Vulneran la protección Touch ID del nuevo iPhone 5S a los pocos días de salir al mercado

Una de las características más destacadas en el recientemente presentado iPhone 5S es la incorporación de un sensor biométrico en el botón Home que permite identificar huellas dactilares y usarlas como método de autenticación. Y como siempre que aparece una nueva capa de seguridad (especialmente en dispositivos como iPhone), no tardaron en aparecer varios grupos de investigadores dispuestos a saltársela.

Y así ha sido. Menos de una semana después de la presentación en sociedad del teléfono estrella de Apple, un grupo de investigadores alemanes conocidos como el Chaos Computer Club han publicado un vídeo donde se observa cómo pueden engañar al Touch ID con una huella falsificada a partir de una fotografía en alta calidad de la huella del propietario del iPhone. Este procedimiento se puede observar en el vídeo que mostramos a continuación:

Según este grupo, para engañar al sensor biométrico incorporado en el iPhone 5S tan solo han tenido que utilizar una imagen en alta resolución de la huella de la víctima, debido a que el sensor incorporado en el dispositivo es de mayor resolución que los que se ven habitualmente en otros dispositivos. No obstante, para poder utilizar esta técnica se necesita tanto el acceso físico a un iPhone 5S como obtener una huella fresca, preferiblemente de superficies como el cristal.

Además, se necesita procesar la imagen de la huella para que esta pueda engañar al sensor biométrico, por lo que, si bien no es algo excesivamente complejo para alguien que esté acostumbrado a realizar este tipo de operaciones (un médico forense, por ejemplo) y cuente con el material adecuado, tampoco es algo que está al alcance de cualquiera. El problema no es tanto evitar que alguien acceda al dispositivo sin nuestro consentimiento, sino almacenar información suficientemente importante en él como para que alguien se tome todas estas molestias para acceder a ella.

TouchID

Por desgracia, muchos usuarios almacenan información cada vez más importante en dispositivos móviles o los utilizan para acceder a ella si se encuentra almacenada en algún servicio alojado en lo que conocemos como nube. La mayoría de ellos pensarán que con las medidas de protección incorporadas por el fabricante hay más que suficiente, pero si el objetivo es lo suficientemente goloso para un atacante, podrá intentar vulnerar las capas de seguridad incorporadas ya sea utilizando software malicioso o de análisis forense u otras técnicas como la que acabamos de describir si se consigue acceso físico al dispositivo.

Como bien apuntan nuestros compañeros de ESET Latinoamérica, el uso de métodos de bloqueo del dispositivo como los patrones de dibujo en Android han demostrado que pueden resultar más sencillos de vulnerar que las contraseñas tradicionales, especialmente si estas cuentan con más caracteres de los cuatro que suelen usarse habitualmente. Pocos usuarios conocen la posibilidad de establecer contraseñas más complejas en sus dispositivos y por eso consideramos importante recordarlo.

  • En iOS  se puede acceder al menú de Ajustes > General > Bloqueo con código. Una vez allí tan solo deberemos desactivar la opción Código simple para definir una nueva contraseña alfanumérica de más de cuatro caracteres.

Bloqueo-iOS-más-de-cuatro-caracteres1

  • Para Android se puede acceder al menú Ajustes > Pantalla de bloqueo > Contraseña. Una vez ahí, podremos definir una contraseña alfanumérica de más de cuatro caracteres.

Bloqueo-Android-más-de-cuatro-caracteres

Hay que tener en cuenta no solo el acceso físico al dispositivo, sino también a todos los servicios a los que nos conectamos desde nuestro móvil. Solemos acceder a cuentas como las de Apple, Gmail, Twitter o Facebook y almacenamos nuestros datos de registro en el dispositivo para evitar tener que registrarnos cada vez que queremos consultar el correo o comprobar actualizaciones de nuestras amistades en Facebook. Esto es lo que más nos debería preocupar en caso de robo o pérdida del dispositivo, y no tanto su valor económico.

Para evitar este tipo de acceso no autorizado se pueden aplicar ciertas medidas como cifrar los datos almacenados en el dispositivo, utilizar autenticación de doble factor a la hora de acceder a cuentas personales o corporativas de correo u otros servicios y contar con un sistema antirrobo que nos permita localizar el móvil o borrar los datos almacenados en él en caso de pérdida o robo. Como vemos, no nos faltan opciones, pero la responsabilidad final para aplicarlas siempre recaerá en nosotros.

Josep Albors

Comentar

Acerca de las cookies en este sitio

Este sitio web utiliza cookies propias y de terceros para mejorar tu experiencia de usuario y obtener información estadística. Para poder seguir navegando pulsa en "Sí, estoy de acuerdo". Podrás retirar este consentimiento en cualquier momento a través de las funciones de tu navegador. Ver nuestra política de cookies..