El sensor de huella dactilar de Apple ha sido imitado en otros muchos dispositivos. / APPLE
Apple fue la primera en incorporar sensores de huellas dactilares en los móviles para hacerlos más seguros, como gran innovación de iPhone 5S. El dispositivo permitía desbloquear la pantalla, pagar las aplicaciones o servicios online con tan solo posar el dedo en el botón principal. Muchos vieron en la innovación el principio del fin de las contraseñas.
Samsung siguió la estela de la empresa de la manzana y, desde entonces, los Galaxy han incluido esta opción como medida estrella de seguridad. Hasta ahora. Yulong Zhang y Tao Wei, dos investigadores de la empresa FireEye, han demostrado durante el encuentro Defcon, en Las Vegas, que el patrón biométrico que servía para hacer más seguros los móviles con Android ha terminado por convertirse en un foco de vulnerabilidades. La conferencia, que ha llegado a su edición 24.
Los modelos utilizados para alertar del error han sido un HTC One Max y un Samsung Galaxy S5. La fórmula para hacerse con el control del móvil consistió en tomar imágenes de las huellas dactilares. El terminal no guarda por completo la información de la huella, sino que queda en una especie de limbo al que los hackers han podido acceder. Según Wei, una vez que se obtiene ese patrón es muy sencillo usarlo para acceder a cualquier otro dispositivo y suplantar al dueño del móvil para acceder a su cuenta bancaria o aplicaciones como Dropbox, que ya aceptan esta fórmula. Lo mismo sucede con las tiendas online, como el caso de Amazon. Una vez que se ha robado la huella se puede usar para hacer compras a cargo de la víctima.
Zhang ha destacado que Apple sí ha hecho un buen trabajo en este aspecto con el sensor TouchID. En el caso de esta empresa, la información se encripta tanto en iPad como iPhone de modo que si alguien consiguiera la información no podría descifrarla y hacer uso de ella.
El mayor riesgo derivado del fallo de los Android puede llegar si se combina con una aplicación camuflada que reutilice la información enviándola a terceros, y que estos la usen para robar. Otro error del que alertan en estos sensores apunta al uso de ingeniería inversa para usar el controlador del lector para que capture la huella sin que lo desee el propietario. Este método no solo afecta a los móviles de Samsung, también a HTC y Huawei. Aunque todavía son pocos los modelos que ofrecen esta opción —casi todos de alta gama—, las previsiones de la industria apuntan a que en 2019 lo incluirá más de la mitad de los móviles.
La extracción del patrón de huella digital en una diapositiva de la presentación en el congreso de Las Vegas. / RJC
“En estos ataques, los datos de las víctimas caen directamente en manos de los atacantes, de por vida, para siempre. Pueden usar las huellas dactilares para cualquier fin”, apunta Zhang. Más allá del mundo digital, las huellas se siguen usando para identificar personas en pasaportes, registros criminales y de aduanas. Ambos investigadores apuntan a que este modelo se puede extrapolar a los sensores de algunos ordenadores de alta gama.
A diferencia de su hermana Blackhat, que se desarrolla durante la semana, en Defcon el ambiente es mucho más informal. Mientras que en la primera la entrada cuesta 1.800 dólares (1.637 euros), en defcon el precio es de 230 dólares (209 euros) y no se pide identificación alguna. Las acreditaciones carecen de nombre. Durante el fin de semana, los pasillos de los hoteles Paris y Bally's pasan a ser callejones donde hackers demuestran sus habilidades. Muchos, por mostrar su pericia; otros, para hacerse con un empleo. Twitter, Facebook y Microsoft son algunas de las empresas que pescan entre los más de 10.000 asistentes que ha reconocido la críptica organización. Entre los consejos a quienes asisten —dados por ellos mismos— está el de dejar el móvil en modo avión. O, mejor aún, directamente no encenderlo. Cualquiera puede ser víctima.