Hackear huellas dactilares Es En realidad Bastante Fácil, y barato
Las personas en las películas a menudo recurren rápidamente a serrar la mano de alguien para pasar un escáner de huellas dactilares. Un informe del equipo de Kraken Security Labs muestra que sería mucho más fácil, y menos horripilante, recrear la huella digital de alguien usando un poco de pegamento de madera disponible en el mercado.
Kraken señala que la seguridad biométrica se ha vuelto cada vez más común a medida que los fabricantes de teléfonos inteligentes, tabletas y computadoras portátiles han incorporado escáneres de huellas dactilares en sus productos. Estos escáneres ofrecen una forma conveniente de acceder a esos dispositivos sin ingresar una contraseña.
El informe dice que un escáner de huellas dactilares puede ser «hackeado» usando una imagen de la huella dactilar del objetivo, creando un negativo en Photoshop, imprimiendo la imagen resultante y luego colocando pegamento para madera en la parte superior de la huella dactilar imitada para que pueda usarse para engañar a muchos escáneres comerciales.
«Pudimos realizar este conocido ataque en la mayoría de los dispositivos que nuestro equipo tenía disponibles para probar», dice Kraken en su informe sobre el ataque. «Si esto hubiera sido un ataque real, habríamos tenido acceso a una amplia gama de información confidencial.»
Kraken no es la única empresa de seguridad que se da cuenta de que el pegamento se puede usar para engañar a un escáner de huellas dactilares. Cisco Talos publicó un informe más detallado en abril de 2020 que exploraba varias formas, incluido este truco de pegamento, de que la huella digital de alguien pudiera ser falsificada por un atacante.
«Nuestras pruebas mostraron que, en promedio, logramos una tasa de éxito de ~80 por ciento al usar las huellas dactilares falsas, donde los sensores se eludieron al menos una vez», dice Cisco Talos. «Alcanzar esta tasa de éxito fue un trabajo difícil y tedioso. Encontramos varios obstáculos y limitaciones relacionados con el escalado y las propiedades físicas del material. Aun así, este nivel de tasa de éxito significa que tenemos una probabilidad muy alta de desbloquear cualquiera de los dispositivos probados antes de que caiga de nuevo en el desbloqueo del pin.»
Cisco Talos dice que la mayoría de las personas no tienen que preocuparse de que alguien cree una copia de su huella dactilar para acceder a sus dispositivos, pero señala que «una persona que es probable que sea objetivo de un actor bien financiado y motivado no debe usar la autenticación de huellas dactilares.»
Kraken aconseja a las personas que recuerden que eludir la autenticación basada en huellas dactilares es relativamente simple y, según su demostración, más barato de lo que muchos consumidores podrían esperar. (Aunque esa suposición se basa en alguien que ya posee una impresora láser y Photoshop.)
«Ya debería estar claro que, si bien su huella digital es única para usted, aún puede explotarse con relativa facilidad», dice Kraken. «En el mejor de los casos, solo debería considerar usarlo como autenticación de segundo factor (2FA).»