Huella dactilar de Android, la siguiente hackeada

Haters y fanboys de Apple parecen envueltos en una guerra eterna para enumerar las primicias -ciertas o no- que el fabricante añade a sus dispositivos. Especificaciones de su sistema operativo, utilidades, componentes, etc. Todo es válido para atacar al rival. Sin embargo, hay algo en lo que todos coinciden, lo que hacen en Cupertino acaba marcando tendencia en el mercado. Y el mejor ejemplo de los últimos tiempos ha sido el sensor de huellas dactilares que Apple implementó en el iPhone 5S como una revolución para la seguridad de los dispositivos móviles. Más o menos criticado, el Touch ID llenó páginas de los medios especializados porque, además, servía para verificar la identidad del usuario para realizar pagos.

Por eso cuando se hizo público que había formas de crackearlo fueron muchos las voces y los rivales que acusaban a Apple de vender humo y, sobre todo, explicaban que había formatos mucho más seguros como la identificación facial o las propias contraseñas.

Sin embargo, con el paso del tiempo el desbloqueo mediante la huella dactilar se ha convertido casi en un estándar y son muchos los dispositivos Android que lo incluyen entre sus opciones. Lo malo es que durante el último encuentro Defcon de Las Vegas Yulong Zhang y Tao Wei han demostrado con sendos HTC One Max y Samsung Galaxy S5 -los coreanos son los que más han apostado por esta tecnología- que el sensor se ha convertido en un gran foco de vulnerabilidades para el sistema operativo del robot verde.

¿Cómo consiguen romper el sistema? Parece que es suficiente con tomar imágenes de las huellas dactilares puesto que el dispositivo nunca guarda por completo la información de la huella con lo que los hackers pueden aprovechar ese limbo para entrar en el smartphone. Una vez conseguido el patrón, el pirata puede acceder a cualquier rincón del dispositivo y realizar, por ejemplo, pagos o entrar en cuentas de Dropbox que emplean este sistema como una de las opciones de autenticación.

Wei dijo que Apple parece haber trabajado mejor con este sistema ya que la información del dedo queda registrada por completo en el iPhone o el iPad de modo que el hacker no puede acceder a esta información y por tanto los datos bancarios o las compras quedan a salvo ya que aunque alguien pudiera acceder a la huella no podría utilizarla.

El mayor problema, para Zhang es que el sistema de Android permitiría enviar mediante una aplicación la información de seguridad a un tercero de modo que el fraude podría escalarse significativamente. Otra de las vulnerabilidades detectadas es que se podría acceder remotamente al terminal para hacer que el sensor llevara a cabo la función inversa: que captara toda la información de la huella sin que el propietario quisiera de modo que la información queda a expensas del hacker de por vida puesto que no hay forma de cambiar nuestra huella dactilar.

Pasaportes, registros criminales, aduanas… todos ellos utilizan las huellas digitales para identificar a las personas y ceder de una forma tan sencilla las nuestras hace que nuestra vida pueda complicarse mucho en ámbitos más graves que la gestión de información desde un smartphone o tablet.

Ambos analistas aseguraron que ya que dentro de Android el sensor está poco extendido -solo a gama alta- todos los fabricantes están a tiempo de mejorar la seguridad a partir de estas alertas antes de que sea una tecnología muy extendida (en 2019 calculan que la mitad de los dispositivos móviles las utilizarán).

Biometría, ¿la solución definitiva a los problemas de seguridad?

Los ataques masivos a Sony, Apple (celebgate) o las intervenciones de llamadas por internet ha hecho que cada vez más usuarios se den cuenta de la fragilidad de la privacidad en la red y de que las empresas tomen conciencia de que si ni siquiera sus contenidos son seguros, millones de usuarios buscarán alternativas a sus productos y servicios.

Concebidas como el sistema menos malo posible para asegurar la información (no son seguras pero son las más fáciles de implementar) ahora que las TICs son una parte fundamental en muchas facetas de nuestra vida diaria es necesario un sistema que sea más fiable a la hora de proteger -o darnos la falsa sensación de protección- contenidos que consideramos importantes (para el 99% de nosotros ser «uno más» nos otorga la privacidad de la masa, no somos «relevantes» para un hacker).

Curiosamente la biometría -tan de moda en los teléfonos inteligentes- parece ser el siguiente paso para asegurar los contenidos. Los escáneres de huellas parecen la solución más fácil de implementar masivamente. Para la mayoría de los usuarios son sistemas seguros, más que los patrones o los PIN de cuatro cifras.

Bajo el axioma de que no hay dos huellas dactilares iguales en la naturaleza nos sentimos protegidos por una marca única… que ya no es impenetrable. Si hace un año Chaos Computer Club demostró que entrar en un iPhone 5S no era nada complicado, ahora demuestran que casi ningún sensor biométrico está libre de ser hackeado -al menos los de uso masivo-.

Para demostrar que no es sólo una campaña para ganar relevancia (todo lo relacionado con Apple lo tiene) ahora han conseguido crear una réplica de una huella dactilar de Ursula von der Leyen, Ministra de Defensa alemana. ¿Cómo lo han hecho? De una forma nada «sofisticada» -no penséis en nada de la sección Q de 007-.

 

Tan sólo han necesitado unas cuantas fotos de la mano de la política tomadas desde diferentes ángulos y un software comercial (Verifinger) para reconstruir la clave de seguridad de toda una personalidad. La última conferencia de este club europeo ha demostrado que ni siquiera este sistema está a salvo y, en tono jocoso, algunos de sus miembros recomendaban llevar guantes en público a algunos mandatarios. (El asunto es mucho más serio de lo que parece).

 

Lo mismo ocurre con el reconocimiento facial. A pesar de que ahora los sistemas 3D aportan un poco más de fiabilidad a esta protección, la mayoría se pueden saltar con un par de fotografías y un software no demasiado complejo.

 

Aún así, repetimos que para el usuario medio, ese que para los grandes hackers es un anónimo más, un sensor biométrico parece el sistema más seguro para evitar que nadie pueda acceder a nuestros contenidos si nos sustraen el teléfono o tableta. Si queremos más seguridad, sólo tenemos que aislarnos de la red de redes.

 

Touch ID, objeto de deseo

 

 

Si hay dos retos para cualquier hacker son romper la seguridad que rodea la seguridad de todo producto Apple y los algoritmos de Google. Y como casi siempre que se presenta un nuevo producto de la manzana, cualquier novedad relacionada con él es objeto de deseo. Así, la empresa de Chicago IO Capital ha donado 10.000 dólares (a los que se sumarán bitcoins y regalos por valor de otros 3.000 dólares) a la primera persona que sea capaz de hackear el Touch ID del nuevo iPhone 5S.

 

La idea no es, ni mucho menos, provocar problemas a los de Cupertino -ya sabemos cómo se las gasta su departamento jurídico- sino reunir a lo más granado del mundo del pirateo de software para ayudar a los de Tim Cook ha encontrar posibles brechas en la seguridad del sistema y eliminarlas. «La idea es solucionar un problema antes de que sea un problema», en palabras de Arturas Rosenbacher, uno de los socios fundadores de IO Capital.

 

Lo mejor, es que ya hay una buena lista de personas que han donado objetos o dinero (unos 50 dólares cada uno) para hacer el premio más apetitoso. Todo ello mientras, según Forbes.com, ya aparecen las primeras brechas de seguridad en iOS7. En este caso ha sido el canario José Rodríguez, de 36 años, que en un vídeo explica que es posible saltarse la pantalla de bloqueo y acceder sin oposición a todos los datos del terminal: desde aplicaciones a correos o fotografías.

 

Trudy Muller, representante de la empresa, ha afirmado que Apple presentará en pocas horas la primera actualización para minimizar el problema y hacer de iOS7 la versión más segura del sistema operativo hasta la fecha.

 

Aunque parezca sólo un sistema más cómodo -y futurista- de bloqueo, el Touch ID también es el encargado de comprobar la veracidad de las compras en iTunes, la joya de la corona de Apple y su principal fuente de ingresos. Además, este sensor biométrico ha sido aplaudido por toda la crítica ya que introduce un tipo de tecnología en los terminales que hasta ahora estaba reservado a dispositivos mucho más caros o de uso mucho más restringido para el gran público.

 

Expertos como el ingeniero Charlie Miller ya predijeron que los hackers tardarían menos de dos semanas en romper esta barrera de seguridad. Miller, conocido por dar a conocer errores de los iPhone y por vulnerar sistemáticamente la seguridad de la AppStore es, junto con David Kennedy -ex analista del departamento de ciberseguridad del Ejército de Estados Unidos y actual CEO de la consultora TrustedSec LLC- uno de los grandes favoritos para apuntar se el hito.