Dos investigadores consiguen adentrarse en información de los móviles; el fallo permite hacer compras a cargo del propietario del teléfono
Apple fue la primera en incorporar sensores de huellas dactilares en los móviles para hacerlos más seguros, como gran innovación de iPhone 5S. El dispositivo permitía desbloquear la pantalla, pagar las aplicaciones o servicios online con tan solo posar el dedo en el botón principal. Muchos vieron en la innovación el principio del fin de las contraseñas.
Samsung siguió la estela de la empresa de la manzana y, desde entonces, los Galaxy han incluido esta opción como medida estrella de seguridad. Hasta ahora. Yulong Zhang y Tao Wei, dos investigadores de la empresa FireEye, han demostrado durante el encuentro Defcon, en Las Vegas, que el patrón biométrico que servía para hacer más seguros los móviles con Android ha terminado por convertirse en un foco de vulnerabilidades.
Los modelos utilizados para alertar del error han sido un HTC One Max y un Samsung Galaxy S5. La fórmula para hacerse con el control del móvil consistió en tomar imágenes de las huellas dactilares. El terminal no guarda por completo la información de la huella, sino que queda en una especie de limbo al que los hackers han podido acceder. Según Wei, una vez que se obtiene ese patrón es muy sencillo usarlo para acceder a cualquier otro dispositivo y suplantar al dueño del móvil para acceder a su cuenta bancaria o aplicaciones como Dropbox, que ya aceptan esta fórmula. Lo mismo sucede con las tiendas online, como el caso de Amazon. Una vez que se ha robado la huella se puede usar para hacer compras a cargo de la víctima.
El patrón biométrico que sería para hacer más seguros los móviles con Android ha terminado por convertirse en un foco de vulnerabilidades
Zhang ha destacado que Apple sí ha hecho un buen trabajo en este aspecto con el sensor TouchID. En el caso de esta empresa, la información se encripta tanto en iPad como iPhone de modo que si alguien consiguiera la información no podría descifrarla y hacer uso de ella.
El mayor riesgo derivado del fallo de los Android puede llegar si se combina con una aplicación camuflada que reutilice la información enviándola a terceros, y que estos la usen para robar. Otro error del que alertan en estos sensores apunta al uso de ingeniería inversa para usar el controlador del lector para que capture la huella sin que lo desee el propietario. Este método no solo afecta a los móviles de Samsung, también a HTC y Huawei. Aunque todavía son pocos los modelos que ofrecen esta opción —casi todos de alta gama—, las previsiones de la industria apuntan a que en 2019 lo incluirá más de la mitad de los móviles.
“En estos ataques, los datos de las víctimas caen directamente en manos de los atacantes, de por vida, para siempre. Pueden usar las huellas dactilares para cualquier fin”, apunta Zhang. Más allá de mundo de digital, las huellas se usan para identificar personas en pasaportes, registros criminales y de aduanas. Ambos investigadores apuntan a que este modelo se puede extrapolar a los sensores de algunos ordenadores de alta gama.
Rosa Jiménez Cano/El País