Huella digital: cuán segura es como método de autentificación
Hoy la usamos como uno de los principales mecanismos para demostrar que somos quienes somos: desde desbloquear el celular hasta a la hora de realizar importantes trámites bancarios. Es más: Samsung ha anunciado un nuevo sistema de verificación para sus dispositivos con huella que es "2.500 millones de veces" más seguro. Pero, ¿es tan segura la marca de nuestros dedos? Acá, expertos evalúan pros y contras.
La huella digital es un identificador único. No hay una igual a otra en ningún lugar del mundo. Cada una de las cerca de ocho mil millones de personas en el globo tienen por lo menos un distintivo, entre ambas manos o sus pies. En virtud de esos detalles, las firmas tecnológicas las ven como una de las medidas de seguridad más eficientes para realizar transacciones, desbloqueo de equipos y cualquier otra acción que requiera confirmación de credenciales.
Sin embargo, la comprobación por huella también pueden ser vulnerada; por eso las empresas buscan perfeccionar aún más su efectividad.
El primer teléfono móvil con lectura de huella dactilar vio la luz hacia 2004 de la mano de Pantech, con su modelo GI100, y el primer smartphone fue el Toshiba G500, en 2007. El primero con sensor de huella en la misma pantalla fue el Motorola ATRIX 4g, de 2011, y la verificación dactilar se masificó para 2013 con el iPhone 5s y el HTC One Max. En 2018 Vivo le dio un upgrade a la tecnología en su X20 Plus HD.
Teniendo esto en cuenta, la surcoreana Samsung cuenta, al igual que Apple y la gran mayoría de los más importantes nombres del mundo de la tecnología, con tecnologías de reconocimiento de huella dactilar de sus usuarios, así como de otros valores biométricos.
Al registrar los dedos en el sistema del teléfono, básicamente, lo que hace el equipo es medir los extremos y realiza una serie de registros —al menos unos diez por dedo, si es que el equipo lo permite—. Cuando el usuario quiera desbloquear el equipo pulsando el sensor, el celular contrastará su dedo único con la información previamente guardada.
Pero hace poco la surcoreana anunció que se volcará al reconocimiento dactilar a través de la pantalla: su tecnología “All-in-One” se encontrará en su generación de paneles OLED 2.0. Con la pulsación de tres dedos sobre la superficie táctil, a través de la luz, profundidad de la piel y análisis de las huellas, podrán entregar un sistema de seguridad, según dijo la propia compañía, “2.500 millones” de veces más segura que un solo dedo.
Proceso seguro, pero con fallas
La huella dactilar es solo una arista de una tecnología denominada biometría, que busca reconocer individuos de forma automatizada, basada en sus características biológicas o de comportamiento. Estas herramientas, dice Alejandro Hevia, director de la Alianza Chilena de Ciberseguridad y académico de la Universidad de Chile, requieren medir una característica física de una persona y, sobre esa medición, decidir, por ejemplo, si aceptarla o no. Puede tratarse de una huella dactilar, el iris del ojo, la forma de la mano o la cara.
En general, asegura Hevia, son mecanismos que se usan para identificar —como si se tratara de una cámara de seguridad— o autentificar —si es que el que se dice titular es el mismo de la cédula de identidad—. “Ambos objetivos tienen múltiples componentes informáticos y complejidades”, acota el docente. En la autentificación, por ejemplo, cualquier sistema debe tener dos componentes: registro, que es la medición inicial controlada; y verificación, que es la medición posterior con un fin específico, como podría ser tomar una huella digital para verificar que la persona en el teclado es quien dice ser.
La huella dactilar, por ejemplo, al ser medida por un sensor se transforma en un dato biométrico. Pero, en los últimos años, se han dado a conocer algunos casos de vulneración de huella digital. “La verificación de todo dato biométrico es distinta a verificar una contraseña: el password es igual o no al almacenado y punto. Pero la lectura de la huella, o de cualquier dato biométrico, tiene fallas, por lo que el sistema debe evaluar cuánto se parece a la lectura inicial —o a varias de ellas— : ¿Se parece lo suficiente para decir ‘sí’?”, desarrolla el experto.
Un factor crucial a tener en cuenta, dice, es que todo mecanismo biométrico es falible: la huella obtenida en una medición no es nunca idéntica a la original. “El sistema puede equivocarse en dos sentidos: permitiendo que alguien no autorizado pase, con un calce positivo; o bien denegando el paso de alguien autorizado, con calce negativo”, asegura, sobre los errores que buscan abordar diversas tecnologías.
En la práctica, plantea Hevia, los principales ataques vienen de fallas en el proceso de medición del dato biométrico al tomar la huella. “Esto puede ser muy fácil si la medición no se hace en forma supervisada o el dispositivo que toma la muestra está bajo el control del atacante”, dice el docente. Sobre esto, asegura que hay múltiples casos documentados de investigaciones en las que la autentificación ha sido engañada alterando los sensores, o bien usando dedos de goma o fotos impresas para engañar a una cámara.
Durante el proceso de registro inicial, el sistema puede ser engañado o alterado. “En los sistemas remotos, donde se utiliza un repositorio o una base de datos central, esta misma puede ser manipulada o alterada, para cambiar el dato biométrico asociado a alguien”, comenta Hevia. De hecho, existe una peor situación en la que la base de datos pueda ser robada, permitiendo falsificaciones masivas en la población, “tal como ocurrió con el sistema de huella biométrica en India el 2018″.
Si bien todos los sistemas biométricos tienen la fortaleza de permitir enlazar a una persona en concreto a una transacción, también tienen la debilidad de ser imposibles de cambiar: “Si nuestras huellas son ‘robadas’, no tenemos cómo cambiarlas porque no puedo cambiar mi dedo y, de ser aplicable, no pueden ser el único componente de una solución”, aclara Hevia.
En cuanto al anuncio de Samsung, dice que “si por por seguridad nos referimos a reducir los errores mencionados (positivos y negativos), no es cierto que los mecanismos biométricos usando huellas dactilares por si solos sean más seguros que otros.
Hay buenas experiencias con el uso de iris o patrones de venas en las manos, en términos de reducir los errores. “La biometría, sea huella, iris, u otra medida, no resuelve todos los problemas, ni todo sistema requiere de estas tecnologías: es análoga al uso de un cinturón de seguridad en un auto: ayuda mucho particularmente en combinación con otros mecanismos; pero, en ciertos usos, realmente no tiene sentido o puede causar más mal que bien, como un cinturón en una moto”, ejemplifica.
La biometría, dice, no siempre es la solución correcta al problema de autentificación. Depende del tipo de sistema y organización objetivo, de los pros y contras generales de usarlo. “El uso de huella dactilar para desbloquear mi teléfono o una app es razonablemente seguro e incluso más utilizable que un PIN. Similarmente, su uso como mecanismo alternativo presencial cuando la contraseña se ha olvidado. Autentificar en forma remota cuando el dispositivo que hace la medición pudiera estar en control de un usuario malicioso, o cuando el sistema requiere crear un repositorio de datos biométricos frecuentemente accesible y, por ende, robable, probablemente no es una buena idea”, señala.
Más allá de los equipos móviles
Los sistemas de verificación a través de huella dactilar tienen distintos usos y han sido empleados en diversas industrias y plataformas. La de los celulares es una, pero en pagos y acreditación de identidad se ha vuelto más que relevante. Esta tecnología, señala Hugo Espinoza, Gerente comercial de e-certchile, funciona comparando la minucia que se obtiene escaneando la huella y con la información extraída de la cédula de identidad, en un proceso denominado Match on Card.
El ejecutivo de la empresa, que lleva más de 19 años en el mercado, dice que en el caso de E-certchile los datos son comparados y no almacenados, por lo que es un sistema más seguro, que no permite sustituir información, modificarla o reemplazarla.
En general, esta tecnología cuenta con algunas fortalezas: seguridad y fiabilidad, porque los datos biométricos dactilares son un obstáculo al momento de suplantar la identidad, puesto que los usuarios deben usar su huella para usar un dispositivo; más cómodas y rápidas, porque toma menos tiempo escanear el dedo que introducir una contraseña; como son únicas, además, son intransferibles.
Eso sí, cuenta también con debilidades. Sea para transacciones o desbloqueo, requiere de presencialidad del usuario en cuestión; inversión en la tecnología biométrica; limitación en la fiabilidad de los datos, dependiendo de qué tan actualizada esté la herramienta; imprecisiones de la medición por deterioro del equipo o de la huella dactilar.
El ejecutivo de la empresa, perteneciente a la Cámara de Comercio de Santiago, destaca que los sistemas biométricos de huella dactilar son más resistentes, seguros y fiables. Al menos en el caso suyo, están compuestos por un escáner o sensor óptico que lee patrones únicos de usuario y no depende de factores externos como la luz, clima o calidad del dispositivo, como cámaras digitales. “Por eso la biometría de huella digital se usa en muchas aplicaciones, en las que la identificación de personas se necesita hacer de forma segura y cómoda, para evitar riesgos de suplantación de identidad, hackeo de dispositivos o pérdida de cédulas”, dice Espinoza.
Este evento, que reunió en el Teatro Municipal de esa ciudad a expositores de distintas soluciones tecnológicas -entre ellos, Kinesix VR, Zeus y Huawei, partners de Claro empresas- fue también el punto de partida para la nueva Corporación de Innovación y Desarrollo Sostenible de la Ciudad Jardín.
Comenta
Los comentarios en esta sección son exclusivos para suscriptores. Suscríbete aquí.