El bloqueo por huella dactilar del teléfono se puede eludir utilizando huellas dactilares impresas en 3D

Los investigadores del grupo de ciberseguridad Cisco Talos demostraron cómo pudieron engañar y eludir los sistemas de autenticación por huella dactilar en teléfonos, laptops y otros dispositivos utilizando huellas dactilares falsas creadas con tecnología de impresión 3D y pegamento textil.

Según los investigadores, Paul Rascagneres y Vitor Ventura, las huellas dactilares falsas impresas se probaron en una amplia gama de dispositivos y lograron alcanzar aproximadamente un 80% de tasa de éxito en promedio.

Hay tres tipos principales de sensores de huellas dactilares: capacitivos, ópticos y ultrasónicos. Cada uno de estos sensores opera de manera ligeramente diferente dependiendo del material y los métodos de recolección utilizados en el molde.

El tipo más común es el capacitivo, que utiliza la corriente eléctrica natural del cuerpo para leer las huellas dactilares, mientras que los sensores ópticos utilizan luz para escanear y crear una imagen de un dedo. Los sensores ultrasónicos, el tipo más nuevo y frecuentemente utilizados para sensores en pantalla, utilizan ondas ultrasónicas para rebotar en un objeto físico, en este caso, un dedo; el eco es leído por el sensor de huellas dactilares, lo que hace que el sensor ultrasónico sea el más fácil de eludir.

“Nuestras pruebas mostraron que, en promedio, logramos una tasa de éxito de ~80 por ciento al usar las huellas dactilares falsas, donde los sensores fueron eludidos al menos una vez. Alcanzar esta tasa de éxito fue un trabajo difícil y tedioso. Encontramos varios obstáculos y limitaciones relacionadas con la escalabilidad y las propiedades físicas del material”, explicaron Vitor Ventura y Paul Rascagneres de Talos en su análisis de investigación.

“Aun así, este nivel de tasa de éxito significa que tenemos una probabilidad muy alta de desbloquear cualquiera de los dispositivos probados antes de que vuelva a caer en el desbloqueo por PIN. Los resultados muestran que las huellas dactilares son lo suficientemente buenas para proteger la privacidad de la persona promedio si pierde su teléfono. Sin embargo, una persona que probablemente sea objetivo de un actor bien financiado y motivado no debería usar la autenticación por huella dactilar.”

Los investigadores utilizaron una impresora 3D para crear moldes y los curaron en una cámara UV. Usaron los moldes para crear huellas dactilares falsas y luego las vertieron en materiales que incluían silicona y pegamento para tela.

“Durante nuestras pruebas, quedó claro que el material utilizado es un factor determinante dependiendo del tipo de sensor, especialmente al comparar sensores sonoros con capacitivos. Para aumentar nuestra tasa de éxito, utilizamos silicona y diferentes tipos de pegamento, mezclados con polvo conductor (grafito y aluminio)”, dijeron.

Los investigadores tenían un presupuesto de $2,000, así como 13 teléfonos inteligentes, laptops y otros dispositivos para el proceso de prueba. Para comenzar el proceso de prueba, los investigadores utilizaron las huellas dactilares públicamente disponibles del infame gánster Al Capone como ejemplo. Los dispositivos móviles demostraron ser los mejores objetivos, ya que la mayoría de las personas utilizan comúnmente sensores de huellas dactilares en sus dispositivos.

“Estos dispositivos también fueron los objetivos de algunas de las primeras investigaciones sobre autenticación por huella dactilar, lo que debería dar a esta plataforma más madurez en la tecnología. Sin embargo, los resultados muestran que la autenticación por huella dactilar en teléfonos móviles se ha debilitado en comparación con cuando se rompió por primera vez en 2013”, dijeron.

Las huellas dactilares falsas fueron probadas con éxito por los investigadores en iPhone 8, Samsung S10, Huawei P30 Lite, MacBook Pro 2018, iPad 5ta Gen, Samsung Note 9, Honor 7X y un AICase Padlock. Sin embargo, no pudieron acceder al teléfono Samsung A70, al Lexar Jumpdrive Fingerprint F35, ni al pen drive USB encriptado Verbatim Fingerprint Secure.

Los investigadores concluyeron que la autenticación por huella dactilar es adecuada para la mayoría de la población considerando que el proceso para eludirla es muy complejo, que consume mucho tiempo y es costoso para una persona común.

“Para un usuario regular de autenticación por huella dactilar, las ventajas son obvias, y debería ser utilizada. Sin embargo, si el usuario es de un perfil más alto o su dispositivo contiene información sensible, recomendamos confiar más en contraseñas fuertes y autenticación de dos factores con tokens”, escribieron.