El otro día hablábamos sobre esos sistemas que te permiten elegir una pregunta y una respuesta para restablecer tu contraseña en caso de olvido. De cómo muchos sistemas, aunque almacenan cifrada la contraseña, guardan en texto claro la respuesta secreta. Y alguien me dijo: "cuando se generalicen los sistemas de autenticación biométricos, eso ya dejará de ser un problema".
Es verdad que, con la velocidad con la que cambia todo, predecir cómo serán las cosas dentro de diez años es complicado pero, por ahora, a mí la idea no termina de convencerme. No sólo por las implicaciones que pudiera tener para nuestra privacidad, que ya de por si pueden ser preocupantes, sino por el estado actual de la tecnología.
El año pasado, Yulong Zhang y Tao Wei presentaron en Black Hat la ponencia "Fingerprints on Mobile Devices: Abusing and Leaking". En ella nos hablaban, entre otros temas, de la diferencia entre Autenticación y Autorización y lo ilustraban con algunos ejemplos. Como que un Documento Nacional de Identidad puede ser un mecanismo de Autenticación mientras que una VISA puede serlo de Autorización en el momento de disponer de dinero para realizar una compra. En otras palabras, la diferencia entre "Quién eres" y "Qué puedes hacer".
La diferencia llega a ser sutil en algunos casos en los que no sabemos realmente qué estamos haciendo. Depende del contexto. Un mismo gesto puede servir para desbloquear el teléfono o para autorizar un pago. El mecanismo es parecido, pero el objetivo puede ser muy distinto.
A partir de ahí la ponencia trata sobre formas en que se puede engañar a los sensores de huella y cómo robar los datos biométricos y replicarlos para suplantar la identidad e ideas parecidas.
Pueden "robarte la huella" y falsificarla. Y lo peor es que tu huella dactilar no es algo que puedas cambiar fácilmente. Te dura toda la vida. Y me quejo yo de que la gente no renueve las contraseñas con frecuencia...
Se me vienen a la cabeza otros casos relacionados. Como el del engaño al mecanismo de desbloqueo facial de Android mediante fotos o videos. O la de aquel antiguo caso en que se utilizó cinta adhesiva para engañar el sistema de control de acceso mediante huella dactilar a los aeropuertos.
O un producto llamado Identity que encontré referenciado en el blog de MalwareBytes: Una especie de "tirita" o "curita" que te pones en el dedo y que lleva una huella dactilar falsa (cada "tirita" lleva una distinta).
Como medida de protección de tu intimidad o como forma de tener una "contraseña" que puedas cambiar, vale. Pero lo que en definitiva se está haciendo es acabar con la componente biométrica. Cambiar lo de "algo que forma parte de tu cuerpo" por un tradicional "algo que tienes".
Y es una tendencia que, para salvaguardar la intimidad, creo que irá al alza. Y que no deja de poner más en duda, si cabe, la validez de la huella dactilar como mecanismo de autenticación. Por no hablar del "no repudio".
Por no hablar de una de las cosas que aparecen en un artículo relacionado:
"Courts have also recently ruled that fingerprints aren't covered under the Fifth Amendment's protections against self-incrimination: Unlike with a passcode, police can force suspects to unlock a phone with a fingerprint if arrested, without a warrant.".
Traduciendo: que un juez no puede obligarte en los EEUU a darle tu contraseña, pero sí a poner el dedo en un sensor.
Y es que, tal y como están las cosas, viendo estos mecanismos biométricos "de andar por casa", tengo la impresión de que son más válidos como sistemas de identificación que como de autenticación o autorización. Más para indicar quién eres que para establecer una seguridad razonable acerca de tu identidad o dejarte hacer algo.
Más como el identificador o la cuenta de usuario que como la contraseña.
No hay comentarios:
Publicar un comentario