En su momento, la funcionalidad de desbloquear nuestro móvil con la huella dactilar resultó sumamente innovador, sobre todo por lo práctico que es. No solamente utilizamos la huella para el desbloqueo de dispositivos sino también para desbloquear aplicaciones, especialmente las aplicaciones de servicios financieros, bancarios y de pagos de servicios, se valen de esta funcionalidad para aumentar la seguridad (y la facilidad para autenticarnos) de las transacciones que se realizan. Sin embargo, ¿de verdad son tan seguras como prometen?
Primero hagamos un poco de historia. Tenemos que remontarnos a los primeros años de los 2000. A pesar de que los primeros móviles se lanzaron ya en el siglo pasado, más que nunca en ese tiempo eran una novedad. Es válido afirmar que los PDA (Personal Digital Assistant) son los precursores de los teléfonos inteligentes, más conocidos como smartphones. La época de oro de los PDA fue justamente en esos años 2000. El HP iPAQ 5455 es conocido por ser el primer móvil con la funcionalidad de desbloqueo con huella mediante el sensor biométrico. Así también, fue el primer dispositivo de tipo computadora portátil (Pocket PC) en contar con conectividad Bluetooth y Wi-Fi. Sin embargo, no fue hasta el año de lanzamiento del iPhone 5S en que el desbloqueo con la huella se volvió bastante popular.
Puntos fuertes y puntos débiles de la autenticación biométrica
La autenticación a través de la biometría, permite autenticarnos frente a sistemas o aplicaciones con el «algo que somos», es decir, una parte de nuestro cuerpo. Por ejemplo, biometría puede ser nuestros ojos, el iris del ojo, huella digital, voz, rasgos faciales, e incluso la firma manuscrita y la geometría de la mano. Con el paso del tiempo, el hardware necesario para la biometría es más barato, pero sigue siendo bastante caro, es necesario métodos biométricos baratos y fiables. Una autenticación biométrica fiable debería cumplir algunas características:
- Universal: cualquiera lo puede usar.
- Diferenciador: certeza al 100% de que somos quien decimos que somos, que no tenga falsos positivos ni falsos negativos.
- Permanente: que los rasgos que se miden no cambian con el paso del tiempo, por ejemplo, nuestra huella dactilar puede cambiar con el paso del tiempo si nuestro trabajo consiste en temas de construcción.
- Accesible: fácil de recoger los datos requeridos, que no haya que «entrenar» demasiado al software biométrico.
- Errores biométricos: Tasa de fraude vs tasa de insulto, este aspecto es fundamental para tener un buen sistema biométrico. La tasa de fraude son los falsos positivos, es decir, alguien que se hace pasar por nosotros se autentica en el sistema, y automáticamente «pasa» como legítimo. La tasa de insulto es lo contrario, nosotros intentamos autenticarnos en el sistema, y nos indica que no somos quienes nosotros decimos que somos.
Una de las combinaciones más seguras, es entrar a un sistema a través de una combinación de «algo que somos», «algo que sabemos» y «algo que tenemos». El «algo que somos» significa utilizar biometría, el «algo que sabemos» son las contraseñas típicas que utilizamos en la mayoría de servicios, y el «algo que tenemos» pueden ser tarjetas identificadoras, o nuestro smartphone para autenticarnos con un código TOTP. Si utilizamos solamente uno de los métodos, el sistema no es del todo seguro, siempre es recomendable como mínimo tener una combinación de dos (autenticación de dos factores).
Cómo funciona el desbloqueo del móvil con la huella dactilar
Siempre debemos tener presente que esto forma parte de los casos de uso de los sensores biométricos. Básicamente, existen tres tipos: los ópticos, capacitivos y los de ultrasonido. Si vamos citando cada uno de ellos en orden, notaremos que fueron mejorando progresivamente en cuanto a seguridad, teniendo menos tasa de fraude y menos tasa de insulto, de esta forma, no tendremos ni falsos positivos ni falsos negativos.
Sensores ópticos
Este tipo de sensores logra generar una imagen de nuestra huella dactilar gracias a una superficie de cristal que se encuentra iluminado por un diodo LED. Mediante dicho cristal iluminado, y dentro de sus posibilidades, genera esa imagen de nuestra huella dactilar que permite que bloqueemos y desbloqueemos tanto dispositivos como aplicaciones.
Lo que no favorece a esta técnica, que ya se encuentra desfasada y es conocida por ser insegura, es que es sumamente susceptible a la humedad, suciedad y cualquier detalle que podría dificultar la generación de la huella. Así también, que dificulte el proceso de bloqueo y desbloqueo. Otro factor en contra es que no puede ser utilizada correctamente por personas mayores. El motivo es que la piel no es lo suficientemente elástica, esto incluso permite que se de un reconocimiento falso a la hora de bloquear y/o desbloquear.
Una de las razones por las cuales este tipo de sensores no es seguro es que es fácil engañar al sensor de huellas. Por ejemplo, con fotografías de la huella. Recordemos que este sensor solamente crea una imagen de nuestra huella, entonces es relativamente sencillo vulnerar el mismo.
Sensores capacitivos
Se valen de múltiples condensadores que almacenan energía según la forma de la huella. Recordemos que ninguna huella es igual a la otra, en absoluto. ¿Qué hacen estos condensadores? Se encargan de formar una huella digital con el mayor nivel de detalle posible. Este tipo de sensores es popular en múltiples smartphones. Particularmente, utilizo un smartphone de la marca Motorola que cuenta con un este tipo de sensor. Puedo registrar una o múltiples huellas para bloquear y desbloquear el móvil. A la hora de registrar una, aparecen unas instrucciones en pantalla que me dicen que debo posar el dedo hasta que la imagen representativa de la huella se coloree por completo.
¿Esto qué significa? Poso el dedo una vez, un grupo de condensadores logra recoger y almacenar carga energética para formar la huella digital. Poso el dedo otra vez, otro grupo de condensadores hace lo mismo. Y así, sucesivamente hasta completar el proceso de creación de la huella. Son muchísimos los condensadores que se ponen en marcha cuando generamos nuestras huellas.
Por fortuna, el sensor capacitivo es bastante confiable y seguro, sin embargo, esto puede representar un coste extra bastante importante. En su momento, los smartphones que se lanzaban al mercado con esta funcionalidad, se presentaban con un coste bastante más alto que aquellos que no lo tenían. Claro está que hace unos años, esto no estaba disponible en demasiados dispositivos. Hoy en día, es prácticamente obligatorio que nuestro smartphone cuente con un sensor de huella dactilar.
Sensores ópticos
Estos ya son sensores más modernos y con capa extra de seguridad. Constan de un emisor y un receptor. Veamos qué hace cada uno:
- Emisor: manda ultrasonidos afuera, es decir al sensor en donde colocaremos nuestro dedo para crear la huella dactilar.
- Receptor: registra los ultrasonidos para crear la huella digital en tres dimensiones, que prácticamente emula a la huella dactilar propia de cada uno.
Una vez que se cuenta con la huella ya creada, la misma pasa por un proceso de cifrado. El cual desemboca en la generación de una clave que asegura a la huella y la misma participa en el proceso de autenticación. Esto último se refiere al momento en que el usuario desea desbloquear su móvil.
Podemos decir que una de las ventajas que tiene este tipo de sensores, es que, es posible autenticar nuestra huella incluso si existe algún rastro mínimo de crema o cualquier otro tipo de suciedad. Sin embargo, siempre debemos tener en cuenta que la higiene es algo obligatorio en los tiempos que corren. Es necesario mantener tanto nuestras manos como dispositivos muy limpios de manera que podamos evitar potenciales enfermedades.
Sensores de huellas del móvil: aún con varias vulnerabilidades
En un primer momento con los primeros smartphones con lector de huellas, encontraron graves problemas de seguridad que permitirá evadir este tipo de autenticación de una forma rápida y fácil. En cualquier sistema biométrico, aumentar la seguridad significa que la tasa de insulto sea mayor, y disminuir la seguridad significa que la tasa de fraude sea mayor. Los fabricantes deben trabajar duro y tener una seguridad óptima, para que la tasa de fraude y tasa de insulto sea mínima.
Ha habido smartphones con sensor de huellas dactilares ultrasónicos, cuya ubicación debajo de la pantalla, presentaba problemas de seguridad porque la tasa de fraude era demasiado elevada. Tal es así, que algunos bancos en Reino Unido deshabilitaron la autenticación a sus servicios bancarios si se utiliza un determinado modelo de smartphone. Sin embargo, el otro banco inhabilitó directamente la posibilidad de autenticarse con la huella. Esta vulnerabilidad quedó en evidencia cuando se demostró que era posible pasar por encima los mecanismos de seguridad tan sólo colocando un protector de pantalla y acto seguido, posar el dedo encima del lector. El resultado es que el dispositivo se desbloquea, aunque nuestra huella no esté registrada con el móvil.
Actualizaciones de software posteriores solucionaron el inconveniente. Sin embargo, no queda duda de que no es recomendable confiar en un 100% en el bloqueo/desbloqueo de las huellas dactilares. ¿Qué queda hacer ante estos casos? Complementar la seguridad de nuestros smartphones y aplicaciones con métodos de autenticación complementarios como el de Autenticación Multi-Factor. Si usas aplicaciones como las de banca móvil, si soporta autenticación multi-factor, debes configurarla cuanto antes.