Ir al contenido principal

La Seguridad Biométrica en Jaque: Ataques Recientes a Desbloqueo por Huella Digital

 


La biometría, en especial el desbloqueo por huella digital, ha transformado la seguridad de nuestros dispositivos móviles, ofreciendo una forma conveniente y aparentemente segura de proteger nuestra información. Sin embargo, recientes investigaciones han revelado serias vulnerabilidades en esta tecnología.

Nuevos Ataques: BrutePrint y Vulnerabilidades Biométricas

Investigadores de Tencent Labs y la Universidad de Zhejiang han descubierto un ataque conocido como "BrutePrint", que explota vulnerabilidades críticas en los sistemas de autenticación por huella digital en dispositivos Android y HarmonyOS (Huawei). Este ataque se basa en la fuerza bruta para probar múltiples huellas digitales hasta encontrar una coincidencia​ (TechXlore)​​ (BleepingComputer)​.

Funcionamiento del Ataque

BrutePrint se aprovecha de dos vulnerabilidades principales: Cancel-After-Match-Fail (CAMF) y Match-After-Lock (MAL). Estas vulnerabilidades permiten realizar intentos ilimitados de autenticación sin que el dispositivo registre fallos, permitiendo a los atacantes forzar el desbloqueo del dispositivo. Los atacantes necesitan acceso físico al dispositivo y una base de datos de huellas digitales, que puede obtenerse de filtraciones de datos o conjuntos de datos académicos​ (BleepingComputer)​​ (Security Boulevard)​.

Implicaciones de Seguridad

Estas vulnerabilidades subrayan la necesidad de mejorar la seguridad de la biometría. Aunque el desbloqueo por huella digital es más seguro que los PINs o contraseñas, su dependencia de datos físicos que pueden ser replicados presenta un riesgo significativo. Además, la capacidad de realizar ataques de fuerza bruta en dispositivos Android resalta una debilidad crítica que debe ser abordada por los fabricantes de hardware y software.

Recomendaciones para los Usuarios

  1. Actualizaciones de Software: Mantén siempre tu dispositivo actualizado con las últimas versiones del sistema operativo y parches de seguridad. Los fabricantes frecuentemente lanzan actualizaciones para corregir estas vulnerabilidades.
  2. Autenticación Multifactor: Considera usar métodos adicionales de autenticación, como contraseñas y patrones, junto con la biometría para aumentar la seguridad.
  3. Revisar Permisos y Accesos: Limita las aplicaciones y servicios que tienen acceso a tus datos biométricos. Revísalos regularmente y desactiva los que no sean esenciales.
  4. Protección Física del Dispositivo: Mantén tu dispositivo seguro y no lo dejes sin supervisión. El acceso físico es necesario para la mayoría de estos ataques.

Conclusión

La biometría ha transformado la seguridad digital, pero no es infalible. Los recientes descubrimientos de ataques como BrutePrint nos recuerdan la importancia de una seguridad integral que combine múltiples capas de protección. Mantente informado y adopta prácticas de seguridad proactivas para proteger tus dispositivos y datos personales.

Para una explicación visual del funcionamiento del ataque BrutePrint, puedes ver este video en YouTube y este otro.


Comentarios

Publicar un comentario

Entradas populares de este blog

Lenguajes de programación más conocidos en la historia de la computación

Los primeros lenguajes de programación eran difíciles de construir ya que éstos debían ser "desarrollados" a un nivel que la máquina entendiera directamente, es decir, la programación de computadoras de esta época dependía mucho de la máquina para la que se estaba trabajando y detectar un error o fallo en la programación no solo era complejo sino que demandaba mucho tiempo y esfuerzo. En 1946 Grace Murray Hopper, científica en sistemas y oficial de la marina estadounidense creo el FLOW-MATIC, considerado el primer lenguaje de programación útil para resolver problemas de usuarios comerciales.  Su desarrollo fue enfocado a la UNIVAC 1.  Este lenguaje de programación fue visto como de "alto nivel", fácil de usar por los científicos de la época.  FLOW-MATIC requería de un traductor (compilador) para ser interpretado por la máquina.   Con este lenguaje de programación se establece el concepto de programación basado en palabras del lenguaje natural y se da inicio al d
1 comentario
Leer más

Enviar archivos por sftp con Python

Esta es una breve modificación a uno de los scripts creados con anterioridad y que consiste en enviar un archivo por  sftp.   La necesidad en concreto consistía en comparar ambos servidores local y remoto y validar qué archivo faltaba en el remoto que estuviera en el local para proceder a enviarlo y mantener el remoto actualizado. Este script se guarda con el nombre que quieras, le das permiso de ejecución y lo agregas en un crontab. import pysftp import os # Cambiar por la ruta donde se generan los archivos (Amsterdam) servidor_local = os.listdir(r'C:\proyecto\archivos') #print servidor_local # Cambiar por una ruta en Amsterdam, puede ser /tmp/res os.remove(r"c:\proyecto\res\archivos.txt") for archivos in servidor_local: # Cambiar por '/tmp/res/archivos.txt','a' local = open(r"c:\proyecto\res\archivos.txt",'a') print 'Archivo local: '+archivos local.write(str(archivos)+'\n')
Publicar un comentario
Leer más

Extraer logs de un rango de hora

Seguramente en sus trabajos se habrán visto en la necesidad de extraer logs en un rango dado de hora; es decir, desde las xx hasta las yy. Este proceso se puede hacer en linux utilizando varios comando como el grep, head, cut, etc. que combinados nos mostrarán lo que andamos buscando. Como en mi trabajo actual es bastante común esta actividad me he dado a la tarea de crear un script bash para ello. Este es el código fuente que obviamente pueden mejor y/o adaptar a sus necesidades: #!/bin/bash ## Rango v.1.0 ## Genera un log con un rango de hora ingresado ## Autor: Manuel Gonzalez ## http://maengora.blogspot.com # Forma de usar el script echo "Con bash: ./rango.sh " # Solicito la hora inicial y la almaceno en la variable HORA_INICIAL echo -n "Hora incial hh:mm " read HORA_INICIAL # Solicito hora final echo -n "Hora final hh:mm " read HORA_FINAL # Solicito el nombre del log de donde voy a extraer la informacion echo -n "Nombre del log a analizar &qu
2 comentarios
Leer más