Seguridad: mitos y verdades sobre la autenticación biométrica móvil, por Sebastián Stranieri (*)

Es una realidad que, en los tiempos que corren, nuestro rostro, voz y huellas digitales se están convirtiendo en factores estelares del cuidado de la identidad del ciudadano. 

Ya sea a través de los lectores locales de cada dispositivo o de software independientes del hardware de nuestro teléfono, lo cierto es que ya es común desbloquear una aplicación con la huella, o bien con una sonrisa a la cámara. 

Alrededor de estos novedosos métodos se crearon mitos sobre los que es necesario hacer ciertas aclaraciones. 

Los lectores de huellas o aplicaciones de reconocimiento facial son sistemas propios del teléfono y, hasta el momento, nadie puede asegurar que los datos biométricos capturados pueden salir del equipo: están diseñados para ser ejecutados, y brindar funcionalidades, solo dentro del dispositivo. 

Si bien es verdad que cualquier desarrollador de aplicaciones móviles puede hacer uso de los mismos, el acceso se da con la finalidad de comprobar que la persona que puso su huella, o está frente a la cámara, es, efectivamente, "alguno de los usuarios autorizados en el teléfono".

Aun así, el desarrollador no puede garantizar la identidad específica del usuario. Aclarado este punto, existen también mitos sobre el acceso a la información utilizando técnicas de hacking, emulando al ciudadano, el dueño real del dispositivo, o bien robando los datos biométricos, en muchos casos llamado "minucia".

Resulta clave abordar esta problemática desde tres perspectivas: 

. Tecnológico. Dos grandes compañías de renombre internacional, como Apple y Samsung, vieron vulnerados sus sistemas biométricos sólo días después del lanzamiento, con técnicas que imitan al dueño o usuario enrolado en el sistema. Por otro lado, el hardware de la mayoría de los dispositivos no puede evaluar si la huella proviene de un dedo que tiene vida o de una máscara, un muñeco o un vídeo en definición 4K, dado capturan imágenes en dos dimensiones (2D).

. Transaccional. Para definir correctamente el nivel de riesgo de dicha implementación, hay que evaluar el tipo de transacciones a ser autorizadas con este método de autenticación de identidad, las funcionalidades provistas al usuario y qué modificaciones de datos personales, confidenciales y de propiedad permitirá realizar.

. Impacto. Sin embargo, una vez vulnerado el sistema de reconocimiento, ya sea de huella o rostro, el impacto es mucho más bajo de lo que se cree, dado que apenas garantiza el acceso a las transacciones más comunes del teléfono, generalmente asociadas a un comportamiento muy personal.

El objetivo principal de esta clase de implementaciones apunta a evitar ataques masivos y el robo de datos biométricos o confidenciales, o bien, librerías con miles de millones de caras de todo el mundo. 

(*) El columnista (foto) es CEO de VU Security.