Hacking

Salió hace unos días la noticia de que habían logrado “hackear” el Touch ID del iPhone 5s: los medios se hicieron eco, los blogs hervían, algún amigo ya bromeaba sobre el tema, ¡y hasta se entregó un cuantioso premio y todo! Lo curioso (y lo que me da qué pensar), es que realmente lo que hicieron no fue explotar un agujero de seguridad del sistema biométrico, ni encontrar la forma de recuperar la huella desde el “enclave“.

Lo que realmente hicieron fue clonar el dedo del usuario, por cierto de una forma bastante sofisticada y que parece estar dentro de una metodología de ensayo y error. ¡Venga! es como que se declarara “hackeada” una puerta porque alguien hizo un duplicado de la llave. Toda la vida los sistemas biométricos han tenido el punto flaco de la imitiación. Touch ID resistió el conocido ataque de los ositos de gominolas, pero si se consigue duplicar el patrón de la “llave” no hay forma de evitar el “ataque”.

Todos los sistemas biométricos (y los basados en tokens) deben estar asociados a otros sistemas más robustos para reducir el impacto de estas clonaciones. El caso de Touch ID no es diferente y Apple ha puesto medidas de seguridad que a mi parecer son más que suficientes:

1) La clave de desbloqueo será solicitada después de reiniciar el dispositivo, para cambiar la configuración de huellas y después de haber pasado 48 horas desde el último desbloqueo del dispositivo.

2) La clave para compras (contraseña del Apple ID) será solicitada después de reiniciar el dispositivo, al introducir o borrar huellas, y después de 5 intentos fallidos de escanear la huella digital. Con esto último aseguramos que nuestra tarjeta de crédito no será víctima de ensayos y errores por parte de asaltantes.

3) En caso de robo o pérdida, el dueño del teléfono podrá desactivar Touch ID mediante “Find My Phone“. Obviamente, debe ser activado antes de perder el teléfono ;)

4) Aunque no es una medida como tal, recomienda vivamente que, tanto se use Touch ID como si no, se use una clave más fuerte que un código de 4 dígitos, especialmente si tenemos información sensible en el dispositivo.

Así que serenidad todo el mundo, el sistema sigue siendo tan seguro como lo permita nuestro sentido común.