Desbloqueo por huella: nuevos ataques ponen en jaque la seguridad biométrica en celulares

¿Usas tu huella dactilar para desbloquear tu celular? Una nueva investigación pone en duda la seguridad de estos sistemas de autenticación, revelando que estos pueden ser vulnerados mediante un ataque de fuerza bruta. El estudio, liderado por Yu Chen y Yiling He, investigadores de Tencent y la Universidad de Zhejiang, habla de un mecanismo denominado BrutePrint, que compromete especialmente a dispositivos Android.

BrutePrint se destaca por no requerir una copia de la huella dactilar del propietario del dispositivo. La técnica explota la falta de encriptación en el canal de comunicación entre el sensor dactilar y el sistema operativo del smartphone. A través de un dispositivo que intercepta y emula señales del sensor, se transmiten imágenes de huellas modificadas por inteligencia artificial, aprovechando vulnerabilidades específicas como Cancel-After-Match-Fail (CAMF) y Match-After-Lock (MAL).

MIRA: Google invierte en el futuro digital del Perú con cinco mil becas para cursos de inteligencia artificial, ciberseguridad y más: cuáles son y cómo acceder a ellas

Según Chen y He, el tiempo necesario para un ataque exitoso varía entre 2.9 y 13.9 horas para dispositivos con una sola huella registrada. Si el dispositivo tiene el máximo número de huellas registradas (usualmente cinco),el tiempo se reduce significativamente, a un rango de 0.66 a 2.78 horas.

Además de BrutePrint, existen otros mecanismos de ataque como MasterPrint, desarrollado en 2017 por la Universidad de Michigan y la Universidad de Nueva York. MasterPrint utiliza huellas dactilares generadas artificialmente por IA, logrando coincidencias en hasta el 65% de los casos. Este método se basa en que los sensores dactilares autorizan el desbloqueo utilizando solo una parte de la huella, facilitando el acceso con fragmentos coincidentes.

Las probabilidades juegan un papel crucial en estos ataques. Apple ha documentado que la probabilidad de que dos huellas dactilares distintas coincidan lo suficiente para desbloquear un dispositivo con Touch ID es de 1 en 50,000. Sin embargo, con la capacidad de realizar intentos repetidos rápidamente, estas probabilidades se vuelven menos seguras.

Los investigadores señalan que estos métodos de ataque no solo amenazan la seguridad personal, sino que podrían ser de interés para agencias de inteligencia y gobiernos. La vulnerabilidad expuesta por BrutePrint y MasterPrint subraya la necesidad de mejorar la seguridad biométrica en dispositivos móviles.

Para mitigar estos riesgos, se recomienda actualizar regularmente el software de los smartphones y desactivar la autenticación por huella dactilar en aplicaciones sensibles, como las bancarias. Adicionalmente, se aconseja utilizar sistemas de cifrado avanzados que no dependan de servidores o bases de datos.