Huellas versus contraseñas ¿qué es más seguro?

La identificación mediante huellas dactilares es cada vez más común, pero ¿es su tecnología tan segura como algunos creen? 

Las huellas dactilares se han señalado durante mucho tiempo como el identificador final, único e imposible de robar, y se posicionaron como una opción de autenticación más segura que las contraseñas. Por ese motivo, los lectores de huellas se convirtieron en una parte integral de la seguridad de los dispositivos móviles.

Las huellas dactilares se componen de una serie de surcos y crestas en la epidermis de la yema de los dedos. Estas formaciones son las que se utilizan para crear un patrón identificativo. La identificación se realiza mediante el análisis de los puntos característicos o minucias, que incluyen bifurcaciones, terminaciones, cortes y otros. El sistema de identificación por huellas se basa en la recolección de estas, su digitalización, y la posterior comparación con una base de datos preexistente.

En el campo de la seguridad privada, la identificación por huellas dactilares se usa de diversas maneras:

  1. Control de Acceso: Limitar el acceso a zonas restringidas de un edificio, como salas de servidores o áreas confidenciales, solo al personal autorizado.
  2. Asistencia y Control Horario: Verificar la presencia de empleados, reemplazando los métodos tradicionales de fichar.
  3. Seguridad Informática: Usar lectores de huellas para desbloquear dispositivos o para dar acceso a sistemas y redes informáticas.
  4. Verificación de Identidad: En eventos o situaciones donde se requiera confirmar la identidad de una persona, como en servicios de seguridad vip.

La tecnología de identificación por huellas dactilares es altamente confiable cuando los sistemas están bien calibrados y los procedimientos de registro y captura de las huellas se realizan correctamente. Los errores pueden ser extremadamente bajos, llegando a tasas de precisión superiores al 99%.

No obstante, su alta fiabilidad, la identificación dactilar, no está exenta de vulnerabilidades:

  1. Falsificación de Huellas: Existen técnicas que pueden replicar huellas dactilares a partir de moldes o impresiones.
  2. Errores en el Reconocimiento: Cuestiones técnicas o de mal uso pueden conducir a un falso rechazo o una falsa aceptación.
  3. Hackeo de Bases de Datos: Si la base de datos donde se almacenan las huellas digitales se ve comprometida, podría ponerse en riesgo la seguridad.
  4. Condiciones del Dedo: Cortes, desgaste o suciedad en el dedo pueden dificultar la correcta lectura de la huella.

Siguiendo un análisis del portal de seguridad Welivesecurity vamos a confrontar, mediante el examen de tres mitos, la robustez de la contraseña frente a la huella dactilar como medio seguro de autenticación.

Mito 1: Las huellas dactilares son más seguras que las contraseñas

Contrario a lo que muchas personas asumen, los lectores biométricos no son infalibles. Tienen sus propias vulnerabilidades, su tecnología puede ser explotada y las huellas pueden ser robadas, incluso desde fotografías. Todavía estamos lejos de reemplazar a las contraseñas de forma definitiva. Por ejemplo, en Estados Unidos, es política de Seguridad Nacional recoger las huellas dactilares de las personas emigrantes, de entre 14 y 79 años, cuando entran al país. Además, el FBI lleva un registro de aproximadamente 100 millones de huellas, de las cuales más de 30 millones no están vinculadas a actividad criminal alguna. Estos repositorios de información sensible son atractivos para los cibercriminales, y si logran acceder a esos registros, podrían usarlos con fines maliciosos, como ocurre con los robos de bases de datos con nombres y números de tarjetas de crédito.

Mito 2: No puedes copiar una huella dactilar

En 2013, Apple se sumergió en la era biométrica anunciando la incorporación de un escáner de huellas dactilares en su iPhone 5S. Prometía mantener tu teléfono súper protegido y proporcionar el método Touch ID para comprar en iTunes y App Store, de manera que las contraseñas ya no eran necesarias (aunque no definitivamente). Pero a los dos días de su lanzamiento, un investigador alemán llamado Starburg usó el software disponible públicamente VeriFinger para recrear las huellas del Ministro de Defensa de Alemania, usando fotos de alta resolución de las mismas. Afirmó que las copias eran capaces de burlar el sistema de autenticación de un dispositivo. Más recientemente, en 2016, la firma Vkansee demostró que esta tecnología puede ser burlada con pocos elementos: todo lo que necesitas es arcilla y plastilina del tipo Play-Doh, y puedes capturar suficientes detalles de una huella dactilar como para engañar a un sensor y que piense que es la real. Cabe destacar que la compañía dijo que el proceso es más bien complicado y que es probable que a veces no resulte. Sin embargo, sugiere que las huellas dactilares pueden ser copiadas.

Mito 3: Las huellas dactilares reemplazarán a las contraseñas en el futuro

Dado que las huellas se pueden robar, copiar y usar para engañar a los lectores biométricos actuales, está claro que todavía estamos lejos de reemplazar a las contraseñas en forma definitiva. Incluso cuando se declaren obsoletas, van a seguir estando presentes por un tiempo, mientras probamos otras alternativas. Esto indica que no hay una única solución a los problemas de seguridad en la tecnología, y es por eso que muchos expertos recomiendan un enfoque de múltiples capas y medidas. De esa forma, hay más de una puerta de entrada que los atacantes deben evadir. En la práctica, esto significa mezclar huellas dactilares, contraseñas y otras medidas como doble autenticación, particularmente cuando la información a proteger es de naturaleza sensible.

Conclusión

La seguridad de un método de autenticación, ya sea huella dactilar o contraseña, depende de varios factores y contextos. Las huellas dactilares ofrecen comodidad y rapidez, ya que no requieren que el usuario recuerde una contraseña y son únicas para cada individuo, lo que reduce el riesgo de duplicidad. Además, no pueden ser olvidadas. Sin embargo, los sensores de huellas dactilares no son infalibles, pueden ser engañados con técnicas avanzadas, como copias hechas con materiales como arcilla o fotografías de alta resolución. Además, si una base de datos de huellas es hackeada, las huellas robadas no pueden ser cambiadas, a diferencia de una contraseña, y problemas físicos como heridas o desgaste pueden dificultar la autenticación.

Por otro lado, las contraseñas tienen la ventaja de ser fáciles de cambiar en caso de compromiso y pueden ser utilizadas en una variedad de sistemas y servicios. Pueden formar parte de un sistema de autenticación de múltiples factores, mejorando así la seguridad. No obstante, las contraseñas son susceptibles de ser olvidadas, a menudo son elegidas de manera débil o reutilizadas, lo que incrementa el riesgo de compromisos de seguridad, y pueden ser vulnerables a ataques de fuerza bruta o técnicas de ingeniería social.

En términos de robustez frente a ataques, las huellas dactilares son más difíciles de adivinar que una contraseña, pero no son invulnerables a ataques sofisticados. Las contraseñas, en cambio, ofrecen la ventaja de poder ser cambiadas rápidamente en caso de una brecha de seguridad. En cuanto a comodidad, la autenticación biométrica, como la huella dactilar, es generalmente más rápida y conveniente que ingresar una contraseña. Por estas razones, la mejor práctica es usar autenticación de múltiples factores (MFA), combinando ambos métodos, junto con otros factores, como autenticación basada en hardware o autenticación de segundo factor, para obtener una seguridad más robusta y fiable​.

Gustavo Romero Sánchez

SÍGUENOS EN ...

TwitterFacebookLinkedin