Seguridad vs. conveniencia: la verdad sobre la biometría

Existe una idea errónea entre el público general con respecto a la biometría y su uso para asegurar nuestra información privada. La creencia común entre las personas es que los datos biométricos, como Touch ID o Face ID, se pueden usar para eliminar las contraseñas tradicionales. Sin embargo, esto está lejos de la verdad. Como se describe aquí, la biometría solo sirve como una función de conveniencia para los usuarios, o como un segundo factor de autenticación.

Aún necesitamos contraseñas

Cada software, aplicación en la nube o sitio web que utilizamos a diario requiere la creación de una cuenta. Normalmente, esto significa proporcionar un nombre de usuario (o correo electrónico) y una contraseña. Muchos servicios también ofrecen la opción de «iniciar sesión con Google» o «iniciar sesión con Facebook», que delegan la autenticación a un proveedor de identidad de terceros confiable utilizando los protocolos OAuth o OpenID Connect. Estos proveedores de identidades no sólo requieren un nombre de usuario y una contraseña, sino que también suelen solicitar una autenticación de segundo factor (por ejemplo, código de acceso único por mensaje de texto o equivalente).

En el mundo de los negocios, hay una gran cantidad de proveedores de identidad ampliamente utilizados, como Okta, Azure y JumpCloud, que utilizan un protocolo diferente (SAML 2.0) para proporcionar capacidades de inicio de sesión único. Una vez más, cada uno de estos proveedores en última instancia requiere el uso de un nombre de usuario Y contraseña al iniciar sesión en sus sistemas.

Cómo funcionan los datos biométricos en dispositivos móviles

Tomemos iOS por ejemplo. Cuando activa la capacidad de Touch ID, Apple almacena los datos de su huella digital dentro de un conjunto de chips en el dispositivo y no está disponible de ninguna manera para los desarrolladores de software. Los desarrolladores de software que deseen aprovechar Touch ID pueden simplemente pedirle al sistema operativo que le solicite su huella digital y esperar un «pase» o «error». Si se trata de un «pase», algunos de los datos que el desarrollador almacenó en el llavero se pueden recuperar (por ejemplo, una clave de cifrado o una contraseña). Esto se puede usar para omitir la pantalla de contraseña de la aplicación y registrar al usuario automáticamente. El uso de este proceso simplemente proporciona comodidad para el usuario al no requerir que ingrese su contraseña. Sin embargo, aún se entregó una contraseña entre el llavero y la aplicación.

Ahora, ¿qué pasaría si la contraseña de una aplicación en particular fuera débil (por ejemplo, 123456)? El hecho de que el biométrico se usará para extraer la contraseña del llavero y entregarlo a la aplicación no contribuyó en nada a fortalecer la seguridad. Si la aplicación permitió esta contraseña débil, se puede suponer que un atacante del otro lado del mundo podría adivinar su contraseña y también iniciar sesión en la misma aplicación.

Las aplicaciones que utilizan datos biométricos para iniciar sesión simplemente almacenan su contraseña en el llavero o elemento seguro en el dispositivo. Los datos biométricos nunca se convierten directamente en una contraseña o clave. Solo se puede usar como una operación de «pase» o «error» para recuperar información del hardware que la aplicación almacenó previamente allí. Debido a esto, los datos biométricos sólo proporcionan un método de conveniencia, no proporcionan seguridad adicional.

Bien se sabe que los fabricantes de hardware como Apple y Google nunca proporcionarán a los desarrolladores de sitios web o aplicaciones los datos biométricos reales utilizados para identificar a los usuarios. Hacerlo sería filtrar la información privada del usuario y exponer los datos biométricos a posibles robos o piratería.

Por qué siempre se requiere una contraseña

La razón principal por la que se requieren contraseñas es que las contraseñas se pueden cambiar. Si su contraseña para un servicio se filtra por accidente o es robada por un atacante, simplemente puede restablecer su contraseña en el sitio de destino. Sin embargo, no puede restablecer su huella digital o su cara.

En segundo lugar, solo una contraseña sólida y única es resistente a un ataque de fuerza bruta porque solo existe en tu cerebro (o un administrador de contraseñas encriptadas).

Y finalmente, para los productos más seguros, sus datos de contraseña están encriptados. El cifrado requiere una clave de cifrado para descifrar la información almacenada. Una clave solo puede derivarse de una contraseña segura que se escribe exactamente de la misma manera todo el tiempo. Una clave de cifrado no se puede derivar directamente de una huella digital.

Esto se debe a que los sistemas operativos no brindan datos biométricos brutos a los desarrolladores; si lo hacen, corren el riesgo de filtrar su huella digital a todo el mundo. E incluso si los datos biométricos brutos estuvieran disponibles para los desarrolladores de software, no estarían en una forma que se puedan utilizar como una clave de cifrado. El desencriptado funciona o no funciona: la clave no puede estar desactivada ni siquiera con un 0 o 1. Es bien sabido que la biometría nunca es exacta, y un «pase» o «falla» es una estimación. El descifrado nunca se puede realizar en base a una estimación.

Eres tan fuerte como tu contraseña

El hecho es que en iOS, las capacidades de Touch ID y Face ID se pueden omitir introduciendo el código de acceso del dispositivo. Para la mayoría de las personas, este es un número de 4 o 6 dígitos. Apple y Android obligan a los usuarios a ingresar constantemente este código como un mecanismo de respaldo. Por lo tanto, si se filtra el código de acceso de su dispositivo, un atacante puede iniciar sesión en su dispositivo y establecer una nueva huella dactilar o restablecer su identificación facial.

Esto podría sorprender a muchos usuarios y alentarlo a configurar un código alfanumérico más fuerte en su dispositivo. Es importante buscar un producto que permita a los clientes optar por no usar Touch ID y restringir el uso de datos biométricos.

La encriptación importa

Es importante buscar un producto que sea cero conocimiento. Esto significa que su información almacenada dentro del producto solo se cifra y descifra a nivel del dispositivo, utilizando una clave de cifrado derivada de su contraseña maestra.

Si un sitio web, aplicación o servicio simplemente le permite iniciar sesión sin una contraseña, o si el servicio no está realizando el descifrado del lado del cliente, debe saber que esto significa que su información se almacena en sus servidores, totalmente abiertos. Si los empleados de esa compañía desean ver su información, tienen plena capacidad para hacerlo. Esto también significa que si la compañía tiene un error en su software, su información podría, en teoría, estar expuesta públicamente en internet.

Es posible que esto no le importe dependiendo del tipo de información almacenada con el servicio. Pero, en el caso de archivos confidenciales, contraseñas y otra información secreta, podría ser devastador. La información privada y confidencial se debe cifrar a nivel de dispositivo, y eso solo se puede lograr en última instancia con una clave de cifrado que se deriva de algo en su cerebro que nadie más conoce (¡una contraseña!).

Es extremadamente difícil construir un producto de conocimiento cero. Esta es la razón por la cual la mayoría de las compañías no lo hacen. Lo importante para los usuarios y las empresas es comprender qué información están almacenando y qué nivel de confianza tienen en la empresa que protege su información.

Con respecto a la biometría, lo principal es que un biométrico no puede cifrar directamente su información. Por lo tanto, no se puede confiar en que sea totalmente seguro cualquier servicio que no tenga protección con contraseña y dependa completamente de un sistema biométrico de acceso.

La biometría como segundo factor de autenticación

Como segundo factor para iniciar sesión en un dispositivo, la biometría puede ser valiosa para la mayoría de las aplicaciones, al tiempo que conserva los niveles más altos de seguridad. Por ejemplo, después de escribir una contraseña o usar su administrador de contraseñas para iniciar sesión en un sitio web o aplicación en su computadora, se le puede solicitar que se autentique con su huella digital o reconocimiento facial en su dispositivo móvil.

Este tipo de flujo de trabajo requiere que la aplicación o el desarrollador del sitio web se haya integrado con una aplicación móvil o un servicio de autenticación de terceros que admite dispositivos biométricos. Para asociar correctamente una autenticación biométrica como un segundo factor, debe existir una característica de inscripción y un backend que comunique de forma segura la información del segundo factor entre la aplicación y los servidores de servicios de fondo.

Al utilizar la biometría como un segundo factor, el elemento más importante en la protección de su información se basa, por lo tanto, en el canal de comunicación entre el dispositivo biométrico y los servidores de fondo. Un pirata informático que intente entrar en una cuenta protegida por un dispositivo biométrico pasará su tiempo tratando de engañar a los servidores para que autentiquen al usuario, en lugar de intentar ingresar al lector de huellas digitales. Por lo tanto, la confianza que deposita en su aplicación o proveedor de software se basa no solo en el hecho de que tienen una autenticación biométrica, sino también en el método de implementación.

Resumen

La biometría se está volviendo más común, pero es importante que el público entienda la diferencia entre la seguridad que brindan y la conveniencia que se obtiene. Cada usuario y organización individual tiene un nivel diferente de aversión al riesgo. La biometría no puede brindar seguridad por sus propios méritos, y una estrategia sólida de administración de contraseñas es fundamental para prevenir los ciberataques y el robo de datos.

Los dispositivos móviles y las computadoras de escritorio que incorporan autenticación biométrica simplemente proporcionan una forma conveniente de transferir una contraseña del hardware físico a la aplicación en la que inicia sesión. Tener una contraseña débil o usar la misma contraseña para múltiples aplicaciones y sitios web todavía se expone a la piratería y el robo de datos, incluso si usa un dispositivo biométrico. Sin embargo, como segundo factor, la biometría puede proporcionar un mecanismo de seguridad útil y valioso cuando el proveedor del software lo implementa de forma segura.

By Craig Lurey, CTO and Co-Founder of Keeper Security

Cookie	Tipo	Duración	Descripción
_ga	third party	2 años	Se usa para distinguir a los usuarios.
_gid	third party	24 horas	Se usa para distinguir a los usuarios.

Seguridad vs. conveniencia: la verdad sobre la biometría

Aún necesitamos contraseñas

Cómo funcionan los datos biométricos en dispositivos móviles

Por qué siempre se requiere una contraseña

Eres tan fuerte como tu contraseña

La encriptación importa

La biometría como segundo factor de autenticación

Resumen

Ciberataques: estos son los sectores más vulnerables

La digitalización impulsará a las PYMES de España

La gestión de tu WiFi puede salvarte de un ciberataque

El robo de identidad se convierte en una de las principales preocupaciones de la ciberseguridad