En la película estrenada el año pasado, ‘Orígenes’, aparece un archivo mundial de firmas biométricas distintas a las dactilares: un registro de lecturas de iris. Aunque esta inquietante realidad es todavía impensable, sí se han dado muchos pasos en la incorporación de los escáneres oculares a los métodos de identificación personal.
Se utilizan ya en algunas empresas para controlar las entradas y salidas de los trabajadores, así como en corporaciones con estrictas medidas de seguridad. Su uso cotidiano cada vez está más cerca. Fabricantes de móviles como Samsung, Nokia y Fujitsu han anunciado que sus próximos modelos tendrán entre sus prestaciones un escáner de iris.
Quizá en el futuro baste con mirar detenidamente la pantalla para desbloquear el teléfono móvil o acceder a alguna de sus opciones. Si es así, será mejor que vigiles las fotografías que cuelgas en Internet. Jan Krissler, un experto en seguridad informática de los Laboratorios de Innovación Telekom, ha demostrado que algunos de estos sistemas biométricos pueden burlarse utilizando simplemente imágenes de Google.
Krissler ya había expuesto previamente las vulnerabilidades de los lectores de huella dactilar. En diciembre fabricó una copia de las marcas del dedo de la ministra de Defensa alemana, Ursula von der Leyen.
En aquella ocasión utilizó el programa de reconocimiento Verifinger para leer las huellas de Von der Leyen, que él mismo había fotografiado en un acto público. Después, imprimió el resultado en una superficie transparente y, aplicándole látex, obtuvo el clon. Sin embargo, no ha podido realizar más comprobaciones o pruebas posteriores.
Esta vez, Krissler afirma que puede hacer algo parecido con los escáneres oculares sin necesidad de usar su propia cámara. Como hemos mencionado, solo hay que buscar en Google bajo ciertas premisas.
- Los ojos del objetivo deben tener brillo suficiente. El investigador ha utilizado un sistema basado en luz infrarroja, la Authenticam BM-ET200 de Panasonic, que considera una de las más extendidas.
- Alta calidad de imagen; el tamaño y la claridad son importantes, aunque hasta cierto punto. En sus pruebas, el experto llegó a usar iris con diámetros que no superaban los 75 píxeles. Engañar a un escáner ocular es incluso más fácil que hacerlo con un lector de huella digital: basta con imprimir la fotografía y mostrársela al dispositivo para que la confunda con la versión real.
Seguramente todos tengamos alguna imagen de estas características, pero nunca superaremos la cantidad que existe de cualquier personaje famoso, incluidos los políticos. Si buscamos en Google Mariano Rajoy o Barack Obama tendremos miles de instantáneas de casi todos los tamaños y formas.
Krissler buscó, entre otras, las caras de Vladimir Putin, Hillary Clinton y David Cameron, aunque finalmente se decantó por la de Angela Merkel para realizar su comprobación. Escogió un iris de la presidenta con un diámetro de 175 píxeles, que el escáner reconoció sin problema.
No obstante, en un ataque real, el proceso no acabaría aquí, y los pasos restantes se complican. Acceder a los lectores biométricos que pudieran utilizar Merkel o cualquier otro político no resulta tan fácil como obtener su fotografía.
Pese a estos obstáculos y salvedades, Krissler quiere que su hallazgo sirva de advertencia a los fabricantes para que apliquen medidas de seguridad a sus futuros desarrollos y a los futuros usuarios para que, nunca mejor dicho, se anden con mucho ojo.
Panda Security es una empresa especializada en la creación de productos de seguridad para endpoints que son parte del portfolio de soluciones de seguridad IT de WatchGuard. Centrada inicialmente en la creación de software antivirus, la compañía ha ampliado sus objetivos expandiendo su línea de negocio hacia los servicios de ciberseguridad avanzada con tecnologías para la prevención del cibercrimen.
