3 Mar 2017

Dedos y ojos en el MWC 2017

Noticias Seguridad

Hemos escrito mucho sobre sensores de huellas no seguros y sobre otras tecnologías biométricas. No hemos sido los únicos, claro.

Parece ser que ha venido bien. En el Mobile World Congress (MWC) 2017 de Barcelona, muchos desarrolladores de sensores inteligentes han presentado dispositivos que son más seguros de lo que esperábamos.

La evolución de los sensores de huellas

IDEX, una compañía noruega que provee de sensores de huellas a LG y otras empresas, asegura que la mayoría de sus desarrolladores asociados de smartphones permiten el acceso a los sensores de huellas solo en medios seguros.

He hablado con muchos fabricantes de sensores de huellas en el MWC y todos utilizan un sistema completamente protegido para gestionar los datos de este tipo. Al principio, se cifran los datos originales del sensor de huellas, luego el sistema detecta las rugosidades distintivas de la piel para también cifrarlas y las envía a un almacenamiento seguro. Todas estas operaciones se llevan a cabo en un medio de ejecución de confianza (un espacio aislado al que no puede acceder un proceso externo).

Pero muchos fabricantes de sensores siguen permitiendo a las compañías de dispositivos decidir si quieren usar el mecanismo de protección. En cualquier caso, los datos siempre están cifrados de forma segura desde el sensor hasta el procesador, y eso es bueno: anteriormente, esta era la vulnerabilidad principal de las tecnologías de lectura de huellas.

Un fabricante de sensores llamado CrucialTec ha decidido producir biométrica más… bueno, biométrica añadiendo sensores cardíacos a los escáneres de huellas. Se trata de una medida de protección: las copias de dedos impresas en 3D, los dedos de plástico e, incluso, los dedos rebanados no funcionarán. Lo mismo sucede con simples copias de dedos creadas con una huella común.

Este sistema comprueba las rugosidades cutáneas para confirmar que se asemejan, pero no desbloquea el smartphone hasta que detecta un latido. Este es un gran paso para la seguridad de la autenticación mediante huellas. Los delincuentes habilidosos encontrarán, sin duda, un modo de saltarse esta protección (por ejemplo, poniendo en el escáner la copia de las huellas de un dedo usando el dedo real de una persona diferente, pero será más complicado).

Una compañía china presentó una implementación poco usual: un escáner de huellas integrado directamente en el cristal de la pantalla de un smartphone. Había algunas limitaciones: primero, el único prototipo estaba en China y la compañía no pudo mostrarlo. Además, no están del todo seguros de cómo los usuarios comprenderán qué parte de la pantalla deben usar para desbloquear el terminal (¡el sensor no se ve con claridad!). El año pasado, IDEX presentó una idea parecida, pero al parecer no fue más allá de un concepto.

Por cierto, los desarrolladores dicen que los sensores de huellas no son solo para dispositivos; también se pueden usar en cerraduras y en llaves de coches. Muchas empresas ofrecen sensores flexibles y muy delgados que pueden usarse en tarjetas bancarias.

La tecnología se implementa de diferentes formas: por ejemplo, IDEX ofrece un sistema que no requiere de electricidad adicional, mientras que CrucialTec integra una batería y una única pantalla en la tarjeta para mostrar si se autoriza o no al usuario. El sensor de huellas puede ser una buena alternativa para los códigos PIN: más fáciles de usar y más difíciles de falsificar (es muy fácil ver el PIN cuando una persona lo introduce).

Algo más de biometría

Hace dos años, Qualcomm presentó SenseID (escáneres de huellas más seguro y más rápidos). Esta vez, la empresa ofreció otro método de autenticación que escanea el iris. Cada persona tiene iris únicos, por lo que este método es de mucha confianza.

El sistema de Qualcomm es nuevo, por lo que, de momento, solo se integra en prototipos, pero funciona sorprendentemente bien: rápidamente y sin errores. Por si te preguntas por qué dicha tecnología está tardando en llegar al mercado de los smartphones, la razón es sencilla: las cámaras anteriores eran demasiado lentas y los procesadores de imágenes menos potentes.

Por cierto, los sistemas de reconocimiento de iris de Qualcomm pueden distinguir una copia falsa de un iris real. Había una cara impresa en 3D sorprendentemente realista en la caseta de Qualcomm y el software no la confundió con una de verdad. Por lo que entiendo, el sistema tiene en cuenta que el ojo siempre se está moviendo un poco.

Cabe destacar que el sistema puede reconocer los iris hasta a través de grandes gafas de sol oscuras. Por desgracia, Qualcomm rechaza explicar cómo ha conseguido este resultado. En resumen, el reconocimiento mediante iris es mucho más seguro que, digamos, el reconocimiento facial.

Sin embargo, tiene el mismo problema que el resto de las tecnologías biométricas: una vez que los delincuentes encuentran un modo de robar y usar los datos biométricos (y seguro que lo harán, pues los cajeros automáticos biométricos se están generalizando), los usuarios no podrán hacer nada, pues no pueden cambiar sus caras, ni sus iris ni sus huellas. Los códigos PIN y las contraseñas pueden cambiarse en segundos.

Otros muchos conceptos interesantes en el MWC 2017

Este año, en Barcelona hemos visto muchas innovaciones interesantes que tienen que ver con la seguridad de la información. Esto quiere decir que los procesadores móviles de Snapdragon son ahora tan potentes que pueden entrenar redes neurales. Qualcomm ha mostrado los primeros pasos de la dirección que tomó el año pasado cuando presentó una solución que trataba de reconocer los objetos que aparecen en fotos. Ahora, esta tecnología se ha desarrollado y se ha convertido en un motor que es compatible con muchas infraestructuras y ha sido entregada a los desarrolladores.

Este es un paso adelante: el aprendizaje automático en los dispositivos puede liberar a los usuarios de tener que enviar información a la nube, lo que lleva los conceptos de privacidad a sectores inimaginables, pues normalmente el aprendizaje automático necesita tecnologías en la nube (por ejemplo, ceder nuestros datos). Actualmente, es solo un motor, no una solución lista para consumidores.

Bueno, ya se usa una tecnología (desarrollada por, lo has adivinado, Qualcomm). Se llama App Protect y permite la implementación de algoritmos heurísticos para la detección de aplicaciones maliciosas a nivel de hardware y software. Qualcomm considera que una aplicación es maliciosa si intenta hacer algo en secreto (obtener la localización del usuario y sus contactos, enviar o interceptar mensajes de texto… ese tipo de cosas). App Protect ayuda a detectar este tipo de aplicaciones y prohíbe el acceso a datos privados. La tecnología no es una solución lista para su uso, pues debe integrarse en una aplicación de seguridad. En resumen. Kaspersky Antivirus and Security for Android lo hace de manera eficiente a nivel de software.

La MWC 2017 se ha centrado más en seguridad que otros años. Hoy se ve la palabra “seguridad” en casi todas las casetas. Aunque las cosas no sean del todo seguras, la ciencia óptica muestra que los desarrolladores empiezan a preocuparse más por la protección.

Por lo que respecta a la autenticación biométrica, esta tecnología puede resolver todos los aspectos negativos que presenta en el presente. Nunca será del todo segura, no existe tal cosa, pero se dan los pasos en la dirección correcta, lo que nos hace muy felices.