Crónica España.

Crónica España.

"BrutePrint: la polémica técnica para desbloquear smartphones usando huellas falsas"

   El desbloqueo mediante huella dactilar, una de las protecciones de seguridad más confiables en los 'smartphones', se ve amenazado por el BrutePrint, una técnica que puede forzar dispositivos protegidos con este método, especialmente en aquellos con sistema operativo Android.

   Esto se debe a que las huellas dactilares son únicas y no cambian con el tiempo, lo que las convierte en una medida de identificación precisa ligada a cada persona y en una barrera de seguridad sólida para desbloquear dispositivos.

   En la actualidad, la identificación biométrica mediante huella dactilar es común en los dispositivos móviles inteligentes, siendo un objetivo de interés para los ciberdelincuentes que buscan evadir esta medida de seguridad y acceder de forma maliciosa al sistema.

   El BrutePrint, una técnica descubierta por investigadores de Tencent y la Universidad de Zhejiang, ha demostrado ser capaz de forzar prácticamente cualquier 'smartphone' protegido por huella dactilar, incluso desbloqueando la pantalla y realizando acciones sensibles en el sistema.

   Esta técnica se basa en un ataque de fuerza bruta que prueba diversas huellas dactilares hasta encontrar una coincidencia suficiente para desbloquear el dispositivo, explotando las vulnerabilidades en la implementación de sensores de huellas dactilares en dispositivos Android.

   El BrutePrint aumenta la Tasa Falsa de Aceptación para permitir un margen de error en la autenticación por huella dactilar, facilitando así la aproximación de la imagen de la huella original para desbloquear el dispositivo.

   Con el BrutePrint, es posible autenticar un número ilimitado de huellas dactilares y desbloquear un 'smartphone' en un período que varía entre 40 minutos y 14 horas, dependiendo de las huellas almacenadas en el dispositivo.

   Pruebas realizadas en diez modelos populares de 'smartphones' demostraron que el BrutePrint logró forzar todos los dispositivos al menos una vez, mostrando mayor vulnerabilidad en dispositivos Android.

   Es importante destacar que para ejecutar este ataque es necesario tener acceso físico al dispositivo, retirar la tapa trasera y conectar una placa de circuito impreso con una base de datos de huellas dactilares para realizar la autenticación.

   Además, el BrutePrint puede modificar la Tasa Falsa de Aceptación en dispositivos Android para permitir intentos infinitos de reconocimiento por huella dactilar, mientras que en dispositivos iPhone, con el sistema Touch ID de Apple, presenta más resistencia al cifrar la comunicación entre el sensor y el sistema.

   A pesar de que los iPhones son más seguros frente a ataques BrutePrint, el estudio señala que siguen siendo vulnerables a manipulaciones de la Tasa Falsa de Aceptación, lo que podría ampliar el número de intentos de reconocimiento por huella dactilar.