No fue del todo una sorpresa que a la comunidad de ‘hacktivistas’ le tomara sólo dos días para burlar de manera efectiva el sensor de huellas digitales Touch ID en el nuevo iPhone 5S de Apple. Este corto período de tiempo, junto con la aplastante popularidad del dispositivo móvil ha provocado que se renueve el debate entre los principales proveedores de biometría en torno a la interrogante: ¿Qué se puede hacer, de ser posible, para mejorar la tecnología?

Chaos Computer Club, con sede en Alemania, es el grupo que ha reivindicado el ataque contra Touch ID, y presume de toda una lista de ataques biométricos tan lejanos como el año 2004, y en la que se incluyen diferentes sensores biométricos. Entonces, ¿esto significa que se ha burlado la biometría y todo el mundo a casa, no? No, no tan rápido.

Algunas organizaciones, como el Grupo Experto Asesor de Vulnerabilidad del Instituto de Biometría (BVAEG), ya están trabajando para brindar una mejor información al público en general sobre la realidad en cuanto a la tecnología biométrica.

El Grupo BVAEG es un subcomité del Instituto de Biometría y está compuesto por expertos del mundo entero en esa especialidad, explica Isabelle Moeller, directora general del Instituto de Biometría. La misión del grupo es hacer conciencia sobre la necesidad de que se incluya en los dispositivos biométricos la detección de vulnerabilidades, con el fin de promover los estándares, mejorar la protección de la privacidad, las medidas para su funcionamiento y el control de resultados, así como ayudar a facilitar la difusión de las nuevas investigaciones o resultados en este campo.

El último trabajo de falsificación de Chaos Computer Club sobre el iPhone 5S, a pesar de que resultó efectivo, no es otra cosa que un proceso simple para un individuo promedio, lo cual es un detalle importante a considerar cuando se cuestiona la seguridad de Touch ID. “La falsificación de huella digital en el iPhone conlleva una serie de pasos, que incluyen la impresión láser de las huellas digitales en alta resolución sobre una película transparente, grabarlas sobre un circuito impreso y utilizar un material de látex para crear la huella digital falsa”, explica Tsutomu Matsumoto, de la Universidad Nacional de Yokohama y miembro de BVAEG. “El actual ataque requiere el levantamiento y procesamiento de una huella digital latente de alta calidad a alta resolución, para poder realizar una falsificación exitosa. Estos factores deben considerarse cuando se evalúa el impacto de este ataque en condiciones de uso realistas”.

Además la falsificación no es un concepto nuevo dentro del escenario más amplio de la biometría. “Tales ataques son bien conocidos y están bien estudiados”, señala Ted Dunstone, Presidente del Grupo Experto Asesor de Vulnerabilidad del Instituto de Biometría.
Hay una amplia variedad de tecnologías, tanto del software como del hardware que pueden utilizarse para detectar ataques de falsificación, como el que se realizó en el caso de Touch ID. La comunidad internacional se está enfocando hacia esta área emergente de la tecnología, mediante un proyecto de estándares ISO/IEC que desarrollará formatos de intercambio de datos y examinará los principios de software y hardware utilizados para enfrentar la falsificación biométrica, conocidos como detección de falsificación (spoofing) o detección de ataques de presentación.

El hecho concreto en este asunto es que toda medida de seguridad, incluso la tradicional contraseña/PIN, tiene sus fallas, algo que BVAEG y el Instituto de Biometría están dispuestos a admitir.

Como parte de ese esfuerzo, el Instituto de Biometría le pide a los fabricantes de equipos biométricos que sean proactivos en cuanto a adoptar la tecnología de detección de falsificaciones, con el fin de maximizar la posibilidad de tener éxito a la hora de rechazar un ataque de falsificación o spoofing. El Instituto también recomienda que las agencias gubernamentales y los decisores de alto nivel estén más conscientes de la necesidad de efectuar las pruebas adecuadas sobre vulnerabilidades biométricas, y emitir la correspondiente certificación.

La inclusión de biometría en el dispositivo móvil más popular del mundo, el iPhone, implica que la tecnología biométrica ha ganado una posición central para el público en general. Con este nuevo nivel de atención enfocado de plano en la industria biométrica, una cosa queda clara y es que la labor para lograr la aceptación pública está en marcha.

Ahora que los analistas de mercado están tratando de hacer pronósticos, se evidencia que la biometría es ineludible y que Touch ID de Apple abre el camino. Desechar una pieza de tecnología tan ambiciosa como es el sensor Touch ID, sería cuando menos prematuro.