El 20 de abril, MasterCard anunció el lanzamiento de sus nuevas tarjetas de débito biométricas En Sudáfrica. El emisor de la tarjeta quiere usar el país como campo de pruebas para hacer ajustes y madurar la tecnología antes de que se extienda a otros países.
A pesar de la recepción generalmente positiva de las personas que presumiblemente disfrutarían de la posibilidad de realizar sus pagos más rápido que nunca, uno debe preguntarse si las huellas dactilares son necesariamente más seguras que los antiguos números PIN. Después de todo, no es un hecho que los métodos de autenticación que son más convenientes y futuristas brinden una seguridad más efectiva.
La autenticación biométrica es una fuerte tendencia
El método de usar una contraseña para obtener acceso a información privilegiada existe desde que los antiguos centinelas desafiaban a los intrusos a repetir una frase para determinar si les permitían o no pasar. En la era digital eran una forma barata y fácil de mantener la seguridad de las cuentas de los usuarios. La autenticación a través de huellas dactilares generalmente solo interesaba a las grandes corporaciones e instituciones estatales.
Todo esto se puso patas arriba después de que Apple y Samsung comenzaron a superarse entre sí con escáneres de huellas dactilares en sus teléfonos. Desde entonces ha sido una tendencia incluir la autenticación biométrica en varios productos de alta gama. El último Galaxy S8 de Samsung incluso incluye un escáner de iris.
La gente tiende a confiar en esta forma de autenticación porque es única. Es seguro asumir que un posible hacker no tendrá el mismo patrón de huellas dactilares o iris que usted. Hay una cierta sensación de seguridad al saber que está «biológicamente atado» a sus dispositivos y cuentas, que es probablemente una de las razones por las que MasterCard decidió usar esta confianza e implementar un escáner de huellas dactilares directamente en sus tarjetas para hacer seguro, PIN- menos pagos posibles.
Por qué hay motivos para preocuparse
El último movimiento de MasterCard también plantea algunas preguntas sobre si algo tan íntimo como su cuenta bancaria debería vincularse a una huella digital en lugar de un número PIN. Al principio parece una buena estrategia. ¿Qué podría ser más seguro que su huella dactilar? El número PIN tradicional de cuatro dígitos tiene 10 000 variaciones posibles (0000 – 9999), mientras que una huella dactilar tiene varios miles de millones de permutaciones posibles. Sería más difícil adivinar lo último.
Hay un pequeño problema con esa lógica: los ladrones y los piratas informáticos rara vez intentan adivinar los detalles de autenticación de una tarjeta que acaban de robar. Requiere demasiada energía y muchas tarjetas quedan bloqueadas después de una cierta cantidad de intentos fallidos. Robar las credenciales elimina las conjeturas. Resulta que puede obtener el número PIN de una persona a través de una variedad de métodos inteligentes, como instalar un teclado falso en un cajero automático o simplemente ver a la víctima escribirlo por encima del hombro.
Desde el principio, parecería que los números PIN son mucho menos seguros que la biometría. Las huellas dactilares no se pueden robar, ¿verdad?
Equivocado.
De hecho, robar una huella dactilar es bastante fácil. Un conocido hacker llamado Jan Kissler logró extraer datos de huellas dactilares de fotos de alta resolución de la ministra de defensa de Alemania, Ursula von der Leyen, y reproducirlos lo suficientemente bien como para obtener acceso a cualquiera de sus datos bloqueados biométricamente.
Los intentos de hacer que los escáneres de huellas dactilares sean más robustos mediante el mapeo de los patrones de las venas dentro de los dedos también resultaron inútiles después de que los investigadores suizos usaran técnicas de imagen especiales para eludir este método. Y, por supuesto, no podemos olvidar la incumplimiento de la Oficina de Administración de Personal de EE. UU. en julio de 2015 cuando los piratas informáticos robaron 21,5 millones de números de seguridad social. Junto a esos datos también robaron las huellas dactilares de 5,6 millones de personas.
Y he aquí por qué importa
Cuando se viola una base de datos masiva como la que acabo de mencionar y los piratas informáticos logran robar contraseñas, los efectos son bastante graves, pero puede evitar que el daño se propague cambiando rápidamente su contraseña. Pero, ¿y si te roban la huella dactilar? ¿Cómo cambias eso?
Aquí está el quid de la cuestión: su huella dactilar es un dato irrevocable. Naces con eso, y eso es lo que tienes por el resto de tu vida. Lo mismo ocurre con su iris o cualquier otro identificador biométrico. Lo mejor que puedes hacer es cambiar de dedo, pero solo tienes diez de ellos. Si usted es un objetivo de alto perfil o tiene muchas fotos de alta resolución publicadas en la Web, realmente no puede escapar de la realidad que esto presenta.
Resulta que la autenticación biométrica es más eficaz cuando se utiliza en un entorno muy sensible y seguro por parte de personas que no tienen una vida muy pública (por ejemplo, agentes del gobierno). Como parte de la tecnología de consumo, es una comodidad que potencialmente sacrifica la seguridad. Irónicamente, su huella dactilar se vuelve menos segura a medida que se convierte en una persona más pública.
Tal como está hoy, poner toda su fe en la biometría puede resultar ser una bomba de relojería que alcanzará un estado de entropía en unos pocos años cuando los piratas informáticos busquen obtener acceso a grandes bases de datos de huellas dactilares/iris.
¿Cree que hay formas de hacer que la autenticación biométrica sea más segura para su uso en tecnología de consumo? ¡Cuéntanoslo todo en un comentario!