LA BIOMETRÍA EN LOS MÓVILES, A DEBATE

La cara B de Face ID: el gran invento del iPhone X es más peligroso de lo que crees

Aunque nadie duda de que sea un sistema efectivo para desbloquear el teléfono, el reconocimiento facial 3D plantea algunas dudas y agujeros para proteger datos sensibles

Foto:

La belleza tiene un precio. En el caso del iPhone X: el botón 'Home'. La pantalla infinita del teléfono estrella de Cupertino, en su afán por conquistar toda la parte frontal del terminal, ha fagocitado este icónico control, presente en todos los modelos que han lanzado los de Cupertino en estos diez años de historia.

Ese sacrificio ha tenido dos consecuencias principalmente: la necesidad de crear un gesto para salir de las aplicaciones o retornar al menú principal y el destierro del Touch ID. Y es que eso de un sensor para las huellas dactilares -algo muy extendido en la industria- no tiene espacio en un teléfono tan disruptivo como este. Nada de llevárselo a la espalda o un canto del nuevo iPhone. Este sistema ha sido 'condenado' al ostracismo del iPhone 8 y 8 Plus.

"El futuro del desbloqueo", según Apple

“Con el iPhone X, tu iPhone está bloqueado hasta que lo mires y te reconozca. Nunca fue tan simple, natural y sin esfuerzos”. Así vendía Phil Schiller, uno de los mandamases de Apple, el nuevo sistema de biometría que se incluirá en el dispositivo. Está basado en el reconocimiento facial 3D y ha sido bautizado como Face ID.

“Este es el futuro de cómo desbloquearemos nuestros teléfonos y protegeremos información confidencial”. Confianza ciega en la seguridad del iPhone X. Los candados: este algoritmo y un pin de seis dígitos.

Ya hemos comentado que Apple es mejor retocando que inventando. El reconocimiento facial es una tecnología más antigua que el propio iPhone. Nadie duda que Apple no enterraría 'Touch ID' sin estar seguro de las virtudes de su sucesor. Sin embargo, a lo largo de la historia, estas soluciones han quedado retratadas como una alternativa un tanto deficiente.

“Llevamos varios años viéndola y hablando de ella. Y no siempre ha mostrado ser efectiva. No dudo que Apple haya podido crear algo seguro pero sigo siendo escéptico”, explica a Teknautas el experto en seguridad informática Yago Jesús.

La conversación nos retrotrae al Japón de 2007. Allí una empresa especializada intentó instalar un software de este tipo en las máquinas de tabaco para comprobar, antes de dispensar la cajetilla, si el que estaba en frente era un adulto o un menor. Fracaso total. “Los chavales iban con una foto impresa y solo con eso conseguían los cigarros”, comenta en todo jocoso.

(Reuters)
(Reuters)

“No hay un sistema perfecto”, apuntó Schiller en el 'Steve Jobs Theater'. Un insólito arranque de humildad para una presentación de Apple que quedó maquillado poco después por las cifras que dieron. “La posibilidad de que otra persona desbloquee tu terminal con su cara es de una entre un millón”. El ratio para 'Touch ID', según la empresa, era de uno entre 50.000 intentos.

'TrueDepth', el cañón de infrarrojos

Hackear este sistema puede que no sea nada fácil, pero tampoco imposible. El de Apple no parece uno de esos candados biométricos que se abra tirando de un truco medianamente elaborado a modo de ganzúa. Utiliza un sistema equiparable al que sirvió para convertir a Andy Sherkins en Gollum.

Se trata de la cámara delantera, equipada con 'TrueDepth', un 'cañón' que dispara 30.000 referencias de luz invisible en la cara del usuario. Durante la configuración, el propietario tiene que rotar el rostro. Esto sirve a la cámara para captar un patrón en tres dimensiones que posteriormente sirva para identificar la cara.

Estas son pocas de las claves que se han conocido. El resto se guarda bajo llave. En foros como Reddit se especula con la posibilidad de que el sistema tenga un termómetro de color.

No hablamos de un desbloqueo accidental. Hay que ponerse en el supuesto de alguien que quiera saltarselo

“Yo creo que las cifra que dan son cifras de marketing”, remacha Yago Jesús, que ha participado en varios proyectos relacionados con la identificación facial en procesos de voto electrónico y asegura “que se ven errores más habitualmente”.

“No hay que pensar en un desbloqueo accidental. Hay que pensar en un ataque premeditado”, dice este especialista, quien muestra su deseo de ponerlo a prueba con un vídeo. “A una cámara le cuesta muchísimo diferenciar cuando se trata de un vídeo. Es difícil, pero se pueden dar las condiciones para grabar algo y utilizarlo para intentar engañar el sistema reproduciendo tu rostro de una manera que pueda captarlo el terminal”.

¿Un sistema a prueba de máscaras?

Maestros de Hollywood. Ese es uno de los exámenes que tuvo que superar 'Face ID'. Pidieron a un grupo de especialistas que construyesen máscaras que replicasen rostros humanos y el sistema ha conseguido diferenciarlos. Otro 'filtro' de seguridad es la necesidad de que el usuario mire directamente al sensor. Si detecta que la mirada enfoca a otro lado, no se desbloquea. Bastaría con cerrar los ojos para evitar que alguien que no esté obligando a permitirle el acceso a nuestro iPhone X.

No parecen argumentos suficientes. Al menos, para Marc Rogers, uno de los expertos conocidos por meterle mano al 'Touch ID' con una huella falsa cree que tarde o temprano “alguien conseguirá burlar” este sistema. Y propone tirar de impresión 3D como primer opción para atacar este control de seguridad.

“Lo de tomar referencias de color da para muchas reflexiones”, comenta a Teknautas Sergio de los Santos, director de Innovación y Laboratorio de ElevenPaths, la firma de seguridad de Telefónica Digital. En los tonos influye la luz o cosas más casuales como un hematoma o una reacción alérgica.

Los casos 'Hello' y 'Alibaba'

Ejemplos ilustrativos hay muchos. En 2015, un usuario consiguió burlar el sistema de Alibaba solo con un vídeo en el que parpadeaba. También conviene recordar 'Hello' de Microsoft, una funcionalidad que llegó al mercado en muchos portátiles. Funcionaba con un sistema similar: infrarrojos que captaban la profundidad. Y un laboratorio alemán consiguió reproducir una cara en yeso para engañar al sistema.

“Al final es poner en una balanza riesgo y comodidad. Funcionalidad y seguridad”, sostiene este experto. “Creo que la necesidad de tener un PIN demuestra que la biometría no ha llegado donde se esperaba”, sostiene. Todas las recetas con las que se especulan parecen lo suficientemente engorrosas para 'atacar' el teléfono de un usuario normal y corriente del nuevo iPhone X.

La necesidad de un PIN es señal de que la biometría no ha llegado donde se esperaba

“Un buen consejo sería añadir una clave a ciertas aplicaciones con información sensible. Es poner una barrera más”. Face ID es compatible con Apple Pay. Ese sería un ejemplo de cómo se puede mejorar. “Pero también el correo. Hay que pensar que Gmail, a día de hoy, es la llave a nuestra identidad digital”. Si “alguien burla” el reconocimiento facial y “no tiene más barreras” puede hacer mucho daño, remacha.

Yago Jesús propone añadir retos para aumentar la fiabilidad del sistema. “Por ejemplo, que te pida decir una palabra o hacer un gesto”. Control gestual o de voz pueden ser refuerzos al sistema.

“Creo que tenemos ejemplos muy ilustrativos que la verificación por imagen es algo a lo que le queda mucho por mejorar”, aclara. Para muestra, un botón: solo hay que fijarse en los incidentes que se registran en sistemas similares colocados en los controles de pasaportes en aeropuertos de lugares tan emblemáticos como Heathrow en Londres, que obligan muchas veces a un 'check' por parte de un humano.

Tecnología

El redactor recomienda

Escribe un comentario... Respondiendo al comentario #1
22 comentarios
Por FechaMejor Valorados
Mostrar más comentarios