26 jul. 2018

Autenticación biométrica, qué es y cómo romperla [I]

Basado en el artículo de PAUL CUCU y ANA DASCALESCU

¿Qué es autenticación biométrica?

La autenticación biométrica es simplemente el proceso de verificar la identidad de un sujeto utilizando las características únicas de su cuerpo, y luego iniciar sesión en un servicio, una aplicación, un dispositivo, etc.

Para entenderlo mejor, la biometría es el nombre general que recibe cualquier tipo de medición y cálculo corporal. La identificación biométrica verifica que "tú eres tú" basado en las medidas de tu cuerpo. La autenticación biométrica va un paso más allá y usa esa información para compararlo con una base de datos, en donde previamente se han almacenado los datos del sujero a autenticar.

Simplificando: la identificación biométrica es como un vecino que mira a través del agujero de la puerta a dos personas que golpearon la puerta. El vecino decide cuál de ellos es David en función de la altura, el color del pelo, el color de los ojos, etc. La autenticación biométrica es el vecino que mira a través del agujero y, si se trata de David, lo deja entrar. Si no es, la puerta permanece cerrada.

El concepto es sencillo, lo complicado es la tecnología detrás de esto y lo que trataremos en esta extensa explicación de autenticación biométrica, una tecnología fascinante con una adopción significativa en el presente y un gran potencial en el futuro.

¿Cómo funciona la autenticación biométrica?

La autenticación biométrica funciona al comparar dos conjuntos de datos: el primero está predeterminado por el propietario del dispositivo, mientras que el segundo pertenece a un "usuario visitante" del dispositivo. Si los dos datos son casi idénticos, el dispositivo sabe que "visitante" y "propietario" son uno y lo mismo, y dan acceso a la persona.

Lo importante a tener en cuenta es que la coincidencia entre los dos conjuntos de datos tiene que ser casi idéntica pero no exactamente idéntica. Esto se debe a que es casi imposible que dos datos biométricos coincidan al 100%. Por ejemplo, se puede tener un dedo ligeramente sudoroso o una pequeña cicatriz que cambia el patrón de impresión.

Diseñar el proceso para que no requiera una coincidencia exacta disminuye en gran medida la posibilidad de un falso negativo (el dispositivo no reconoce la huella dactilar) pero también aumenta las probabilidades de que una huella dactilar falsa se considere genuina (un atacante haciéndose pasar por el usuario real).

Métodos de autenticación biométrica populares

Hay varios tipos de identificación a través del propio cuerpo. A continuación se muestran las tecnologías biométricas más populares.

Escáneres de huellas digitales

Hay tres tipos de escáneres de huellas digitales: óptico, capacitivo y de ultrasonido.
  • Un escáner óptico toma una fotografía del dedo, identifica el patrón de impresión y luego lo compila en un código de identificación.
  • Un escáner capacitivo funciona midiendo las señales eléctricas enviadas desde el dedo al escáner. Las crestas de impresión, que tocan directamente el escáner, envian corriente eléctrica, mientras que los valles entre las crestas crean espacios de aire. Un escáner capacitivo básicamente mapea estos puntos de contacto y huecos de aire, lo que resulta en un patrón único. Este método es el utilizado por los teléfonos inteligentes y computadoras portátiles actuales.
  •  Los escáneres ultrasónicos harán su aparición en la próxima generación de teléfonos inteligentes. Básicamente, estos emiten ultrasonidos que se reflejan en el escáner y, similar a uno capacitivo, forman un mapa del dedo único para el individuo.

¿Cómo se almacenan sus huellas dactilares?

Tanto Google como Apple almacenan su huella digital en el dispositivo y (supuestamente) no hacen una copia en sus propios servidores.

TouchID de Apple no almacena la imagen real de la huella digital, sino una representación matemática de la misma. Entonces, incluso si un atacante alcanza esta representación matemática, no puede realizar ingeniería inversa para revelar la imagen real de la huella dactilar. No solo eso, sino que los datos de las huellas dactilares en sí están cifrados.

Como señala este investigador, TouchID puede ser atacando, pero sigue siendo un método muy seguro de autenticación biométrica. Para que alguien hackee un iPhone usando sensores TouchID, necesitarían una copia realmente buena de la huella dactilar de alguien. Esto les permitiría acceder al teléfono, pero no a una copia de su huella digital, por lo que es diferente al robo de una contraseña.

Además, ni siquiera el sistema operativo del dispositivo puede acceder directamente a los datos de las huellas dactilares, y mucho menos una aplicación. Igualmente, Apple se ha alejado de la autenticación de escaneo de huellas dactilares y ha comenzado a reemplazar TouchID por FaceID.

Los teléfonos con Android operan bajo pautas similares. Almacenan los datos de la huella digital en una parte segura del procesador principal llamada Trusted Execution Environment (TEE). El TEE está aislado de otras partes del procesador y no interactúa directamente con las aplicaciones instaladas. Al igual que con los dispositivos Apple, los datos de huellas digitales se almacenan en un estado cifrado. Además, la eliminación de un usuario del dispositivo también debería eliminar las huellas dactilares almacenadas en él.

Muchos desarrolladores de teléfonos inteligentes pretenden incorporar escáneres de huellas digitales directamente en la pantalla. La empresa Vivo fue la primera en comercializar dicho dispositivo. El teléfono Vivo tiene un sensor Synaptic CMOS, una pequeña cámara pegada a la parte posterior del panel OLED. Cuando la pantalla OLED se enciende, también ilumina la huella digital, que el sensor ve y luego la compara con la información que ya está almacenada. Para los usuarios, el resultado es una experiencia perfecta: simplemente toca la pantalla con el dedo y el teléfono se desbloquea.

    0 comentarios:

    Publicar un comentario

    Gracias por dejar un comentario en Segu-Info
    Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

    Gracias por comentar!