Cisco ha llevado a cabo un proyecto de investigación sobre la forma de evitar los sistemas de autenticación de huellas dactilares, logrando una tasa general de éxito de aproximadamente 80 por ciento. Sin embargo, los esfuerzos de sus expertos fueron infructuosos contra los dispositivos protegidos por Windows Hello.
Muchas empresas promocionan la autenticación biométrica como una alternativa más segura a la contraseña tradicional. La autenticación biométrica mediante huellas dactilares es actualmente la más común, y se utiliza para smartphones, laptops y otros tipos de dispositivos, como candados y unidades USB.
El análisis realizado por el grupo de inteligencia e investigación de amenazas Talos de Cisco consistió en obtener una huella dactilar directamente del usuario elegido o de una superficie tocada por la víctima. Luego utilizaron una impresora 3D para crear un molde de la huella dactilar, obteniendo una huella falsa rellenando el molde con pegamento para telas de bajo costo. Los investigadores decidieron asignar un presupuesto relativamente bajo a este proyecto en un esfuerzo por determinar lo que un actor maligno con recursos limitados podría lograr.
Cisco Talos probó sus huellas dactilares falsas con sensores ópticos, capacitivos y ultrasónicos, pero los investigadores no encontraron grandes diferencias en cuanto a la seguridad. Sin embargo, observaron que habían logrado la mayor tasa de éxito contra los sensores ultrasónicos, que son el tipo más reciente de sensores, que se encuentran comúnmente en los dispositivos que requieren un sensor en pantalla.
En el caso de los teléfonos móviles, los investigadores eludieron la autenticación de las huellas dactilares en la mayoría de los dispositivos. En el caso de las computadoras portátiles, sin embargo, si bien lograron una tasa de éxito del 95 por ciento contra una MacBook Pro, no pudieron lograr ni siquiera un solo bypass exitoso en los dispositivos de Windows 10 que utilizan el framework Hello de Windows.
Los investigadores de Talos también probaron su huella dactilar falsa contra dos memorias USB cifradas de Verbatim y Lexar, pero no pudieron burlar la autenticación. Finalmente, probaron un candado y lograron una alta tasa de éxito.
Señalaron que, si bien no podían eludir la autenticación en Windows y en los dispositivos de almacenamiento USB, ello no significa necesariamente que sean mucho más seguros, sólo que podría ser necesario un enfoque diferente para vulnerarlos.
La conclusión que se extrae de esta investigación es que la tecnología de las huellas dactilares no ha evolucionado hasta el punto de que se considere generalmente segura. De hecho, los investigadores creen que la autenticación mediante huellas dactilares en los teléfonos inteligentes es, en realidad, más débil en comparación con 2013, cuando Apple introdujo TouchID con el iPhone 5 y el sistema fue hackeado por primera vez.
“Los resultados muestran que las huellas dactilares son lo suficientemente buenas para proteger la privacidad de la persona promedio si extravía su teléfono. Sin embargo, una persona con potencial de convertirse en el objetivo de un actor bien financiado y motivado no debería utilizar la autenticación de huellas dactilares. En tal caso, recomendamos confiar más en contraseñas fuertes y en la autenticación de dos factores”, señala el documento de Cisco Talos.
El informe completo está disponible en el blog de Cisco Talos.
