Si te arranco el ojo para burlar la firma biométrica, tengo 16 horas

Si te arranco el ojo para burlar la firma biométrica, tengo 16 horas para usarlo

tecnologia-ojo-firma-biometrica-seguridad

Si te gusta el cine de espías, quizá te suene la siguiente escena. Un delincuente pasea alegre por unas instalaciones de alto nivel acompañado de una bolsita transparente en la que guarda uno o dos ojos para burlar las firmas biométricas. Hay otras variaciones similares con dedos o manos enteras. El sensor los detecta correctamente y el delincuente accede a la “bóveda del tesoro”.

Sin embargo, un estudio recién publicado frena esta tentativa de robo y la acota en el tiempo. Después de realizar fotografías oculares a 17 cadáveres, ahora sabemos que 16 horas es el tiempo máximo para que la huella biométrica ocular funcione tras la muerte. Pasado ese tiempo, el sensor no podrá hacer esa lectura. Por tanto, los delincuentes que se aprovechan de la tecnología tendrán que espabilar.

Firma biométrica para proteger mi caja fuerte

Las firmas biométricas están de moda y se usan cada vez más en terminales móviles. También en instalaciones de alto nivel y en las películas. Muchos recordamos cómo el policía John Anderton entra en las instalaciones de Precrimen con sus propios ojos en una bolsita, después de haberse cambiado de ojos para no ser detectado por el gobierno (‘Minority Report’, 2002).

Como suele ocurrir, las escenas más rocambolescas del cine vaticinaron el futuro mucho antes de que este se hiciese real. Aunque de momento no se ha denunciado el robo de ningún ojo, es de suponer que es cuestión de tiempo que a alguien se le ocurra la idea. Sí hay casos de uso de la fuerza para obligar a alguien a desbloquear su terminal. Pero nada de serruchos ni fundereleles.

Las 16 horas de Mateusz Trokielewicz

Mateusz Trokielewicz, doctorado en Biometría en la Universidad Tecnológica de Varsovia, se preguntó hace tiempo ‘¿Qué pasa si me roban un ojo?’. La consecuencia de esta pregunta se cristalizó en miles de horas de laboratorio haciendo fotografías a varios cadáveres a lo largo de 33 días.

La metodología fue sencilla. Tras el fallecimiento se hacía un escáner ocular al iris del cadáver y luego una fotografía cada pocas horas. En total, él y su equipo acabaron reuniendo 574 imágenes del iris de 17 cadáveres. Más 256 imágenes del iris de personas vivas.

tecnologia-ojo-firma-biometrica-seguridad-experimento

Con todos estos datos comprobaron los sistemas de seguridad actual, pero también entrenaron una IA para que adivinase si alguien estaba vivo o muerto en base a la fotografía de su iris. ¿El resultado?

“Ningún iris post mortem se clasifica erróneamente como vivo, con una probabilidad de clasificar erróneamente una muestra viva como una muerta alrededor del 1%”. Pero hay un asterisco enorme: durante las primeras 16 horas la IA no es capaz de asegurar si la persona está o no viva.

Nos puede parecer macabro, pero gracias al trabajo de Trokielewicz ahora podemos implementar más seguridad en los escáneres. Por ejemplo, el añadir una capa de IA que descubra si el iris está vivo o muerto. Una herramienta así serviría para disuadir a los delincuentes de que nos despiecen. Algo es.

Tu clave biométrica no puede ser cambiada fácilmente

Sin embargo, el método usado por Trokielewicz no soluciona ninguno de los dos grandes problemas de las firmas biométricas. El primero y más grave, que uno no puede cambiar de firma biométrica con facilidad. Piensa en tu ojo y en los dedos de las manos. ¿Has usado alguno para desbloquear un teléfono?

Es normal, muchos ya lo hemos hecho, dando nuestros datos biométricos a una marca desconocida al otro lado del mundo vía algún smartphone. Quien escribe estas líneas pasó su dedo por primera vez en un Aspire Ethos 8951G hacia mediados de 2011. Pero ¿dónde se guarda esta firma?

En mi caso descubrí una carpeta encriptada en mi PC; la mayoría de los terminales móviles usa un sistema parecido. La idea es que tu huella no salga del terminal y que acceder a ella mediante pirateo sea muy complejo. Normal, ¿con qué facilidad podrías cambiar tu huella dactilar? Si hoy te la roban, nunca podrás usarla para nada.

tecnologia-ojo-firma-biometrica-seguridad-contrasena

El segundo gran problema es que los sistemas de almacenamiento en la nube no son más seguros por contener biometría. Si tu móvil almacena tu huella en una base de datos, lo hará con la misma seguridad con la que guarda la clave de tu correo electrónico o el PIN de tu móvil: la más alta posible.

Con la diferencia, claro, de que uno puede cambiar de contraseña o PIN tantas veces como desee. Si alguien accede a nuestra cuenta con una contraseña, la cambiamos. Pero ¿qué hacemos si nos roban el dedo (virtualmente)?

Comodidad frente a seguridad

El trabajo de Trokielewicz es de gran utilidad, aunque se queda corto y es muy específico. Sigue habiendo preguntas, como la anterior, abiertas. Mientras tanto, el uso de las firmas biométricas se está popularizando a toda velocidad. Por comodidad, acabamos por usar el dedo para arrancar el terminal y muy pocos se preocupan por la seguridad a largo plazo.

Como ocurre en el modelo de datos por servicios, parece que la comodidad del usuario prevalece. De momento, la biometría es una opción de seguridad más fuerte que el PIN porque alguien tendría que robarnos parte de lo que somos para acceder a nuestros datos. En este sentido, nuestros datos están a salvo tanto del robo como de su edición, pero ¿y si alguien nos copia la huella?

En Nobbot | Qué se aprende en un máster en ciberseguridad y por qué puede ser útil

Imágenes | Geebshot, Mateusz Trokielewicz, iStock/Demkat