Por Brandon Griggs
(CNN) – Dadas las preocupaciones en cuanto a seguridad que rodean gran parte de nuestra actividad digital en la actualidad, la idea de entregarle a Apple las huellas digitales de una persona por medio de su nuevo iPhone 5S ha puesto nerviosos a muchos.
El teléfono, el cual saldrá a la venta el 20 de septiembre, tendrá un sensor de huellas digitales en el botón de inicio para mayor seguridad. Los usuarios deben “registrar” su huella con el aparato; luego, ya pueden desbloquear el teléfono al colocar su dedo o pulgar sobre el botón. La idea es que las huellas digitales, como son únicas para cada individuo, vayan más allá de las claves de los usuarios para ofrecer mayor protección en contra de hackers o ladrones.
Sin embargo, ¿podemos confiarle a Apple o a sus socios nuestras huellas digitales? ¿Podría ser que los hackers, habilidosos e implacables intrusos que atraviesan firewalls digitales, encuentren nuevas maneras de engañar al sensor del teléfono?
Las respuestas, según dicen los expertos, parecen ser: 1) Probablemente, al menos por ahora, y 2) Sí, aunque es poco probable.
“Cuando se trata de nuevas tecnologías o funcionalidad que tienen un número tan grande de usuarios, siempre existe algún tipo de preocupación”, dijo Joe Schumacher, consultor para la compañía de seguridad Neohapsis, en un correo electrónico a CNN. “El lector de huellas digitales es más una táctica comercial que una fuerte medida de seguridad”.
“Lo que todavía debe investigarse es cómo la huella digital puede ser usada una vez que sea filtrada, hackeada o puesta en iCloud”.
¿Huellas en la nube?
Algunos observadores han expresado abiertamente sus preocupaciones en Twitter y en otras partes respecto a si Apple, armado con una posible base de datos de millones de huellas dactilares, podría darle algunas de las huellas de los clientes a la Agencia de Seguridad Nacional (NSA, por sus siglas en inglés), si así lo requiere el gobierno. Después de todo, hubo informes de que Apple había participado en el programa de vigilancia PRISM, de la NSA, y se conoce que entrega información del usuario cuando el gobierno lo exige.
Sin embargo, Apple ha dicho que la información de las huellas digitales de los usuarios se mantendrá cifrada y almacenada de forma segura dentro del nuevo procesador A7 del teléfono, y no en los servidores de Apple, o en una copia de seguridad en iCloud, el servicio de almacenamiento de la compañía en la red. Apple también ha dicho que no va a permitir que aplicaciones de terceros accedan al escáner, al menos por ahora.
Éstas son buenas noticias para la privacidad de los usuarios, dicen los expertos, incluso en medio de nuevos informes de que la NSA puede espiar los teléfonos inteligentes.
“Tu iPhone sabe a quién llamas. Sabe dónde estás. Y en las últimas versiones, conocerá tu huella digital. Dadas las revelaciones de cómo la NSA puede acceder a aparatos de Apple, ¿debes preocuparte de que tenga esa información biométrica? No. No no no no no no. Vamos. No”, escribe Philip Bump en The Atlantic.
“Tu huella dactilar … no va a viajar a ningún sitio. ¿Es posible que la NSA le pida a Apple que suba la huella digital de un usuario del teléfono para que ésta pueda ser transmitida a la agencia? Por supuesto. Sin embargo, eso probablemente no será una solicitud que pase a través de PRISM; probablemente requeriría una orden adicional. No es imposible, pero dada la carga de demostrar la necesidad de una orden, no es tan fácil como solamente pulsar algunas teclas”.
Pirateo con huellas digitales
También está la cuestión de que los hackers repliquen huellas digitales para ingresar a los teléfonos.
“Las huellas digitales no son privadas; las vas dejando por todos lados, y si alguien tiene suficiente iniciativa -y cuenta con los recursos- podría intentar ingresar a cualquier sistema de seguridad que desactives con tus huellas”, escribe el conocido investigador en seguridad en su blog, Graham Cluley.
“De algo estamos seguros. Con el lanzamiento del iPhone 5S, ahora más que nunca, más personas estarán usando sensores de seguridad como parte de su seguridad diaria, y los hackers seguramente se sentirán intrigados a buscar maneras de burlar estos sistemas”, agrega Cluley.
Dino Dai Zovi, coautor de “The iOS Hacker´s Handbook”, le dijo a CNNMoney que si el tratara de “hackear” un iPhone 5S, primero tendría que sacar las huellas de todas partes en el aparato”, y encontrar la manera de colocarlas en el sensor para ingresar al teléfono de la persona”.
Esto no es tan difícil como podría sonar. Hace diez años, un criptógrafo japonés demostró cómo engañar a los sistemas de reconocimiento de huellas al transferir huellas latentes a un “dedo” hecho de gelatina, el ingrediente que se encuentra en Jell-O y otros dulces. Informalmente, se conoció como “Gummi bear hack” (Piratería del osito de goma).
Sin embargo, la nueva tecnología Touch ID de Apple es probablemente mucho más sofisticada que esos antiguos sistemas.
Además, puede ser que las huellas latentes no sean suficientes para desbloquear un teléfono, dice Robert Graham, experto en seguridad digital. “Utilizas una parte distinta de tu dedo para tocar el sensor del iPhone, que para tocar otras cosas”, escribe Graham en el blog de Errata Security. “Esto significa que mientras los hackers pueden tomar tu huella de otros objetos que has tocado, o de otras parte del teléfono en sí, probablemente no pueden obtener la huella exacta que necesitan para hacer cosas negativas en tu iPhone.
Esto significa que las bases de datos de las huellas dactilares que la NSA, el FBI, y la seguridad fronteriza tengan en su poder, resultan en gran parte inútiles para desbloquear tu teléfono: no se cubren las mismas partes de tus dedos”, añade Graham
Sin embargo, hay otra vulnerabilidad potencial en el análisis de huellas del iPhone 5S. El sistema Touch ID también puede usarse como una manera segura de aprobar compras en iTunes o en la App Store, lo cual resulta inquietante para algunos expertos en seguridad.
“Si Apple tiene razón en cuanto a que las huellas digitales nunca saldrán del aparato, eso significa que los nuevos iPhones enviarán algún tipo de señal de autenticación a los servidores de Apple para verificar que el usuario final ha producido una huella válida”, escribe Dan Goodin en Ars Technica, un socio de contenido de CNN.com.
“Si los atacantes encuentran una manera de capturar y volver a utilizar los indicadores válidos de los usuarios, esto podría llevar a nuevas formas que los criminales podrían usar para ingresar a las cuentas de los usuarios”.