No podemos negar que la mayoría de nosotros tenemos toda nuestra vida en nuestros smarthphones, desde nuestro correo electrónico, citas personales hasta también nuestra banca online. Es por ello que ponerle contraseña a nuestros dispositivos móviles es muy importante para que nadie pueda acceder a nuestros datos.

Los rasgos biométricos de una huella dactilar, han sido aceptados desde la antigüedad como identificadores únicos de los seres humanos. Desde hace decenios, rasgos como la huella dactilar han sido empleados para reconocer a criminales y han sido utilizados como pruebas legales a la hora de determinar a la persona a la que pertenecen. La fuerte expansión de los sistemas de verificación a través de huella dactilar o identificación basados en técnicas biométricas hizo que fuese necesario automatizar estos procesos, ya que resulta prácticamente imposible realizar estas tareas a mano para distintos proyectos.

Hay varias formas de bloquear nuestro dispositivo, desde patrones imposibles que podemos dibujar en nuestra pantalla, un pin normal parecido al desbloqueo de nuestra sim, etc. Hay muchas formas de bloquear el acceso al móvil, pero hoy nos detendremos en la modalidad a través de huella dactilar. A pesar de que este sistema pareciera ser una de las opciones más seguras, lamentablemente tiene varias grietas de seguridad.

Empecemos por analizar sus características

• Universalidad: todo el mundo “debe” poseer esa característica, es decir, todos tienen huella dactilar.
• Distintividad: las personas en general presentan diferentes huellas en términos de ese rasgo, lo que se supone la hace única.
• Estabilidad: el rasgo permanece invariable en el tiempo a lo largo de un periodo de tiempo aceptable.
• Evaluabilidad: es posible medirla cuantitativamente.
• Rendimiento: los recursos empleados para el reconocimiento tienen que ser razonables y no deben depender de las características del entorno.
• Aceptabilidad: los usuarios en general aceptan este tipo de identificación sin problemas.
• Fraude: los sistemas basados en ese rasgo son suficientemente seguros para que resulte complicado engañarlos.

El comparador de un sistema biométrico calcula una puntuación o score en el proceso de verificación de una huella. Esta puntuación será función del parecido entre la huella introducida con la que se está comparando de la base de datos de huellas almacenadas.

Cuanto mayor sea la similitud de las huellas, mayor será la puntuación devuelta por el comparador. Por lo tanto, se puede establecer un umbral, a partir del cual, si es superado, se determina que dos huellas corresponden al mismo dedo y en caso contrario se determina que son de dedos diferentes. La decisión del sistema estará gobernada por dicho umbral.

Vulneravilidad del sistema biométrico de huella dactilar

1. Aunque parezca imposible o ridículo, existe la posibilidad de captación de la huella dactilar a través de fotos que los mismos usuarios pueden subir a las redes sociales. Los ciberdelincuentes tienen sofisticados sistemas de captación de imágenes que son capaces de copiar desde una fotografía tu huella para malutilizarla en acciones posteriores.
2. La similitud de algunas huellas dactilares hace que el sistema tan seguro se vuelva en un 65% de los casos en vulnerable y con posibilidades de acceder a tu información. El sistema biométrico puede tener 2 errores, que el sistema determine que dos huellas no correspondientes al mismo dedo lo son (falsa aceptación) y que el sistema determine que dos huellas pertenecientes al mismo dedo no se corresponden (falso rechazo).
3. Fallo de la aplicación por bugs o virus externos que dañan estos sistemas de acceso.

Posibles ataques a los sistemas biométricos de huella dactilar

Los siguientes tipos de ataques hacen que este sistema se vuelva vulnerable

1. Ataque al extractor de características. Un programa puede suplantar al extractor de características a modo de troyano y enviar características generadas a voluntad del atacante al matcher.
2. Ataque al canal entre el extractor de características y el matcher. De forma parecida al ataque 2, se puede intentar enviar información introducida por el canal al matcher.
3. Ataque al matcher. Un programa puede suplantar a modo de troyano al matcher y enviar una puntuación falsa o una decisión sí/no a la aplicación de autenticación.
4. Ataque a la base de datos del sistema. Un atacante puede apoderarse de la información de los usuarios accediendo a la base de datos o modificar la misma. Este ataque puede producirse en cualquier momento, como la fase de reconocimiento o incluso mientras el usuario se esté dando de alta.
5. Ataque al canal entre el matcher y la base de datos. El canal entre el matcher y la base de datos puede ser interferido para extraer la información que a través de él se envíe. De este modo se puede obtener la información del usuario para reproducirla en otra ocasión.
6. Ataque entre el matcher y la aplicación que solicita la verificación. La información que circula por el canal entre la aplicación que solicita una verificación y el matcher puede ser extraída para replicarla en otro momento simulando una autenticación exitosa o fallida según la voluntad del atacante.

La idea es que si quieres proteger tu dispositivo móvil con el sistema de huella dactilar, lo hagas como una segunda opción de protección, así los ciberdelincuentes no podrán rastrear de manera fácil tus datos.

Visita nuestra área de Másters en Seguridad y encuentra todas las formaciones de Ciberseguridad que andas buscando, compara y elige tu mejor opción.

Referencia: Marcos Martínez Díaz Septiembre de 2006 “VULNERABILIDADES EN SISTEMAS DE RECONOCIMIENTO BASADOS EN HUELLA DACTILAR”