Autenticación biométrica, qué es y cómo romperla [IV] ~ Segu-Info

Basado en el artículo de PAUL CUCU y ANA DASCALESCU

Ventajas y desventajas de la autenticación biométrica

Las técnicas de autenticación biométrica tienen que ver con la seguridad. Como característica, su principal competidor es la contraseña (o el código PIN, en ocasiones), por lo que una comparación entre los dos revelará tanto sus defectos como sus debilidades. Veamos.

Ventaja: facilidad de uso

Una exploración de huellas dactilares o iris es mucho más fácil de usar que una contraseña, especialmente una larga. Solo se necesita un segundo (y ni eso) para que los teléfonos inteligentes más modernos reconozcan una huella dactilar y permitan que el usuario acceda al teléfono. Los escáneres de ultrasonido pronto se convertirán en algo común, ya que los fabricantes pueden colocarlos directamente detrás de la pantalla, sin tomar ningún espacio adicional en un teléfono.

El reconocimiento de voz, por otro lado, es un poco dudoso y los ruidos de fondo pueden alterar fácilmente el proceso y hacerlo inoperable.

Desventaja: no se puede revocar la huella dactilar, el iris y la voz de forma remota

Una gran desventaja de la seguridad biométrica es que un usuario no puede alterarlos remotamente. Si se pierde acceso a un correo electrónico con una contraseña, siempre se puede iniciar una recuperación remota. Durante este proceso, podrá cambiar su contraseña o agregar autenticación de dos factores.

La biometría, sin embargo, no funciona así: se debe estar físicamente cerca del dispositivo para cambiar de forma segura el conjunto de datos inicial. Un ladrón podría robar el teléfono inteligente, crear un dedo falso y luego usarlo para desbloquear el teléfono a voluntad. A menos que haya bloqueado el teléfono de forma remota, un ladrón robará rápidamente toda la información del dispositivo.

Ventaja: el atacante tiene que estar cerca

La mayor ventaja de la biometría es que un delincuente informático debe tener proximidad física para recopilar la información necesaria para eludir el inicio de sesión. Esto reduce el círculo de posibles sospechosos en caso de que el bloqueo biométrico quede anulado de alguna manera.

La proximidad también lo pone en riesgo de ser descubierto in fraganti.

Desventaja: las "huellas dactilares maestras" pueden engañar a muchos teléfonos y escáneres

Cuando se registra una huella digital por primera vez, el dispositivo le pedirá múltiples presiones desde diferentes ángulos. Estas muestras se usarán como el conjunto de datos original para comparar con los intentos de desbloqueo posteriores.

Sin embargo, los sensores de teléfonos inteligentes son pequeños, por lo que a menudo dependen de coincidencias parciales de huellas dactilares.

Los investigadores han descubierto que un conjunto de 5 "huellas dactilares maestras" puede explotar estas coincidencias parciales y abrir alrededor del 65% de los dispositivos. Es probable que el número disminuya en las condiciones de la vida real, pero una tasa abierta de incluso 10% a 15% es enorme y puede exponer millones de dispositivos.

Desventaja: la biometría dura toda la vida

Siempre puede cambiar su contraseña si alguien la aprende, pero no hay forma de modificar su iris, retina o huella digital. Una vez que alguien tiene una copia de estos, no hay mucho que se pueda hacer para mantenerse seguro, una cosa es cambiar una contraseña y otra muy distinta es usar otro dedo.

En uno de las mayores fugas de información jamás ocurridos, la Oficina de Administración de Personal de EE. UU. Filtró 5.6 millones de huellas dactilares de empleados. Para las personas involucradas, una parte de su identidad siempre estará comprometida. En la Revista CPO, exploran más riesgos del uso de datos biométricos, especialmente en el contexto de la aplicación de la ley.

Desventaja: vulnerabilidades en el software de autenticación biométrica

Hace un par de años, los investigadores de seguridad descubrieron debilidades en los dispositivos Android que les permitían extraer remotamente la huella digital de un usuario, usar puertas traseras en el software para secuestrar pagos móviles o incluso instalar malware. Además, pudieron hacerlo de forma remota, sin tener acceso físico al dispositivo.

Continúa...

31 jul 2018