Las contraseñas están condenadas a morir. Mientras las redes sociales experimentan con sistemas de verificación en dos pasos y cifrados, los aparatos electrónicos, cada vez más sofisticados, intentan hacerse fuertes ante posibles intromisiones que, dado que muchos de ellos comienzan a estar conectados a internet, daría vía libre a los datos confidenciales de miles de personas.
Está muy de moda decir que la información biométrica reemplazará a las contraseñas, y no dudo de que lo vaya a hacer en determinados servicios o sistemas de manera poco meditada. Sin embargo, mientras los ingenieros que desarrollan estos sistemas se dejan llevar por la emoción de una idea que parece sacada de la ciencia ficción y muchos "gurús" tecnológicos le dan todo el bombo posible, los expertos en seguridad se están tirando de los pelos.
La información biométrica nunca debería reemplazar a la contraseña sino, en todo caso, al nombre de usuario. La información biométrica:
- Es pública: tu cara te la vemos todos los días, tus huellas dactilares las dejas por donde pasas, tu iris está potencialmente a la vista dada suficiente tecnología.
- Está ligada inextricablemente a la identidad: Si para acceder a la banca online de Ingenuobank se usa reconocimiento facial/dactilar/de iris, sé qué cara/dedos/ojos usas tú para acceder a tu cuenta
- Se reutiliza en todos los sistemas y servicios con los que se interactúa: si la app social de moda del mes Tontunapp usa información biométrica para acceder a tu cuenta, es posible que estés usando la misma que para acceder a Ingenuobank (¿Qué pensaríais de alguien que usa la misma contraseña para su cuenta de banco que para una app?)
En ese sentido la información biométrica se parece muchísimo más a un nombre de usuario que a una contraseña, la cual:
- Es privada
- No tiene (o no debería tener) conexión alguna con el individuo
- Se puede variar y cambiar infinitamente en distintos sistemas y servicios.
#1 ya ha mencionado un posible motivo, aunque sea fantasioso, para no utilizar información biométrica como contraseña. Hay otros motivos más realistas.
Uno de ellos sería que, aún suponiendo que todos los servicios de internet fuesen de confianza (que no lo son), los datos definitorios de la información biométrica de cada usuario estarían almacenados en cada uno de ellos de manera más o menos segura. Un atacante necesitaría acceso sólo al servicio de internet con seguridad más débil para obtener datos biométricos de usuarios que usarían los mismos datos para cualquier otro servicio.
Otro buen motivo es que, como digo, es información pública. Con un mínimo de medios tecnológicos (cada vez más desarrollados) y planificación sería muy factible atacar a los usuarios individualmente. Saca suficientes fotos de la cara de alguien y podrás hacer un modelo 3D de su cara. Busca sus huellas dactilares en lugares por los que pasa a menudo o engáñale para que toque un lector camuflado y tendrás sus huellas. Coloca un lector de iris pirata en un cajero automático (como se hace con skimmers) y tendrás los datos de quien lo use.
Lo que es peor, una vez hayas obtenido esta información, la víctima no podrá nunca impedir que la uses salvo que sacrifique su propia habilidad de hacerlo.
Recuerdo a un compañero que tuve que entraba en la sala de servidores usando el dedo corazón... solo por el placer de levantar el dedo a los que miraban...
Comentarios
Me niego a usar de contraseña algo que no pueda cambiar, sobre todo si pueden usarme a la fuerza para acceder a un sitio.
#1 Por ejemplo, la huella dactilar: cualquier día te ves con nueve dedos en vez de diez, porque alguien te ha robado la contraseña.
Está muy de moda decir que la información biométrica reemplazará a las contraseñas, y no dudo de que lo vaya a hacer en determinados servicios o sistemas de manera poco meditada. Sin embargo, mientras los ingenieros que desarrollan estos sistemas se dejan llevar por la emoción de una idea que parece sacada de la ciencia ficción y muchos "gurús" tecnológicos le dan todo el bombo posible, los expertos en seguridad se están tirando de los pelos.
La información biométrica nunca debería reemplazar a la contraseña sino, en todo caso, al nombre de usuario. La información biométrica:
- Es pública: tu cara te la vemos todos los días, tus huellas dactilares las dejas por donde pasas, tu iris está potencialmente a la vista dada suficiente tecnología.
- Está ligada inextricablemente a la identidad: Si para acceder a la banca online de Ingenuobank se usa reconocimiento facial/dactilar/de iris, sé qué cara/dedos/ojos usas tú para acceder a tu cuenta
- Se reutiliza en todos los sistemas y servicios con los que se interactúa: si la app social de moda del mes Tontunapp usa información biométrica para acceder a tu cuenta, es posible que estés usando la misma que para acceder a Ingenuobank (¿Qué pensaríais de alguien que usa la misma contraseña para su cuenta de banco que para una app?)
En ese sentido la información biométrica se parece muchísimo más a un nombre de usuario que a una contraseña, la cual:
- Es privada
- No tiene (o no debería tener) conexión alguna con el individuo
- Se puede variar y cambiar infinitamente en distintos sistemas y servicios.
#1 ya ha mencionado un posible motivo, aunque sea fantasioso, para no utilizar información biométrica como contraseña. Hay otros motivos más realistas.
Uno de ellos sería que, aún suponiendo que todos los servicios de internet fuesen de confianza (que no lo son), los datos definitorios de la información biométrica de cada usuario estarían almacenados en cada uno de ellos de manera más o menos segura. Un atacante necesitaría acceso sólo al servicio de internet con seguridad más débil para obtener datos biométricos de usuarios que usarían los mismos datos para cualquier otro servicio.
Otro buen motivo es que, como digo, es información pública. Con un mínimo de medios tecnológicos (cada vez más desarrollados) y planificación sería muy factible atacar a los usuarios individualmente. Saca suficientes fotos de la cara de alguien y podrás hacer un modelo 3D de su cara. Busca sus huellas dactilares en lugares por los que pasa a menudo o engáñale para que toque un lector camuflado y tendrás sus huellas. Coloca un lector de iris pirata en un cajero automático (como se hace con skimmers) y tendrás los datos de quien lo use.
Lo que es peor, una vez hayas obtenido esta información, la víctima no podrá nunca impedir que la uses salvo que sacrifique su propia habilidad de hacerlo.
#1 Como en "Demolution man", que para pasar el control del escáner óptico, Westley Snipes usa el ojo del tío pinchado en un boli
Recuerdo a un compañero que tuve que entraba en la sala de servidores usando el dedo corazón... solo por el placer de levantar el dedo a los que miraban...
¿Y el iris? Supongo que a un reconocedor de iris le pones la foto correcta delante, y te la toma por buena.
Dentro de poco habrá que mear en el móvil para desbloquearlo.