No hay sistema infranqueable para el ciberdelincuente. Tampoco los biométricos, que se perfilan como las grandes estrellas de la seguridad. Yulong Zhang y Tao Wei, dos expertos en protección de la información computacional de FireEye, han logrado burlar uno de los mecanismos de protección más robustos, el de la huella digital, y hacerse con el control de varios dispositivos Android. Lo han hecho en directo, durante la Defcon de Las Vegas, poniendo de nuevo sobre la mesa el problema de la vulnerabilidad de los datos, cada vez más numoros y más personales, que se almacenan en estos pequeños dispositivos.

"En informática no hay ningún sistema invulnerable. Puede haber sistemas más seguros que otros, pero la seguridad total es impensable", sostiene Fernando Suárez, presidente del Colexio Profesional de Enxeñaría en Informática de Galicia (CPEIG).

Los modelos utilizados para alertar del error de los dispositivos con Android han sido un HTC One Max y un Samsung Galaxy S5, aunque la amenaza afecta igualmente a cualquier Android con sensor de huella dactilar. La fórmula para hacerse con el control del móvil consistió en tomar imágenes de las huellas dactilares. El terminal no guarda por completo la información de la huella, sino que queda en una especie de nube a la que los hackers han logrado acceder. Según estos dos programadores, se trata de un problema en el diseño de los Android y aseguran que en este sentido los iPhone de Appel son más seguros, en parte porque la empresa de la manzana encripta los datos de las huellas digitales.

El problema del "robo" de la huella dactilar es que puede emplearse no solo para desbloquear el móvil, sino para acceder a cualquier otro dispositivo y suplantar al dueño del móvil para acceder a su cuenta bancaria o aplicaciones como Dropbox, que ya aceptan esta fórmula y para hacer compras a cargo de la víctima. Incluso podría emplearse para falsificar documentos.

"Lo bueno de la huella digital es que es irremplazable y es muy difícil de falsificar. En este sentido, es un sistema de protección más seguro que el de los códigos alfanuméricos, al que puedes acceder con distintos intentos de combinaciones de números y letras. Lo malo es que una vez que alguien accede a tu huella digital la tiene para siempre porque tú no puedes reemplazarla por otra como haces cuando te han robado una contraseña", reconoce el presidente de los informáticos gallegos.

El mayor riesgo derivado del fallo de los Android puede llegar si se combina con una aplicación camuflada que reutilice la información enviándola a terceros, y que estos la usen para robar. Otro error del que alertan en estos sensores apunta al uso de ingeniería inversa para usar el controlador del lector para que capture la huella sin que lo desee el propietario. Aunque todavía son pocos los modelos que ofrecen esta opción -casi todos de alta gama-, las previsiones de la industria apuntan a que en 2019 lo incluirá más de la mitad de los móviles.

Siempre que se descubre una brecha en la seguridad de internet, esta sirve para que el usuario reflexione sobre qué tipo de información quiere dejar expuesta en determinados sitios, lo que, en opinión del presidente del CPEIG, es bueno. "A veces guardamos o subimos información a la red muy alegremente. Lo bueno de este caso es que la seguridad no ha sido vulnerada por personas con el ánimo de acceder a datos sensibles y delinquir, sino para demostrar la existencia de un fallo en la seguridad, para que se mejore. Lo malo es que una vez que se da a conocer una vulnarabilidad, muchas organizaciones criminales estarán intentando dar con el fallo también", explica.

Para mejorar el blindaje del acceso a los datos, Suárez aconseja no confíar en un único sistema como barrera de protección, sino combinarlos. "Para reforzar nuestra seguridad podemos combinar un código que sabemos, como puede ser el alfanumérico, con otro que nos pertenece, la huella dactilar", explica. Otro patrón biométrico del futuro es el del iris, aunque este último no es tan popular, al menos de momento. "El dedo lo usas para marcar el código, así que te da igual usarlo como sistema. La gente es más reticente a poner el ojo delante de un dispositivo", afirma el experto.