Si un atacante se hace con tus contraseñas, las cambias, y asunto resuelto. Pero, si roban la información de tu huella dactilar? La solución parece más compleja. Y es que, aunque algunos aseguren que nos acercamos a la muerte de la contraseña, no todos los expertos están de acuerdo en que los métodos de identificación biométrica son los más seguros.

Un grupo de investigadores de la firma FireEye se han puesto manos a la obra para demostrarlo. Han descubierto una serie de vulnerabilidades en Android que permiten a los atacantes extraer las huellas dactilares de forma remota, sin que el usuario se percate de nada. La amenaza se encuentra en la mayoría de los dispositivos Android que cuentan con sensores de huella dactilar. Modelos de grandes fabricantes como Samsung, Huawei o HTC tendrían este problema. 

El ataque puede ser usado para recolectar huellas dactilares a gran escala, como explicó uno de los investigadores, Yulong Zhang a ZDNet. El ataque que mostraron durante la conferencia de hacking Black Hat en Las Vegas, concretamente en un HTC One Max y en un Samsung Galaxy S5, permite a un atacante robar la imagen de la huella dactilar del dispositivo porque los fabricantes no protegen el sensor por completo.

Para complicar las cosas, en algunos modelos el sensor sólo está vigilado por el sistema, en vez del root, lo que hace que sea más fácil de localizar. Es decir, rootear el móvil puede aumentar el riesgo. Una vez que el ataque ha tenido lugar, el lector de huellas dactilares puede seguir recolectando datos de cualquier persona que use el sensor.

En un entorno UNIX como Linux (y por tanto Android), root, el el término usado para el nombre de la cuenta que tiene todos los derechos del sistema. En Android está bloqueado por defecto, por lo que no se pueden realizar ciertas acciones avanzadas en el sistema. Rooteando el dispositivo se pasa a ser un usuario root y se puede acceder a todas las funciones bloqueadas: instalar determinados programas,cambiar los ajustes de fábrica, gestionar los permisos de las apps… Aunque algunos usuarios aseguren que no es peligroso, la mayoría de los expertos en seguridad opinan que hacerlo conlleva graves riesgos, ya que aumenta los problemas de seguridad.

lector huellas samsung galaxy s5 seguridad

Cómo funciona el ataque

Como explica Josep Albors, experto de seguridad de ESET, los lectores de huellas dactilares procesan la imagen buscando los marcadores únicos de cada huella, para verificar que pertenecen a un usuario autorizado para acceder u usar el dispositivo.

Añade que la huella no solo se usa como mecanismo de autenticación, también de autorización, por ejemplo para autorizar compras. “Esto es importante puesto que no se diferencia entre estos mecanismos y, una vez robada la huella, el atacante no solo podrá acceder al móvil sino que también podrá realizar compras a nombre de la víctima”.

En la mayoría de los dispositivos analizados, explica Albors, la contraseña se almacena como una imagen sin cifrar, en una carpeta del sistema que es accesible por otras aplicaciones. Por lo que,si una víctima instala una app que busca esta información y la envía a un servidor controlado por un ciberdelincuente, este podría recoger de forma masiva las huellas de las víctimas que se han instalado la aplicación maliciosa.

blak hat lectores huellas

Por ahora, el porcentaje en el mercado de este tipo de tecnología no es muy amplio, pero se espera que en 2019 la mitad de todos los smartphones cuenten con este tipo de lectores. Sin embargo, el problema no solo se limita a los smartphones, los investigadores advirtieron de que muchos de los ataques se pueden aplicar también a los portátiles que cuentan con esta tecnología.

About Author

Monica Valle

Periodista especializada en tecnología y ciberseguridad. Presentadora del programa sobre seguridad informática y tecnología Mundo Hacker. @monivalle

1 comentario

Deja un comentario