Los escáneres de huellas dactilares generalmente son una gran línea de defensa contra los hackers, pero esto no significa que sean impenetrables. Y a medida que aumenta la toma de huellas dactilares de dispositivos para reducir el fraude, los hackers están ideando nuevas técnicas para descifrarlas.
Las siguientes son algunas de las formas en que los hackers podrían irrumpir en los escáneres de huellas dactilares.
IMAGEN: UNSPLASH
Masterprints
Al igual que las llaves maestras se podían usar para desbloquear bloqueos físicos, los escáneres de huellas digitales tienen algo llamado «masterprints». Estas son esencialmente huellas dactilares hechas a medida que generalmente contienen todas las características estándar que se encuentran en los dedos humanos.
Los hackers pueden usar masterprints para desbloquear dispositivos que utilizan tecnología de escaneo de huellas dactilares por debajo del par. Mientras que los escáneres adecuados generalmente bloquean las huellas maestras, los escáneres menos potentes en un dispositivo móvil pueden no ser tan rigurosos con las comprobaciones de ti como deberían. Esto les da a los hackers una forma efectiva de ingresar al dispositivo, ya que no es riguroso con sus escaneos.
Cómo evitar este Hack
La mejor manera de evitar un ataque aquí sería usar un potente escáner de huellas dactilares que no escatime en sus escaneos. En términos generales, las masterprints suelen explotar los escáneres menos precisos que no hacen escaneos que sean «lo suficientemente buenos» para confirmar la identidad del usuario.
Por lo tanto, antes de confiar en la función de escaneo de huellas dactilares en su dispositivo, es aconsejable investigarla. Preste gran atención a la Tasa de Aceptación Falsa (FAR). Esta es una estadística que da un porcentaje de la probabilidad de que una huella digital no aprobada pueda acceder al dispositivo. Cuanto menor sea la cifra lejana, mayor será la probabilidad de que el escáner rechace una huella maestra.
Recopilación de imágenes no seguras
Cuando un hacker se apodera de su imagen de huella digital, en efecto, tiene la llave para entrar en sus escáneres. Si bien puede cambiar una contraseña, su huella digital permanecerá igual de por vida. Esta permanencia esencialmente los hace valiosos para los hackers que buscan superar un escáner de huellas dactilares.
Sin embargo, a menos que seas muy influyente o famoso, es poco probable que un hacker invierta su tiempo y recursos para obtener tus impresiones. Es más probable que apunten a sus escáneres o dispositivos con la esperanza de que contengan sus datos de huellas dactilares sin procesar.
Para que un escáner identifique al usuario, normalmente requiere la imagen base de su huella digital. Durante el proceso de configuración, proporcionará su impresión al escáner y, a continuación, guardará su imagen en su memoria. A continuación, recordará esta imagen cada vez que utilice el escáner y se asegurará de que el dedo que escanee sea el mismo que proporcionó en el proceso de configuración.
Desafortunadamente, algunos escáneres o dispositivos generalmente guardan esta imagen sin cifrarla primero. En caso de que un hacker tenga acceso a este almacenamiento, puede recopilar los detalles de sus huellas dactilares al tomar la imagen en bruto de su huella dactilar.
Cómo evitar este ataque
Para evitar este ataque, debe tener en cuenta la seguridad del dispositivo que está utilizando. Un escáner de huellas dactilares bien diseñado necesita cifrar el archivo de imagen para evitar que cualquier mirada indiscreta obtenga sus detalles biométricos.
Asegúrese de comprobar si el escáner de huellas dactilares almacena correctamente las imágenes de huellas dactilares en bruto. En caso de que su dispositivo no utilice los métodos y tecnologías adecuados para almacenar la imagen de su huella digital de forma segura, deje de usarla de inmediato. Considere también borrar el archivo de imagen para asegurarse de que los hackers no puedan copiarlo por sí mismos.
Huellas dactilares falsificadas
En caso de que un hacker no pueda obtener la imagen de su huella dactilar, podría intentar crear una huella dactilar en su lugar. Esto implica tratar de encontrar las impresiones objetivo y luego recrearlas para evitar el escáner.
Este método generalmente no se usa para miembros del público, pero aún vale la pena saberlo, especialmente si está en un puesto gubernamental o directivo. Por ejemplo, hace unos años, la BBC informó sobre cómo un hacker pudo recrear una huella dactilar del ministro de Defensa alemán.
Hay muchas maneras en que un hacker podría convertir una huella dactilar recolectada en una huella física. Podrían crear una réplica de madera o cera de una mano, o incluso imprimirla en un papel especial o una tinta conductora plateada y usarla en el escáner.
Cómo evitar este ataque
Desafortunadamente, este es uno de los ataques que es difícil evitar directamente. Si un hacker está en serio después de violar su escáner de huellas dactilares y pueden obtener su huella dactilar, realmente no hay nada que pueda hacer para evitar que realice una réplica o modelo de la misma.
Para derrotar este ataque, la clave está en detener la adquisición de la huella digital en primer lugar. No se recomienda que comience a usar guantes todo el tiempo, pero sin duda es importante estar al tanto de la posibilidad de que los detalles de sus huellas dactilares se filtren al ojo público. En los últimos años, se han filtrado muchas bases de datos que contienen información confidencial, y vale la pena tenerlo en cuenta.
También es importante cambiar tus contraseñas con regularidad. Recientemente se encontró en línea una gran base de datos con más de 560 millones de datos de inicio de sesión de usuarios, y está a la espera de ser descubierta por los nunca-hacer-wells.
Asegúrese de que solo utiliza los datos de sus huellas dactilares en servicios y dispositivos de confianza. En caso de que un servicio por debajo del par experimente una brecha con su base de datos y se descubra que sus imágenes de huellas dactilares no estaban cifradas, esto podría proporcionar una forma para que los piratas informáticos vinculen su nombre a su imagen de huellas dactilares y comprometan sus escáneres.
Exploit de software
Hay algunos administradores de contraseñas que utilizan un escaneo de huellas dactilares para validar al usuario. Aunque esto es útil cuando se trata de proteger contraseñas, su efectividad generalmente depende de la seguridad del software que ejecuta el administrador de contraseñas. Si tiene algunos defectos de seguridad inherentes contra los ataques, los hackers podrían explotarlos y evitar el escaneo de huellas dactilares.
Este problema es bastante similar a un aeropuerto que actualiza su sistema de seguridad. Podrían colocar guardias, detectores de metales e incluso cámaras de circuito cerrado de televisión por todo el frente del aeropuerto. Sin embargo, si las personas malintencionadas descubren una puerta trasera cuando pueden colarse, toda la seguridad tradicional sería en vano.
Gizmodo informó recientemente sobre un defecto de seguridad en una miríada de dispositivos Lenovo donde un administrador de contraseñas activado por huella dactilar venía con una contraseña codificada en el interior. En caso de que una persona maliciosa quisiera acceder al administrador de contraseñas, todo lo que necesitaba hacer era navegar más allá del escáner a través de la contraseña codificada en el sistema, lo que efectivamente hizo que el escáner fuera inútil.
Cómo Prevenir Este ataque
La mejor manera de evitar este ataque es comprando los productos más populares y bien recibidos. Sin embargo, debe tener en cuenta que, a pesar de esto, Lenovo es una marca doméstica bastante popular, y también sufrieron un ataque.
Como tal, incluso si solo está utilizando productos fabricados por fabricantes de renombre, es vital mantener su software de seguridad actualizado para solucionar cualquiera de los problemas que se puedan descubrir después.
Huellas dactilares residuales
A veces, los hackers no necesitan utilizar técnicas avanzadas para obtener sus huellas dactilares. Hay momentos en que todo lo que necesitan son los restos que quedan de un escaneo anterior para pasar la seguridad.
Todo el mundo deja sus huellas dactilares en los objetos a medida que los usa. Un escáner de huellas dactilares no es una excepción. Casi se garantiza que las impresiones que se pueden extraer de un escáner sean las que lo desbloqueen. Esto es similar a olvidar una llave en la cerradura cuando abres la puerta.
Es posible que el hacker ni siquiera necesite copiar las impresiones del escáner. Los escáneres de huellas dactilares utilizados en los teléfonos inteligentes generalmente detectan huellas dactilares emitiendo luz en el dedo y luego graban la luz de vuelta a los sensores. Threatpost ha informado de cómo un hacker podría engañar al escáner para que conceda acceso a través de una huella dactilar residual.
Un investigador con el nombre de Yang Yu engañó con éxito a un escáner de huellas dactilares de un teléfono inteligente para que otorgara acceso a una huella dactilar residual. Esto se hizo colocando un objeto reflectante y opaco en la parte superior del escáner. Esto engañó al escáner para que pensara que la huella sobrante era un dedo real y le dio acceso.
Cómo Prevenir Este ataque
Esto es realmente simple: limpie sus escáneres de huellas dactilares regularmente. El escáner naturalmente tendrá sus huellas dactilares por todas partes en cualquier momento dado. Como tal, es crucial mantenerlo limpio de tus huellas. Esto ayudará a evitar que los hackers usen el escáner en su contra.
Si está interesado en más artículos e información relacionada con los negocios de nosotros aquí en Bit Rebels, entonces tenemos mucho para elegir.