Huella digital: cuán segura es como método de autentificación

Hoy la usamos como uno de los principales mecanismos para demostrar que somos quienes somos: desde desbloquear el celular hasta a la hora de realizar importantes trámites bancarios. Es más: Samsung ha anunciado un nuevo sistema de verificación para sus dispositivos con huella que es «2.500 millones de veces» más seguro. Pero, ¿es tan segura la marca de nuestros dedos? Acá, expertos evalúan pros y contras.

La huella digital es un identificador único. No hay una igual a otra en ningún lugar del mundo. Cada una de las cerca de ocho mil millones de personas en el globo tienen por lo menos un distintivo, entre ambas manos o sus pies. En virtud de esos detalles, las firmas tecnológicas las ven como una de las medidas de seguridad más eficientes para realizar transacciones, desbloqueo de equipos y cualquier otra acción que requiera confirmación de credenciales.

►►►
Sin embargo, la comprobación por huella también pueden ser vulnerada; por eso las empresas buscan perfeccionar aún más su efectividad.
El primer teléfono móvil con lectura de huella dactilar vio la luz hacia 2004 de la mano de Pantech, con su modelo GI100, y el primer smartphone fue el Toshiba G500, en 2007. El primero con sensor de huella en la misma pantalla fue el Motorola ATRIX 4g, de 2011, y la verificación dactilar se masificó para 2013 con el iPhone 5s y el HTC One Max. En 2018 Vivo le dio un upgrade a la tecnología en su X20 Plus HD.
Teniendo esto en cuenta, la surcoreana Samsung cuenta, al igual que Apple y la gran mayoría de los más importantes nombres del mundo de la tecnología, con tecnologías de reconocimiento de huella dactilar de sus usuarios, así como de otros valores biométricos.

►►►
Los dispositivos móviles han ido adoptando medidas de seguridad a través de datos biométricos, sea con huella digital o reconocimiento facial.
Al registrar los dedos en el sistema del teléfono, básicamente, lo que hace el equipo es medir los extremos y realiza una serie de registros —al menos unos diez por dedo, si es que el equipo lo permite—. Cuando el usuario quiera desbloquear el equipo pulsando el sensor, el celular contrastará su dedo único con la información previamente guardada.

La verificación de todo dato biométrico es distinta a verificar una contraseña: el password es igual o no al almacenado y punto. Pero la lectura de la huella, o de cualquier dato biométrico, tiene fallas.

►►►
Pero hace poco la surcoreana anunció que se volcará al reconocimiento dactilar a través de la pantalla: su tecnología “All-in-One” se encontrará en su generación de paneles OLED 2.0. Con la pulsación de tres dedos sobre la superficie táctil, a través de la luz, profundidad de la piel y análisis de las huellas, podrán entregar un sistema de seguridad, según dijo la propia compañía, “2.500 millones” de veces más segura que un solo dedo.

La huella dactilar es solo una arista de una tecnología denominada biometría, que busca reconocer individuos de forma automatizada, basada en sus características biológicas o de comportamiento. Estas herramientas, dice Alejandro Hevia, director de la Alianza Chilena de Ciberseguridad y académico de la Universidad de Chile, requieren medir una característica física de una persona y, sobre esa medición, decidir, por ejemplo, si aceptarla o no. Puede tratarse de una huella dactilar, el iris del ojo, la forma de la mano o la cara.

►►►
En general, asegura Hevia, son mecanismos que se usan para identificar —como si se tratara de una cámara de seguridad— o autentificar —si es que el que se dice titular es el mismo de la cédula de identidad—. “Ambos objetivos tienen múltiples componentes informáticos y complejidades”, acota el docente. En la autentificación, por ejemplo, cualquier sistema debe tener dos componentes: registro, que es la medición inicial controlada; y verificación, que es la medición posterior con un fin específico, como podría ser tomar una huella digital para verificar que la persona en el teclado es quien dice ser.

►►►
La huella dactilar, por ejemplo, al ser medida por un sensor se transforma en un dato biométrico. Pero, en los últimos años, se han dado a conocer algunos casos de vulneración de huella digital. “La verificación de todo dato biométrico es distinta a verificar una contraseña: el password es igual o no al almacenado y punto. Pero la lectura de la huella, o de cualquier dato biométrico, tiene fallas, por lo que el sistema debe evaluar cuánto se parece a la lectura inicial —o a varias de ellas— : ¿Se parece lo suficiente para decir ‘sí’?”, desarrolla el experto.
Un factor crucial a tener en cuenta, dice, es que todo mecanismo biométrico es falible: la huella obtenida en una medición no es nunca idéntica a la original. “El sistema puede equivocarse en dos sentidos: permitiendo que alguien no autorizado pase, con un calce positivo; o bien denegando el paso de alguien autorizado, con calce negativo”, asegura, sobre los errores que buscan abordar diversas tecnologías.

En la práctica los principales ataques vienen de fallas en el
proceso de medición del dato biométrico al tomar la huella.

►►►
Al realizar el registro de datos biométricos, pueden existir de todas maneras imprecisiones y los sistemas pueden cometer errores al autentificar a usuarios.
En la práctica, plantea Hevia, los principales ataques vienen de fallas en el proceso de medición del dato biométrico al tomar la huella. “Esto puede ser muy fácil si la medición no se hace en forma supervisada o el dispositivo que toma la muestra está bajo el control del atacante”, dice el docente. Sobre esto, asegura que hay múltiples casos documentados de investigaciones en las que la autentificación ha sido engañada alterando los sensores, o bien usando dedos de goma o fotos impresas para engañar a una cámara.