Noticias

Descubren fallas de seguridad en los sistemas de reconocimiento biométrico en estos celulares

Un ataque de fuerza bruta es un intento de dar con las credenciales de acceso a una cuenta o a un dispositivo mediante el método de prueba y error

Dos estudios recientes destaparon errores de seguridad en los sistemas de identificación biométrico de dispositivos iOS y Android, que habrían permitido accesos no autorizados al forzar tanto el sistema de reconocimiento de huellas dactilares como el facial.

Los sistemas de reconocimiento biométrico son herramientas de seguridad integradas en los dispositivos electrónicos que permiten un control de acceso que solicita a los usuarios identificarse con características físicas únicas.

También puedes leer: Ciberdelincuentes “pueden recuperar” cuentas bloqueadas de WhatsApp a cambio de dinero

Un estudio reciente, realizado por la organización dedicada a la protección de los consumidores Which?, señala que estos sistemas habrían registrado una vulnerabilidad que habría afectado a 19 de los 48 ‘smartphones’ de algunas marcas destacas, como Samsung, Motorola o Nokia.

Ningún sistema biométrico es infalible”, declaró Which?, que ha llevado a cabo una serie de pruebas con las que demuestra que algunos sistemas de reconocimiento facial se pueden franquear utilizando una fotografía de la cara de los usuarios registrados.

Otra compañía reiteró que “durante la configuración del sistema biométrico, avisa a los consumidores de que personas con las que compartan rasgos físicos pueden también desbloquear sus teléfonos”.

Samsung también “se justificó” con el hecho de que proporciona varios niveles de autenticación biométrica, de modo que también se podría configurar el acceso al teléfono con un número PIN. HMD Global, matriz de Nokia, también ha asegurado a esta organización que informa a sus usuarios de que el desbloqueo facial es menos seguro que la huella digital.

Ataques a sistemas de seguridad con huella dactilar

Estas afirmaciones contrastan con otro nuevo ataque registrado por Tencent Labs y la Universidad de Zhejiang (China), llamado BrutePrint, que emplea ataques de fuerza bruta para hacerse con las huellas dactilares de los propietarios y conseguir el control de los dispositivos.

Un ataque de fuerza bruta es un intento de dar con las credenciales de acceso a una cuenta o a un dispositivo mediante el método de prueba y error, con el objetivo de dar con la combinación de factores correcta.

Los investigadores que firman este estudio publicado en Arxiv.com aseguran haber evaluado BrutePrint en 10 ‘smartphones’ representativos de los cinco provedores de teléfonos móviles y se analizaron tres aplicaciones que integraban el bloqueo de pantalla.

Android dispone de un sistema de seguridad que, en caso de reconocer una huella dactilar errónea varias veces, invita al usuario a introducir un número PIN o contraseña para volver a intentarlo.

Para evitar esta limitación, los analistas descubrieron que era posible explotar dos vulnerabilidades conocidas como Cancel After-Match-Fail (CAMF) y Match-After-Lock (MAL) en dispositivos Android, HarmonyOS de Huawei, e iOS.

Los dos primeros, Android y Huawei, demostraron ser vulnerables a intentos ilimitados, mientras que los terminales fabricados con Apple permitían una decena de intentos adicionales hasta bloquearse.

“Encontramos una protección insuficiente de los datos de huellas dactilares en la interfaz periférica serial (SPI, por sus siglas en inglés) de los sensores de huellas dactilares”, se puede leer en este informe.

Debido a esa desprotección, los agentes maliciosos podrían perpetrar un ataque de intermediario (MitM) para secuestrar imágenes de huellas dactilares que se pueden adquirir a partir de bases de datos y filtraciones de datos biométricos.

Échale un ojo: 10 señales más comunes de estafas por internet

Los dispositivos en los que habría detectado esta falla son los modelos Honor 70, Motorola Razr 2022, Motorola Moto E13, Motorola H13, Motorola Moto G23, Nokia G60 5G, Nokia X30 5G, Oppo A57, Oppo A57s, Samsung Galaxy A23 5G y M53 5G y vivo Y76 5G.

También Xiaomi se habría visto afectada por este error. Concretamente, en sus terminales POCO M5, POCO M5s, POCO X5 Pro, Xiaomi 12T, Xiaomi 12T Pro, Xiaomi 12 Lite y Xiaomi 13.

Lo Último