Smartphones y biometría: después del iPhone 5s

Una versión digital de una huella puede ser manipulada de la misma forma que un password robado. Pero aún más siniestro, si el iPhone se ve infectado por malware, los delincuentes virtuales podrían hacerse de una de nuestras impresiones digitales.     Jeff Carpenter, Sr. Manager, Authentication Solutions, RSA   La noticia más relevante la semana pasada, en lo que seguridad en los smartphones se refiere, fue el anuncio de Apple y su iPhone 5s, que cuenta con un scanner de huella digital integrado llamado Touch ID. Los primeros reportes dicen que el componente biométrico tendrá uso limitado –sobre todo para reemplazar el PIN usado para desbloquear del dispositivo, o para confirmar una compra en ITunes, y que no se ampliara a la comunidad de desarrolladores en general. Sin embargo, esto representa un gran paso para la seguridad biométrica. Primero, empecemos con la gran noticia: uno de los mayores proveedores de tecnología está trayendo una opción más allá de un password/ PIN que seguramente llegará a las manos de un importante número de competidores. Las proyecciones basadas en los pre-pedidos del iPhone son que alrededor de 20 millones de usuarios podrían tener los teléfonos móviles con la tecnología para escanear el dedo a finales del 2013. Cuántos de ellos realmente lo aprovecharán es algo debatible, pero para observadores de la biometría como yo, esto representa un desarrollo que no se ve desde… Bueno, en realidad nunca se había visto. La biometría no ha tenido éxito fuera del dominio gubernamental/agentes secretos, sobre todo porque el beneficio adicional de seguridad aún no pesa más que el costo de mantener la tecnología dedicada (lectores, middleware), preocupaciones sobre la privacidad y los posibles obstáculos de usabilidad (falsos rechazos y usuarios frustrados, largas inscripciones). Siempre se ha creído que la autenticación biométrica solo recibiría una amplia adopción, cuando se les entregara en algo a lo que los consumidores tuvieran acceso en todo momento y utilizaran con frecuencia, algo que los smartphones ofrecen de sobra. La jugada de Apple podría forzar a otras manufactureras de teléfonos inteligentes a responder con importantes innovaciones en este campo. Los proveedores y desarrolladores de seguridad pueden empezar a ponderar las posibilidades para futuras aplicaciones que incorporen autenticación biométrica a través de un Smartphone, no sólo para desbloquear un dispositivo, pero para autentificar y autorizar a los usuarios para varias aplicaciones y transacciones. Por ejemplo, los bancos pueden solicitar un patrón de voz antes de transferir fondos; la red privada de una empresa (VPN) podría solicitar el escaneo del iris o reconocimiento facial antes de permitir el acceso a un empleado; los usuarios podrían desbloquear su PC usando NFC (Near Field Communication), organizaciones de todas las industrias podrían afrontar los retos del bring your own device (BYOD) que utilizan un amplio rango de características personales para formar su identidad, y ajustar sus privilegios de acuerdo a su perfil. Esto suena muy bien, pero hay que tener algunas precauciones. El principal inconveniente que los investigadores de seguridad han encontrado, se centra en torno a la implementación de la biometría en el dispositivo. (Aún no he visto el iPhone 5s así que sólo me puedo centrar en lo que se ha reportado.) Los investigadores desean conocer dónde y cómo la huella dactilar será generada por el dispositivo, dónde se guardará y qué aplicaciones o funciones mecánicas pueden tener acceso a ella y en qué circunstancias. Por ejemplo, debido a que la biometría se basa en forma subyacente al sistema operativo IOS (a diferencia de una plataforma basada en hardware como Trusted Platform Module), si el Iphone es liberado de las limitaciones con las que nos lo entregan los proveedores, cualquier cosa puede pasar. Después de todo, una versión digital de una huella puede ser manipulada de la misma forma que un password robado. Pero aún más siniestro, si el iPhone de alguna forma se ve infectado por malware, los delincuentes virtuales podrían hacerse de una de nuestras impresiones digitales. La advertencia no es para que pensemos que las capacidades de biometría significan mayor seguridad sin una mayor comprensión de cómo el usuario, dispositivo, y sus aplicaciones interactuarán. Los profesionales de la seguridad ven este anuncio y encuentran fallas con la implementación de Apple Touch ID, pero si observamos bien lo importante es que este movimiento puede traer una nueva era para la biometría, basada en la movilidad y amigable con el consumidor, con el potencial de hacer nuestra experiencia online aún más segura.