Una foto con diversas máscaras apareció mientras Phil Schiller hablaba de Face ID en la presentación del iPhone X. Aquello parecía indicar que engañar este sistema biométrico sería muy complicado, pero un grupo de hackers ha indicado que la seguridad de Face ID se puede superar con algo de maña y una inversión de 150 dólares.
El reconocimiento facial parecía una excelente alternativa para la firma de Cupertino, pero le ha sucedido lo que a otros sistemas de autenticación en el pasado. Lo han hecho (la mayoría de) las contraseñas, la autenticación en dos pasos, el reconocimiento de huella dactilar y ahora el reconocimiento facial. La seguridad perfecta no existe, pero si hay algo que puede protegerte es la combinación de algo que sabes, algo que tienes y algo que eres.
Un mundo de seguridad imperfecta
De hecho esos tres esquemas de autenticación, como explicaban hace tiempo en el Instituto Nacional de Ciberseguridad (Incibe) son los que se aprovechan hoy en día para tratar de que usuarios de todo tipo tengan sus dispositivos y datos seguros y a buen recaudo.
El problema es que normalmente no se combinan esos tres esquemas, y confiamos nuestra seguridad a uno o, como mucho, dos de ellos, y eso a pesar de que los fabricantes y desarrolladores suelen darnos las opciones para poder combinar esos métodos.
Usamos algo que sabemos (una contraseña, un patrón o un código PIN), algo que tenemos (una tarjeta de crédito, un token) o algo que somos (nuestra huella dactilar, nuestra cara, nuestro iris), pero no solemos combinar esos métodos o lo hacemos de forma que aparecen vulnerabilidades en los eslabones de una delicada cadena.
Eslabones débiles
Ocurría por ejemplo con los sistemas de autenticación en dos pasos que llevamos recomendando desde hace años pero que hace poco vieron comprometida uno de sus pilares: lo de usar mensajes SMS para esa autenticación no es buena idea, y aquí sería más conveniente acudir a aplicaciones como Google Authenticator o similares que generan tokens temporales continuamente en tu móvil.
Las contraseñas —invivibles pero insustituibles, que diría Sabina— no paran de darnos disgustos. Se filtran en internet en robos de datos asombrosamente trágicos que dejan claro que nosotros no somos muy buenos eligiendo contraseñas —y eso que hay formas hasta divertidas de generarlas—, pero tampoco lo son las empresas protegiéndolas.
Los sistemas biométricos eran otra de las grandes promesas del mundo de la seguridad, pero hemos visto como los más populares también han ido mostrando su debilidad. Lo hicieron primero los lectores de huella dactilar, y ahora acaba de hacerlo —o eso indican los expertos en seguridad— Face ID, la tecnología que Apple ha creado como sustituta de Touch ID en los iPhone X.
La pereza como enemiga de la seguridad
¿Es que nunca vamos a estar seguros? Lo cierto (y lo trágico) es que la respuesta sea que probablemente no, pero eso no significa que no podamos poner algo de nuestra parte para estar algo más a salvo.
Combinar al menos dos de esos esquemas no es mala idea, así que utilizar Face ID (algo que eres) con un PIN o contraseña (algo que sabes) será siempre mejor que usar solo uno de los dos métodos de autenticación, y esa recomendación se repite para otros tantos ámbitos en los que tener esas tres barreras hace que los tipos malos quizás se echen atrás y vayan a un objetivo más fácil y accesible.
El problema fundamental, claro, es ese delicado equilibrio entre seguridad y comodidad. Meter un patrón o un PIN tras haber usado la huella dactilar o el reconocimiento facial "es un rollo". Lo es, ciertamente, sobre todo cuando desbloquear un móvil es una acción tan frecuente y cotidiana. Aquí debemos tratar de vencer a la pereza, o al menos hacerlo para operaciones más sensibles, como los que afectan al acceso a información sensible o a la realización de compras o autenticaciones en servicios "delicados".
Así pues, el consejo es claro. Hay que intentar que los eslabones de esa delicada cadena de la seguridad sean menos débiles, y para ello la gran enemiga es nuestra pereza (y nuestra comodidad). Malditos sacrificios.
En Xataka | Caos en la seguridad WiFi: un repaso a las vulnerabilidades de WEP, WPA, y WPA2
Ver 21 comentarios