Ojos y huellas, vulnerables a ‘hackers’
Sabemos que los cibercriminales están atacando nuestras redes y computadoras todos los días, pero tal vez lo próximo que salgan a cazar podrían ser tus ojos.
Algunas contraseñas para ingresar a sistemas de importancia fundamental están siendo gradualmente reemplazadas por identificadores biométricos, como huellas dactilares y escaneos de iris , que supuestamente ofrecen una manera más segura de iniciar sesión. La información biométrica no puede ser robada en un ataque de phishing ( ligas engañosas diseñadas para estafar al usuario ), por ejemplo, debido a que los marcadores son únicos (y están unidos físicamente) a cada usuario. Es un sistema a prueba de tontos, ¿verdad? ¡Ja!
Resulta que las huellas dactilares y el escaneo de iris pueden ser hackeados al igual que una contraseña, con un poco de astuta ingeniería inversa.
Cuando los datos biométricos se introducen en una computadora, el sistema no almacena la huella digital real o el escaneo del iris. Registra una plantilla digital que sirve como una representación recortada de la información biométrica. Cuando un usuario va a iniciar la sesión, sus características se comparan con las plantillas, y al resultado se le asigna una puntuación de similitud. Si es lo suficientemente alta, al usuario se le permite entrar.
El año pasado, investigadores de la Universidad de Bolonia en Italia pudieron reconstruir una huella dactilar a partir de una plantilla digital almacenada en una computadora. Tuvieron tanto éxito que fueron capaces de construir versiones de dedos de goma con huellas que podrían ser pegadas a un lector y utilizadas para engañar a la computadora para permitirles entrar en la cuenta de otra persona.
El escáner de iris no debería ser susceptible a la ingeniería inversa, ya que el iris humano es mucho más complejo que una huella digital y ofrece muy pocos falsos positivos en un análisis. Es posible que tu huella dactilar se parezca lo suficiente como para coincidir con la mía, pero las posibilidades de que el iris pueda ser confundido con el de otra persona son increíblemente escasas.
Sin embargo, una nueva investigación demuestra que construir un globo ocular a partir de una plantilla digital de un iris es tan plausible como crear una huella dactilar a partir de una plantilla.
El miércoles, en la conferencia de ciberseguridad Black Hat en Las Vegas, Javier Galbally, investigador de la Universidad Autónoma de Madrid, España, mostró cómo lo hizo su equipo.
Los escáneres de iris toman una imagen del ojo, extienden el iris en forma de rectángulo, y luego crean una plantilla de ceros y unos llamada 'iriscode'. En forma de imagen, se asemeja a una serie de pixeles en blanco y negro en un rectángulo largo y estrecho. No se parece en nada a un iris real.
Pero no le digas eso a un sistema de escaneo del iris. Al hacer una imagen a partir del iriscode almacenado, extendiéndola en forma de círculo, e introduciéndola de nuevo al sistema, el equipo de Galbally fue capaz de entrar al sistema con una tasa de éxito del 87%.
Al escáner de iris ni siquiera le importó que el fondo fuera totalmente blanco, sin párpado que rodeara a la imagen reconstruida. En otras palabras, el escáner no comprobó que la imagen que estaba viendo fuera realmente un ojo humano. Ésa es una enorme vulnerabilidad, dijo Galbally, y los sistemas de escaneo de iris deben corregirla.
La creciente popularidad de los escáneres biométricos han creado preocupaciones de que los malos vayan a empezar a cortar dedos y sacar ojos de manera sanguinaria para irrumpir en sistemas de importancia fundamental. (Oye, funcionó en Demolition Man).
Pero resulta que no necesitan la muestra original en absoluto - sólo algunas habilidades de hackeo y una impresora.