Por Brandon Griggs, CNN
(CNN) – Un grupo de hackers de Alemania dijo que encontró la forma para burlar el sistema de seguridad del sensor de huellas dactilares del nuevo iPhone 5S.
Los hackers aseguran que pudieron engañar la seguridad biométrica de identificación táctil del iPhone 5S (un sistema conocido como Touch ID) al fotografiar una huella sobre la superficie de un vidrio y usando la imagen para crear un falso “dedo” para desbloquear el teléfono. Demostraron sus resultados en este video publicado el domingo en YouTube:
=http://www.youtube.com/watch?v=HM8b8d8kSNQ&w=420&h=315
“Esperamos que esto finalmente acabe con las ilusiones de las personas sobre la biométrica de huellas dactilares. Es simplemente estúpido usar algo que no puedes cambiar y que dejas en cada parte que tocas y tenerlo como un paso de seguridad”, dijo Frank Rieger, vocero del grupo, el, llamado Chaos Computer Club, en una publicación en línea.
En la publicación, los hackers dicen que le tomaron una foto de alta resolución a la huella, la invirtieron e imprimieron con tóner adicional en una hoja transparente. Luego le untaron leche de látex o pegamento para madera en el patrón de la huella, levantaron una fina capa de látex de la hoja y la pusieron en el sensor para desbloquear el teléfono.
“Como hemos dicho durante años: las huellas dactilares no deberían usadas para asegurar nada. Las dejas en todas partes, y es muy fácil hacer huellas falsas”, dijo un hacker, cuyo alias es Starbug, en la página web de Chaos Computer Club.
Apple no ha respondido a una solicitud de declaración hecha por CNN.
Recompensa
El grupo podría ganar dinero por sus esfuerzos. Una página web ofreció una recompensa en efectivo y otros precios para la primera persona o grupo que ‘hackeara’ exitosamente el sistema de identificación de huellas del teléfono.
El sitio, IsTouchIDHackedYet, fue creado por Nick DePetrillo, un investigacdor computacional independiente conocido por mostrar mostrar ‘hacks’ de smartphones, y por Robert David Graham, propietario de Errata Security, una firma de ciberseguridad. El sitio invita a donantes a hacer aportes para la recompensa, que hasta ahora incluye un premio en dinero, bitcoins (una forma de moneda digital), varias botellas de licor y un “libro pornográfico”.
El total del premio alcanzó los 16.000 dólares en un punto, aunque un donante no cumplió con los 10.000 dólares que prometió, dijo el sitio.
Según los términos que DePetrillo publicó en Twitter, para reclarmar el premio un hacker debía tomar una huella del teléfono o de otro lugar y reproducirla en forma tal que permitiría desbloquear un iPhone 5S en menos de cinco intentos. Todos los pasos debían estar documentados en un video.
DePetrillo tuiteó el domingo que se había puesto en contacto con Chaos Computer Club y que estaba “esperando un video completo con el proceso documentado” antes de declararlo válido.
“Todo el punto del concurso #istouchidhackedyet era con validar o acallar las críticas el sistema Touch ID de Apple y su implementación”, escribió DePetrillo el sábado en Twitter.
El iPhone 5S, que salió a la venta el viernes, tiene un sensor de huellas dactilares en su botón principal para agregar un nuevo paso de seguridad. Apple llama al nuevo sistema Touch ID. Los usuarios de iPhone deben “registrar” su huella en el dispositivo, y así pueden bloquear el teléfono poniendo su dedo sobre el botón. Las huellas de otros usuarios no pueden desbloquear el móvil, lo que en principio lo protege de los ladrones.
El sistema Touch ID está pensado para huellas humanas, desde luego, pero aparentemente funciona con animales también. Un hombre de Minnesota, EE.UU., publicó el viernes en CNN iReport un video que lo muestra usando la pata de su perro chihuahua para desbloquear su teléfono.
DePetrillo y Graham son los llamados hackers de ‘sombrero blanco’, que investigan y exponen las brechas de seguridad que aún deben ser corregidas por los fabricantes en nuevos sistemas computacionales. Las compañías de tecnología generalmente aprecian ser alertados de esos temas de seguridad, que luego pueden corregir antes de que la información personal de sus usuarios quede comprometida.