El binomio usuario+contraseña no es el culmen de la seguridad. Los últimos casos de robos de datos y filtraciones lo demuestran, como la de Yahoo, en la que fueron robadas 500 millones de cuentas de usuario y credenciales. Además de que, por norma general, los usuarios suelen usar contraseñas poco robustas (123456 sigue siendo la más usada del mundo, además de su cumpleaños) y usan la misma en muchos servicios de Internet, lo que aumenta las potenciales amenazas.

Una de las opciones para mejorar esta seguridad de los accesos en la que se está trabajando desde hace años es la biometría. Considerada por muchos como el futuro de los métodos de autenticación, el acceso mediante la huella dactilar o el iris puede ser una gran forma de mejorar la seguridad. Pero por supuesto, los ciberdelicuentes lo están viendo como una oportunidad más para robar información sensible. Expertos del fabricante de soluciones de seguridad Kaspersky Lab han analizado cómo se podrían explotar estas tecnologías de acceso en entornos críticos: cajeros automáticos.

Las entidades bancarias tienen que lidiar con problemas de seguridad en los que proteger datos extremadamente sensibles, y es uno de los sectores que ha estado probando este tipo de accesos biométricos. Por ejemplo, accediendo a un cajero para sacar dinero mediante la huella dactilar, en lugar del código PIN de toda la vida.

Pero como no podía ser de otra manera, los cajeros también son un objetivo de los estafadores informáticos. Hace años que proliferan los skimmers, aparatos que conectan a un cajero automático para robar información de las tarjetas. Estos se pueden ayudar bien de un teclado falso (colocado estratégicamente sobre el teclado real, para recopilar los códigos PIN), un lector de bandas magnéticas o incluso cámaras web que recogen toda la información que los usuarios marcan en las pantallas. Este tipo de dispositivos se han ido sofisticando, de forma que cada vez son más difíciles de detectar y están mimetizados con el cajero.

También han evolucionado para adaptarse a las nuevas tarjetas. Los denominados shimmers por ejemplo, también pueden recoger información de las tarjetas con chip.

biometria-seguirdad

Skimmers biométricos

Según la empresa de seguridad, existen en los mercados negros de Internet por lo menos doce vendedores diferentes que proporcionan este tipo de aparatos, skimmers, pero con una característica especial: son capaces de robar también las huellas dactilares y datos biométricos. Algunos incluso podrían obtener datos de sistemas más sofisticados, como reconocimiento de venas de la mano o del iris.

Los expertos de la firma se han hecho con muestras de estos dispositivos y los han probado, para comprobar su efectividad. Algunos de ellos cuentan con errores, por ejemplo, problemas en la transferencia de los datos biométricos, ya que se necesitan enviar grandes volúmenes de datos. Aunque esto no supondrá un impedimento, las próximas versiones de skimmers seguramente contarán con tecnologías más avanzadas para una transferencia de datos más rápida.

En el caso de métodos biométricos de reconocimiento facial, por ejemplo, han detectado casos en los que se han colocado máscaras, tomando una foto de la víctima de sus redes sociales, para engañar al sistema.

Como afirman desde Kaspersky, el problema de la biometría es que es imposible cambiar la huella digital o el iris, a diferencia de las contraseñas, que pueden cambiarse si se ven comprometidos. “Por lo tanto, si los datos se ven comprometidos una vez, no será seguro usar ese método de autenticación de nuevo. Es muy importante mantener dichos datos protegidos y transmitirla de manera segura. Los datos biométricos se registran también en los pasaportes modernos – llamados pasaportes electrónicos – y visados. Por lo tanto, si un ciberatacante roba un pasaporte electrónico, tendrá acceso a los datos biométricos de esa persona. Roban la identidad de una persona”.

About Author

Monica Valle

Periodista especializada en tecnología y ciberseguridad. Presentadora del programa sobre seguridad informática y tecnología Mundo Hacker. @monivalle

1 comentario

Deja un comentario