Expertos HC

¿Puedes fiarte de tu huella dactilar para abrir el coche?

Entrar a tu coche mediante tu huella dactilar es más cómodo y bastante más seguro, pero menos privado. ¿Qué ocurre si un ciberdelincuente accede a ella?

Sistema de huella dactilar de Hyundai

Hyundai presentó hace unas semanas un sistema para abrir y arrancar el vehículo a través de la huella dactilar. Una tecnología que, sin duda, cambia la forma que tenemos de acercarnos tanto a los vehículos como a otro tipo de dispositivos (recuerda que estos sistemas llevan tiempo utilizándose, por ejemplo, para desbloquear los teléfonos móviles). Pero que también plantea determinados riesgos.

En primer lugar, hay que diferenciar tres tipologías de sistemas de identificación. Están aquellas basadas en el conocimiento; es decir, algo que sabemos. Como habrás deducido, la más habitual es la contraseña. Existen también las que se basan en la posesión; algo que tenemos. Es lo que, históricamente, se ha utilizado en los vehículos: llaves o mandos. Y los más recientes son los basados en la inherencia; algo que nos es innato. Se conoce también como rasgos biométricos y van desde la huella dactilar hasta el rostro o el iris, entre otros.

Cada uno conlleva una serie de ventajas e inconvenientes. Centrándonos en los sistemas de inherencia, podemos decir que son mucho más cómodos y bastante más seguros. Basta con poner el dedo para abrir el vehículo y, además, es más difícil que te roben la falange a una llave. Como punto en contra: es menos privado, ya que debes aceptar que otra empresa tenga tu patrón biométrico. Además, complica su uso en los casos en los que otra persona deba utilizar el vehículo. Pasamos de un producto en posesión que podemos ceder, a un producto asociado a nuestra persona.

Qué riesgos plantea

Los sistemas biométricos, como la huella dactilar, plantean, principalmente, dos grandes riesgos. En primer lugar, está su margen de error. Los ingenieros tienen que llegar a un consenso entre hacer el sistema más seguro y más usable. Cuanto más seguro es, menos margen de error puede haber a la hora de comparar la fuente de identificación (el dedo) con el patrón asociado.

Es decir, que el vehículo no se ‘equivoque’ y solo abra cuando la huella es la del usuario al 100%. Esto provocará más ‘verdaderos negativos’ y, por tanto, una usabilidad peor, porque el conductor deberá pulsar más de una vez. A todo el mundo le ha ocurrido alguna vez con el móvil, por ejemplo, cuando el dedo está húmedo o se pulsa con un lado. Y viceversa: cuánto más cómodo sea, más ‘falsos positivos’ dará y, por tanto, será menos seguro. 

En segundo lugar, existe otro riesgo más preocupante aún. Lo innato es innato para (casi) siempre. Si te roban el llavero, como mucho, te pueden robar el coche. Si te roban el patrón de huella dactilar, pueden usurpar tu identidad en todos aquellos servicios donde se utilice. Y algunos bancos lo emplean para permitir el acceso a sus aplicaciones. Pasamos así de un riesgo local (para robarte las llaves, los ladrones tienen que estar donde estén las llaves) a uno global. El ataque puede realizarse desde cualquier parte del mundo y podría comprometer la seguridad de la base de datos de patrones de la compañía, exponiendo millones de patrones de huella dactilar. Una vez que esa información es pública, puede ser explotada por cualquiera en cualquier otro escenario. Y poco podrás hacer, porque tus dedos, tu cara o tus ojos no son reemplazables.

Qué precauciones debemos tomar

Más allá de seguir las normas de uso del fabricante, hay poco que podamos hacer. Personalmente, y valorando los pros y contras, si algún día me planteara comprar un coche (en casa quien conduce suele ser mi pareja), probablemente sería un cliente potencial de este tipo de tecnologías. Y es que, muy posiblemente, esto acabe siendo lo habitual, como ya ocurre con la asistencia al volante o la sensorización de vehículos en carretera. 

Con la llegada del reconocimiento biométrico han aparecido algunas recomendaciones que, sinceramente, me parecen demasiado extremistas. Por ejemplo, evitar que nuestros dedos salgan en las fotografías que publiquemos en redes sociales. En teoría, con esas fotos en buena resolución se podría crear un molde para que un tercero se identifique como nosotros. 

En mi opinión, este tipo de ataques dirigidos requieren de una preparación y unos conocimientos y recursos considerables. Por eso, no creo que esta deba ser la principal preocupación del ciudadano medio. Tal vez, si tú eres un directivo o un político del que los cibercriminales puedan obtener un gran beneficio, a través del espionaje industrial o extorsiones multimillonarias, todavía tenga algo de sentido. 

No obstante, es importante recordar que la seguridad 100% es una utopía. De hecho, prácticamente todos los sensores de huella dactilar que los grandes fabricantes han implementado en sus productos han sido explotados de una u otra manera. Incluso el faceID de los iPhones, que es uno de los sistemas biométricos más completos (crea un patrón tridimensional de la cara y realiza la comparación a nivel estadístico para reconocer a las personas, incluso, cuando llevan gorros o gafas), mostró no ser suficiente para una mecánica de ataque basada en preparar con maquillaje y prótesis un patrón físico.

Pablo F. Iglesias
Consultor de Presencia Digital y Reputación Online, miembro de la Comisión BlockChain de AMETIC, crossfighter y un comilón nato. Puedes leerme todos los días en mi blog -www.pabloyglesias.com-, uno de los mayores referentes en materia de nuevas tecnologías y seguridad de la información de habla hispana: Dos años consecutivos finalista de los premios Bitácoras a mejor blog de Seguridad Informática, dos veces finalista del Premio a Periodismo ESET.... En la actualidad asesoro a profesionales, PYMES y grandes empresas sobre cómo obtener valor de la información que circula a su alrededor. El punto medio necesario entre marketing, comunicación y seguridad de la información.

DEJA UNA RESPUESTA

¡Por favor, escribe tu comentario!
Por favor, introduce tu nombre aquí

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.