O dicho de otra forma, ¿hasta qué punto son seguros los sistemas de identificación biométrica? Eso es lo que está intentado responder la policía del Michigan con la ayuda de Anil Jain y su laboratorio de la Universidad Estatal de Michigan.
Y está claro que conflictos como el de Apple y el FBI a cuenta de los sucesos de San Bernardino, van a ser cada vez más comunes. Y la policía está afinando su creatividad al máximo. Pero más allá de eso, este tipo de casos nos invitan a repensar el papel que tiene la identificación biométrica en la seguridad del futuro.
Un experto en seguridad reconvertido en hacker

Estamos acostumbrados a que sean los hackers los que se reconvierten en consultores de seguridad informática. Pero en este caso, Anil Jain, profesor de informática de la MSU, se dedica a la seguridad de los sistemas de identificación biométrica. Concretamente a que cosas como el reconocimiento facial, los escáneres de huellas o la comparación de tatuajes sean lo más difícil de piratear. Y en este caso, la policía estaba interesada en justo lo contrario: querían que les ayudara a desbloquear un teléfono.
El teléfono de un hombre muerto. Los detalles no han transcendido (el caso sigue bajo secreto de sumario), pero la policía cree que el teléfono contiene información fundamental para descubrir las claves del asesinato. El problema fundamental, como en otros casos, es que no pueden acceder a él sin la huella dactilar. Y como la colaboración del fabricante es un tema muy complejo, los investigadores optaron por el plan B: pedirle a Jain y a uno de sus estudiantes de doctorado, Sunpreet Arora, que recrearan las huellas de la víctima en 3D y, a sí, poder desbloquearlo.
Un problema más complejo de lo que parece

El problema parece sencillo. Técnicamente, consiste en convertir los registros dactilares de los que ya disponía la policía en una réplica de las huellas. De todos los dedos, porque como explicaba Arora a Fusion: "no sabemos que dedo usaba. Suponemos que será el pulgar o el índice, que son los más comunes pero no estamos seguros".
Bajo esta aparente trivialidad, se esconde, como digo, un problema complejo. No sólo por las complicaciones en la extrapolación de la huella al modelo, sino porque muchos dispositivos modernos (a diferencia de los antiguos) utilizan la propia conductividad de la piel para funcionar. El plástico que se suele usar para imprimir en 3D no lograría desbloquearlos en ningún caso (aunque fueran una copia exacta). Para solventarlo, están usando una fina capa de partículas metálicas que trata de imitar la conductividad natural de la piel.
La guerra policial contra la seguridad digital

Según explican en el laboratorio de Jain, aún no lo han conseguido. Pero independientemente de ello, esto nos lleva de nuevo a la seguridad de los teléfonos. Un tema que desde el enfrentamiento entre Apple y el FBI hace unos meses a cuenta del iphone del asesino de San Bernardino está de completa actualidad.
Está claro que la identificación biométrica no es un sustituto de las contraseñas, sino de los nombres de usuarios. Y esto tiene consecuencias legales y técnicas que junto al fallecimiento del propietario (y el hecho de que sea la víctima) ahorra muchos problemas jurídicos a la policía.
Por eso, este movimiento de la policía de Michigan está dando mucho que hablar. Sobre todo, porque abre la puerta a nuevas técnicas para romper la seguridad de los smartphones que evidencian que este es uno de los grandes frentes de batalla de la seguridad digital.
Vía | Fusion
Ver 15 comentarios
15 comentarios
whisper5
El problema es que nosotros o los fabricantes usamos mal la biometría. La biometría es un identificador y por sí sólo no debería servir para autenticar.
Los tres factores de la autenticación son lo que sé, lo soy y lo que tengo. El más importante es lo que sé, una contraseña, un PIN de un cajero, etc. Se añade seguridad utilizando un segundo factor, por ejemplo: el PIN (lo que sé) más la tarjeta bancaria (lo que tengo), o el PIN y la tarjeta SIM (lo que tengo) del teléfono. Otra opción es lo que sé más lo que soy (la biometría). Esto quiere decir que para autenticarme con biometría debo utilizar dos factores: lo que soy (huella dactilar, iris, etc.) y lo que sé (contraseña, PIN, etc.).
El problema surge cuando se utiliza la biometría sola para autenticar, porque simplemente es un identificador. Mi DNI o mi cuenta de correo son identificadores. A nadie se le ocurriría crear un sistema de autenticación que únicamente requiriese un DNI o una cuenta de correo. Sin embargo sí que se utilizan sistemas que autentican con únicamente biometría, lo cual es un error.
hellgadillo
Y no era más fácil llevar el teléfono a la morgue, pasarle un poco de corriente al cuerpo y desbloquearlo así?
piolindemacrame
Mientras tanto... el ingenio popular...
https://m.youtube.com/watch?v=LdUP_CSlkmY
josemicoronil
Me hace bastante gracia donde ponéis "Un experto en seguridad reconvertido en hacker".
¿Acaso un hacker no es un experto en seguridad o viceversa? Y ojo, estoy hablando de un hacker, no un cracker (o cibercriminal).
Un saludo ;-)
theo.veganoma
Se supone que no tienen al fallecido y estarán haciendo la réplica a partir de las huellas tomadas para su identificación policial, documentos, etc...
137005
No se como funcionan en otros sistemas, imagino que será similar.
En el caso de IOS si han pasado 48 horas desde la última vez que utilizaste la huella, el sistema te pide el PIN, de modo que ya pueden darse prisa con la impresora.
henrycolt
> Desbloquea el teléfono del muerto
> Envía un whatsapp a su mujer
> "Mañana nos vemos"
> Muere por dentro un poco mas por ser una persona tan horrible.