades.
En este nuevo capítulo de la serie #MundoHacker, donde tratamos en varios tutoriales las medidas para atacar y/o defenderse en el mundo digital, repasaremos la seguridad de las tecnologías de identificación basadas en huella dactilar más socorridas, con los últimos estudios al respecto, y de paso, algunas medidas que podemos realizar como usuarios para reducir el riesgo a exponer nuestros datos.
Índice de contenido
Apple y la apuesta por el ecosistema cerrado
Es algo de lo que ya he hablado en alguna que otra ocasión. El apostar por un ecosistema totalmente cerrado tiene sus ventajas, y en el caso que nos compete, ha posicionado el lector de huellas dactilar de los productos de Apple como el más seguro entre el resto de fabricantes “genéricos” (no especializados en seguridad) de la electrónica de consumo.
Por aquí explicaba hace tiempo cómo funciona el sistema de identificación biométrica de Apple, así que no voy a repetirme.
Simplemente recordar que lo que le hace tan robusto es precisamente el que el patrón se almacena en local cifrado, lo que evita en buena medida que pueda ser expuesto tanto a ataques a su nube, como mediante ataques al propio dispositivo. Además, el contar con un hardware específico para la autenticación, al que el resto de componentes no pueden llegar, es un extra a considerar.
El sandbox Hardware-Software
Una técnica que parece estar cobrando fuerza, a falta de poder destinar un hardware específico para tales labores (o como medida de seguridad auxiliar para proteger más el patrón biométrico) pasaría por almacenar esa imagen cifrada en un sandbox virtualizado al que solo se puede llegar mediante APIs privadas del sistema.
ARM TrustZone (EN) es cada vez más usado por los fabricantes de dispositivos, como es el caso de Huawei, y viene a ser la versión estándar de la filosofía que ha patentado Apple en iOS. Un SoC, no accesible por el resto de capas del sistema operativo, encargado específicamente de realizar la comprobación de identificación.
El punto débil pasa por tanto de ser la propia tecnología del sensor biométrico, a las posibles brechas de seguridad que un atacante pueda encontrar en ARM TrustZone, que al operar a más bajo nivel cuenta con una seguridad bastante más robusta.
En este paper de FireEye Labs hablan de varias tipologías de ataque (EN) que abusan de una u otra manera del sistema de permisos.
El almacenamiento en local
Hace unos meses se conocía que los sensores del HTC One Max y los del Samsung Galaxi S5 estaban almacenando el patrón en una imagen .bmp no cifrada (EN) dentro del almacenamiento del terminal, y por ello, accesible por cualquier aplicación que tuviera permisos de acceso a archivos multimedia e internet.
El no contar con un sistema específico hace que sea el propio kernel el encargado de interactuar con el sensor, y por tanto, aumenta la posibilidad de que un tercero encuentre la manera de acceder a este sistema (escalado de permisos, vulnerabilidad del propio kernel,…).
El problema pasa a ser entonces aún mayor, ya que frente a los métodos de autenticación basados en conocimiento, los biométricos son innatos en la persona, y por ende, si nos los roban, no vamos a poder cambiarlos.
En el caso de la huella dactilar, tenemos diez posibles huellas. Una vez robada una, esta podría ser usada para identificarnos en el resto de servicios en la que la hayamos usado. Por contra, una contraseña robada bastaría con cambiarla para que ya no pudiera ser explotada de aquí en adelante.
Afortunadamente, tanto HTC como Samsung han parcheado ya el problema. La Alianza FIDO Alianza está precisamente trabajando en una estandarización que evite problemas futuros en este tipo de explotaciones de datos biométricos.
3 tips a considerar para mejorar la seguridad de nuestra huella digital
Como hemos visto, buena parte de la seguridad de este sistema de autenticación radica en la segurización propia del proceso interno de cada tecnología.
Aún así, hay algunos elementos que nosotros, los usuarios, podemos considerar para minimizar el riesgo de exposición, y en caso de que ocurra esa desgracia, la amplitud del problema.
- Partir de que la tecnología detrás de estos sensores no es infalible: Eso quiere decir que no lo recomendaría como sistema de identificación en aquellos servicios relacionados de una u otra manera con nuestra identidad o dinero. Que te roben la cuenta de Facebook puede ser un drama, pero que lo hagan con nuestra cuenta bancaria puede ser bastante peor. Para desbloquear el terminal puede ser interesante, ¿pero para loguearnos en un sistema informático del gobierno? ¿Para realizar labores administrativas? Estos sistemas en la electrónica de consumo están, como quien dice, despegando. Les falta aún mucho margen de mejora. Yo me esperaría un poco para aplicarlo en aquellos servicios que de verdad son críticos para nuestra vida.
- En vez del pulgar o el índice, ¿el meñique?: hoy en día, y a falta de ver qué tal se desenvuelve el sensor ultrasónico de Qualcomm (EN/Video), todos los sensores de huella dactilar actuales son vulnerables a ataques de patrones. Un cibercriminal que obtenga (bien sea por la marca de grasa en la pantalla, bien sea por una imagen a buena resolución) nuestro patrón de huella dactilar, podría realizar una copia y suplantarnos. De ahí que aunque parezca una tontería, en vez de usar el pulgar o el índice para identificarnos (dedos que habitualmente estamos usando más a menudo para toquetear las pantallas, y que son más fáciles de “pillar” en una fotografía), ¿por que no usar el meñique, del que seguramente a un tercero le sea muchísimo más complicado obtener el patrón por los medios habituales?
- Pon un doble factor de autenticación en tu vida: Por mucho que se avance en seguridad, si de verdad este elemento es crítico en alguno de los sistemas que habitualmente utilizamos, lo mejor es aplicar un segundo o tercer elemento de autenticación. Es molesto, lo sé, pero aquellos basados en conocimiento (contraseñas, por ejemplo) siguen siendo una gran herramienta a la hora de compaginarse con algo innato de la persona.
Y hasta aquí el repaso que algunos me habíais pedido por Twitter y recientemente por Patreon de los sistemas de verificación biométrico basados en huella dactilar.
Espero que le haya gustado.
________
Realizar este tipo de artículos me lleva varias horas, y en algunos casos, gastos extra que habitualmente suplo de mi bolsillo, o gracias a esa comunidad de patronos que me apoyan realizando donaciones puntuales o periódicas.
Si le gustaría ver más de estos tutoriales y análisis por aquí. Si el contenido que realizo le sirve en su día a día, piense si merece la pena invitarme a lo que vale un café, aunque sea digitalmente.
Como siempre, un análisis excelente de la situación actual. Me hago partícipe de la recomendación del doble factor de autenticación, que amplío a “tu cuenta de email” porque creo que es el eje del que parte cualquier ataque devastador, ya que todo acaba en el email…
El email es la puerta de entrada a la amplia mayoría de identidades digitales de la actualidad. Ese debería estar protegido bajo varias toneladas de dobles factores de autenticación, jajaja.
Si hay que elegir por donde empezar, en efecto, que sea por el email Manuel Conde. Cambiar de contraseña cada X meses tampoco es mala estrategia, por cierto.
Una vez leí o escuche, ya no se 🙂 .
Las contraseñas son como el cepillo de dientes: no se lo dejes a nadie y cámbialo cada mes.
Buena recomendación, sin lugar a duda Luis :).
Más que excelente la información Pablo… !
Muchas gracias Iris. Se agradece el apoyo :).
Aunque no lo mencionas, para aclararlo, hay 3 tipos de factores de autenticación,
1o algo que sabes (passwords, el nombre de tu perro, tu dirección…)
2o Algo que tienes (tu movil, tokens….)
3o Algo que eres (tu huella dactilar, tu adn….)
En general parece que el mundo de la seguridad parece saltarse el segundo factor de autenticación en favor del tercero, el cual tiene un peligro enorme ¿Qué ocurre cuando te roban la huella dactilar? Que nunca la vas a poder cambiar, ¡NUNCA! Eso quiere decir que en todos los sitios que te autentiques con la huella dactilar van a estar comprometidos.
Aunque un amigo mio lo resumiría con algo que hace años decía google, si no quieres que se sepa, no lo digas, el mayor problema es que no tienes forma de evaluar la seguridad de los dispositivos, sitios en los que usas la huella. Quizás apple, samsung o Microsoft, que son empresas muy grandes y preocupadas por la seguridad tienen capacidad para guardar de forma segura la huella (en realidad no debería guardarse nada que pudiese permitir llegar a la huella real)… o quizás no tienen esa capacidad, estos últimos años hemos visto las vergüenzas de muchas empresas…. ¿Y que ocurre con las empresas más pequeñas? Aquellas que no tienen los procedimientos suficientemente securizados para implementar un entorno seguro, o aquellas que no lo hacen por que no se consideran suficientemente amenazadas para hacerlo, a fin de cuentas, hoy en día no tengo forma de saber si las contraseñas de todos los sitios en los que me he registrado si la almacenan de forma segura o no. Es decir, la única forma segura de que nadie me la robe es no darsela a nadie para que me la guarde.
Ciertamente, si existe el hardware siempre existirá la posibilidad que una aplicación acceda a ella y robe los datos sin pedirte permiso, pero eso es otro cantar.
En cuanto a que se evite utilizar la huella para algo referente a tu dinero, hoy mismo he escuchado en la radio un anuncio de una entidad bancaria que ofrecia como medida de seguridad la huella dactilar, así mismo está contemplado en las especificaciones del estandar emv para pago con tarjeta sistemas como huella dactilar, reconocimiento de iris y alguna que otra aberración…. Afortunadamente no conozco ningún datáfono que lo soporte.
Y un problema adicional, ¿qué ocurre cuando se democratizan este tipo de tecnologías? Pues que llega el punto en el que te guste o no, pasa como las lentejas. Así, cuando le presenté hace años a mi jefe mi punto de vista sobre el lector de huellas que tenemos en la entrada de la empresa y que registra cuando entro y cuando salgo, le dió un poco igual por que no se enteró de lo que le decía. En su favor diré que me dijo que había consultado con la empresa y le contestaron que el dispositivo no almacenaba las huellas, algo, dicho sea de paso, de poco peso ante mi preocupación.
Mi punto de vista es que no debemos pasar de un segundo factor de autenticación (algo que tienes) con soluciones más evolucionadas que el envío de sms, que es lo que el usuario entiende con facilidad, y, permitir tener un mayor control sobre tus identidades digitales, algo para lo que existen soluciones en el mercado, pero que son de poco calado o que solo sirven para un sitio web.
Una muy buena reflexión Khepler, bien argumentada y con un corolario muy acertado. Ya te digo, que soy de los que comparte tu exepticismo, pero (y ahí radica el problema), no somos un ejemplo del usuario tipo de electrónica de consumo.
Sinceramente, a mi no me importa absolutamente nada tener que cambiar una vez cada seis meses las contraseñas, y aplicar un doble factor de autenticación en cuantos más servicios importantes mejor. Pero entiendo, por otra parte, que para muchos usuarios, inconscientes del riesgo que asumen, esto sea demasiado.
Por la sencilla razón de que desconocen los riesgos. Y ahí entra gente como tu jefe, y como el vecino que tendrás al lado.
En todo caso, comparto 100% lo que has comentado.
El usuario de a pie no tiene capacidad para gestionar contraseñas distintas en cada sitio, y el profesional tampoco, pocos somos los que nunca repetimos una contraseña, que además no apuntamos en ningún sitio ni utilizamos ninguna herramienta que nos ayude.
El usuario de a pie, se ve incapaz de comprender algo que no sabe muy bien para que sirve, y, que aunque perdiese tiempo que no quiere invertir, el día que fallase la seguridad del otro extremo estaríamos en las mismas “para que he perdido mi valiosísimo tiempo” A mi me recuerda la publicidad de cierto antical que decía “Pero si utilizo antical!” y el técnico le contesta “Si, pero que no es efectiva contra la cal de calcio” ¿Alguien sabía que esa cal existía? y por como se muestra en el anuncio, que además tiene el mismo efecto que la otra, que no sabemos muy bien de que es….
El usuario piensa, si en mi iPhone pongo el dedo y lo puedo usar no tengo que pensar, y me salvo de que alguien me quite el móvil y acceda a los datos… O mejor aún, nadie me puede coaccionar para que le de mi password. Todo lo demás ni lo entiende ni le interesa. ¿Qué ocurrirá cuando lo hackeen? Pues era de esperar y como a todos. Nada nuevo bajo el sol
Prefiero usar factores biometricos a la huella digital, ya se vio hace años lo seguras que eran.