Descripción general
Existe una idea errónea entre el público en general sobre la biometría y su uso para proteger nuestra información privada. La creencia común entre la gente es que la biometría, como Touch ID o Face ID, se puede utilizar para sustituir a las contraseñas tradicionales. Sin embargo, nada más lejos de la realidad. Tal y como se describe aquí, la biometría solo sirve como una ventaja adicional para los usuarios o como un segundo factor de autenticación.
Las contraseñas siguen siendo necesarias
Cada software, aplicación en la nube o sitio web que utilizamos a diario requiere la creación de una cuenta. Por lo general, esto significa proporcionar un nombre de usuario (o correo electrónico) y una contraseña. Muchos servicios también ofrecen la opción de «iniciar sesión con Google» o «iniciar sesión con Facebook», lo que delega la autenticación a un proveedor de identificación de terceros de confianza mediante los protocolos OAuth u OpenID Connect. Estos proveedores de identificación no solo requieren un nombre de usuario y una contraseña, sino que también suelen solicitar una autenticación de doble factor (por ejemplo, un código de acceso único a través de un mensaje de texto o equivalente). En el mundo empresarial, existen un gran número de proveedores de identificación ampliamente utilizados, como Okta, Azure y JumpCloud, que utilizan un protocolo diferente (SAML 2.0) para proporcionar funciones de inicio de sesión único (SSO). Una vez más, cada uno de estos proveedores requiere en última instancia el uso de un nombre de usuario Y una contraseña al iniciar sesión en sus sistemas.
Cómo funciona la biometría en dispositivos móviles
Tomemos a iOS como ejemplo. Cuando activa la función de Touch ID, Apple almacena los datos de sus huellas digitales en un conjunto de chips en el dispositivo y no están disponibles de ninguna manera para los desarrolladores de software. Los desarrolladores de software que deseen aprovechar Touch ID pueden simplemente pedir al sistema operativo que le solicite su huella digital y esperar a que se produzca un «aceptado» o un «error». Si es «aceptado» se pueden recuperar algunos de los datos que el desarrollador almacenó en el llavero (por ejemplo, una clave de cifrado o una contraseña). Puede utilizarse para evitar la pantalla de contraseña de la aplicación e iniciar sesión de forma automática. El uso de este proceso simplemente ofrece comodidad al usuario al no tener que escribir su contraseña. Sin embargo, se sigue facilitando una contraseña entre el llavero y la aplicación.
Ahora bien, ¿qué pasa si la contraseña de una aplicación en particular es poco segura (p. ej., 123456)? El hecho de que se utilice la biometría para extraer la contraseña del llavero y entregarla a la aplicación no contribuye a reforzar la seguridad. Si la aplicación permite esta contraseña poco segura, se puede deducir que un hacker desde el otro lado del mundo podría adivinar su contraseña y también iniciar sesión en la misma aplicación.
Las aplicaciones que utilizan la biometría para iniciar sesión simplemente almacenan su contraseña en el llavero o en un elemento seguro en el dispositivo. Los datos biométricos nunca se convierten directamente en una contraseña o clave. Solo se pueden utilizar como una operación de «aceptado» o «error» para recuperar información del hardware que la aplicación almacenaba anteriormente. Por este motivo, la biometría es solo un método cómodo; no aporta una seguridad adicional.
Es bien sabido que los fabricantes de hardware, como Apple y Google, nunca facilitarán a los desarrolladores de sitios web o aplicaciones los datos biométricos reales utilizados para identificar a los usuarios. Hacerlo supondría filtrar la información privada del usuario y exponer los datos biométricos a posibles robos o piraterías.
Por qué una contraseña siempre es necesaria
La primera razón principal por la que las contraseñas son necesarias es que se pueden cambiar. Si su contraseña para acceder a un servicio se filtra por accidente o se la hackean, solo tiene que restablecerla en el sitio de destino. Sin embargo, no puede restablecer su huella digital o su rostro.
En segundo lugar, solo una contraseña segura y única resiste a un ataque de fuerza bruta porque solo existe en su cerebro (o en un gestor de contraseñas cifrado).
Y, por último, para los productos más seguros, los datos de su contraseña están cifrados. El cifrado requiere una clave de cifrado para descifrar la información almacenada. Una clave solo puede proceder de una contraseña segura que se escriba siempre exactamente de la misma manera. Una clave de cifrado no puede proceder directamente de una huella digital. Esto se debe a que los sistemas operativos no ofrecen datos biométricos en bruto a los desarrolladores, ya que al hacerlo correrían el riesgo de filtrar su huella digital a todo el mundo. Incluso si los datos biométricos en bruto estuvieran disponibles para los desarrolladores de software, no estarían en una forma válida para usarse como clave de cifrado. El descifrado funciona o no: la clave no puede variar ni siquiera en un solo 0 o 1. Se sabe que la biometría nunca es exacta y un «aceptado» o «error» es una estimación. El descifrado nunca se puede dar en función de una estimación.
Uste tan fuerte como su código de acceso
Y es que en iOS, las funciones Touch ID y Face ID pueden saltarse si se escribe el código de acceso del dispositivo. Para la mayoría de las personas, este es un número de 4 o 6 dígitos. Apple y Android obligan a los usuarios a introducir este código constantemente como mecanismo alternativo. Por lo tanto, si se filtra el código de acceso de su dispositivo, un atacante puede iniciar sesión en él y establecer una nueva huella digital o restablecer su reconocimiento facial. Puede que esto sorprenda a muchos usuarios y les anime a configurar una clave de acceso alfanumérica más potente en su dispositivo. Es importante buscar un producto que permita a los clientes decidir no utilizar Touch ID y restringir el uso de la biometría.
El cifrado importa
Busque un producto zero-knowledge. Esto significa que la información almacenada dentro del producto solo se cifra y descifra en el dispositivo, mediante una clave de cifrado derivada de la contraseña maestra.
Si un sitio web, una aplicación o un servicio simplemente le permite iniciar sesión sin una contraseña, o si el servicio no está realizando el descifrado del lado del cliente, debe tener en cuenta que esto significa que su información se almacena en sus servidores, de forma totalmente expuesta. Si los empleados de esa empresa desean ver su información, tienen plena capacidad para hacerlo. Esto también significa que si la empresa sufre un fallo en su software, su información podría, en teoría, quedar expuesta públicamente en Internet.
Esto puede no ser importante para usted dependiendo del tipo de información almacenada en el servicio. Pero en el caso de archivos confidenciales, contraseñas y otra información secreta, podría ser muy grave. La información privada y confidencial debe cifrarse en el dispositivo, y eso solo puede lograrse en última instancia con una clave de cifrado que procede su cerebro y nadie más conoce (¡una contraseña!).
Es extremadamente difícil crear un producto zero-knowledge. Por eso la mayoría de las empresas no lo hacen. Lo importante para los usuarios y las empresas es comprender qué información está almacenando y qué nivel de confianza tiene en la empresa que protege su información.
En lo que respecta a la biometría, la principal conclusión es que una biometría no puede cifrar directamente su información. Por lo tanto, cualquier servicio que no tenga protección mediante contraseña y dependa completamente de una biometría para el acceso no puede ser totalmente seguro.
La biometría como segundo factor de autenticación
Como segundo factor para iniciar sesión en un dispositivo, la biometría puede ser valiosa para la mayoría de las aplicaciones, a la vez que preserva los más altos niveles de seguridad. Por ejemplo, después de escribir una contraseña o usar su gestor de contraseñas para iniciar sesión en un sitio web o una aplicación en su equipo, se le puede solicitar que se autentique con su huella digital o reconocimiento facial en su dispositivo móvil.
Este tipo de flujo de trabajo requeriría que el desarrollador de la aplicación o el sitio web se haya integrado con una aplicación móvil o un servicio de autenticación de terceros compatible con dispositivos biométricos. Para asociar adecuadamente una autenticación biométrica como segundo factor, debe haber una función de inscripción y un back-end que comunique de forma segura la información del segundo factor entre la aplicación y los servidores back-end.
Al utilizar la biometría como segundo factor, el elemento más importante en la protección de su información se basa, por lo tanto, en el canal de comunicación entre el dispositivo biométrico y los servidores back-end. Un hacker que intente acceder a una cuenta protegida por un dispositivo biométrico dedicará su tiempo a intentar engañar a los servidores para que autentiquen al usuario, en lugar de penetrar en el lector de huellas digitales. Por lo tanto, la confianza que deposita en su aplicación o proveedor de software se basa no solo en el hecho de que tienen una autenticación biométrica, sino también en el método de implementación.
Resumen
La biometría se está expandiendo, pero es importante que el público entienda la diferencia entre la seguridad que ofrece y la comodidad que aporta. Cada usuario y organización tiene un nivel diferente de aversión al riesgo. La biometría no puede proporcionar seguridad por sí misma, y una estrategia sólida de gestión de contraseñas es fundamental para prevenir los ataques cibernéticos y el robo de datos.
Los dispositivos móviles y los equipos de escritorio que incorporan la autenticación biométrica simplemente ofrecen una forma cómoda de transferir una contraseña desde el hardware físico a la aplicación en la que está iniciando sesión. Tener una contraseña poco segura o usar la misma contraseña para varias aplicaciones y sitios web, sigue implicando exponerse a la piratería y el robo de datos, incluso si se utiliza un dispositivo biométrico. Sin embargo, como segundo factor, la biometría puede proporcionar un mecanismo de seguridad práctico y valioso cuando el proveedor de software lo implementa de forma segura.
Craig Lurey
Responsable del departamento tecnológico, informático y técnico (CTO, por sus siglas en inglés) de Keeper Security