Expertos HC

¿Cuál es la mejor -y más segura- forma de desbloquear tu móvil?

Con tu cara, con tu huella dactilar, con una clave... Hay muchas formas para desbloquear tu smartphone, pero no todas son igual de efectivas... ni seguras. ¿Cuál es la mejor de ellas?

Smartphone sobre una mesa de madera. En la pantalla se proyecta la palabra
Photo by Tyler Lastovich from Pexels

Uno de los artículos más leídos de mi página es aquel tutorial que escribía ya hace un par de añitos, y que he ido periódicamente actualizando, en el que hablábamos de qué sistema de seguridad utilizar en nuestras cuentas y dispositivos.

Se trata básicamente de un listado bastante completo y a modo de ranking de todos los sistemas de desbloqueo/identidad con los que cuentan hoy en día nuestros dispositivos, ordenados desde aquellos que recomiendo más a los que intentaría evitar teniendo en cuenta el triángulo típico -seguridad, usabilidad, robustez-.

el ganador, hoy por hoy, sigue siendo bajo mi humilde opinión el reconocimiento basado en huella dactilar:

  • Es muy cómodo de utilizar -la mayoría de usos que le damos a nuestro dispositivo requieren que previamente lo cojamos, y al cogerlo no nos cuesta nada poner el dedito donde corresponda-.
  • Es como la mayor parte de sistemas de identidad basados en la biometría difícil de atacar -sí, alguien puede crear un patrón 3D de tu dedo mediante una fotografía y usurparte la identidad, pero reconozcamos que sencillo, lo que se dice sencillo, no es-.
  • Y además es innato a nosotros, ergo requiere o sofisticados crackeos que ni de lejos están al alcance de cualquiera -el punto anterior-, o que el ataque se realice de forma dirigida y en local, forzándonos a colocar nosotros el dedo en el dispositivo.

De hecho este último es uno de sus puntos débiles, ya que como explicaba ya hace unas cuantas semanas en privado para los mecenas de la comunidad, cada vez más gobiernos parecen interesados en considerar que si la persona no tiene explícitamente que realizar una acción consciente para permitir a las fuerzas del orden acceder a sus dispositivos, ese «dato personal» pasa a un segundo plano menos restrictivo, y las fuerzas del orden podría obligarnos sin mediación de un juez.

El tema tiene ya de por sí delito, ya que estamos hablando de que en algunas jurisprudencia empieza a ser posible que un policía te fuerce legalmente a colocar tu dedo o mirar hacia tu smartphone para consultar la información de su interior aludiendo a que esto lo podrías hacer incluso inconsciente. Cosa que, por ejemplo, si este dispositivo está bloqueado con una contraseña o incluso con un patrón de desbloqueo, al ser ambos sistemas de identificación basados en el conocimiento -y por tanto requerir consciencia para pasarlos-, la ley nos ampara.

Y sin embargo…

Los sistemas de identificación basados en el conocimiento, además de ser más inseguros por el simple hecho de que la forma de evaluación -ver si el patrón o contraseña que hemos metido coincide con el que hay en X base de datos- es profundamente más insegura y subjetivada a ataques globales -tu cuenta está comprometida no porque te hayan atacado a ti personalmente, sino porque tal servicio ha sido comprometido y millones de contraseñas de usuario se han expuesto, entre ellas la tuya-, son profundamente débiles por la propia particularidad del medio a un ataque tan low-tech como es el de la huella de grasa.

¿Que no sabes a qué me refiero?

Pues ahora mismo coge tu smartphone y muévelo levemente para que en la pantalla se refleje la luz.

¿Ves esas marcas que han dejado tus grasosos dedos al desplazarte por ella? Y a que casualmente, a base de desbloquear el terminal varias veces al día, esas huellas son más intensas en las zonas que tienes que pulsar para meter tu patrón o contraseña.

Esto con los sistemas de identidad basados en la biometría no pasa. Y recalco, es algo muy positivo, ya que un ataque basado en huella de grasa lo puede hacer hasta el más tonto -en Wounds, una película recientemente publicada de Netflix, el protagonista lo utiliza para acceder al terminal que dejan unos chicos en su bar y que es pilar de la trama-. Pero uno basado en el hijackeo de una huella dactilar ya requiere unos conocimientos y recursos elevados.

Y sin embargo…

Visto lo visto, sigo defendiendo eso de que la huella dactilar es el mejor sistema de identificación del momento.

Y sin embargo… parece que la moda actual es meterle reconocimiento facial a nuestros dispositivos.

Hasta el punto de que, como vimos en el recién presentado Google Pixel 4, ya ni siquiera viene con huella dactilar.

Y esto es, de nuevo bajo mi humilde opinión, un error por dos motivos principales:

  • El primero, del cual ya hablé en profundidad no hace mucho, es que como es normal para un reconocimiento facial necesitamos que el dispositivo tenga una cámara frontal activa prácticamente siempre. Ergo, ¿dónde queda la privacidadO mejor dicho, ¿cómo podemos saber a ciencia cierta que ese móvil que tenemos encima de la mesa cuando estamos reunidos en el trabajo no está, además de esperando a que nuestra cara pase por delante de su ángulo de visión, registrando todo lo que hacemos o decimos?
  • El segundo -que tiene que ver con la propia implementación del sistema- y es que como ha ocurrido con este Pixel 4 los ingenieros de Google detrás de su desarrollo se han olvidado de tener en cuenta que para desbloquear el terminal la persona debería tener la vista fija en el mismo. Que ahora mismo cualquiera con un Pixel 4, hasta que en efecto solucionen «este pequeño error de seguridad», puede descubrir a las malas cómo su hijo o su pareja le desbloquea el terminal mientras éste está durmiendo. Ya ni hablemos frente a cualquier otro interesado, fuerzas del orden o ladrones incluidos -te dejan inconsciente y lo desbloquean-.

Otro motivo -junto con su escasa batería- que enturbia el que sin lugar a dudas, y junto al iPhone 11, cuenta con la mejor cámara smartphone del momento, y al ser Android puro seguramente también la mejor experiencia Android que hay.

varios ejemplos de que la seguridad de un sistema de identidad va bastante más allá del papel puramente técnico de la herramienta.

Hoy en día hay tantos factores a tener en cuenta a la hora de decidir qué sistema es más seguro que parece que buena parte de la industria ha delegado la decisión final a factores puramente de estilo o de moda.

Que lo que mola ahora es que el terminal se desbloquee solo cuando lo tenemos en frente, como si fuera «maJia».

Pese a que hablamos de un sistema de seguridad… cuya principal función es ofrecer seguridad.

Pablo F. Iglesias
Consultor de Presencia Digital y Reputación Online, crossfighter y un comilón nato. Puedes leerme todos los días en mi blog -www.pabloyglesias.com-, uno de los mayores referentes en materia de nuevas tecnologías y seguridad de la información de habla hispana: Dos años consecutivos finalista de los premios Bitácoras a mejor blog de Seguridad Informática, dos veces finalista del Premio a Periodismo ESET.... En la actualidad asesoro a profesionales, PYMES y grandes empresas sobre cómo obtener valor de la información que circula a su alrededor. El punto medio necesario entre marketing, comunicación y seguridad de la información.

DEJA UNA RESPUESTA

¡Por favor, escribe tu comentario!
Por favor, introduce tu nombre aquí

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.