¿Qué es un sensor de huellas dactilares? ¿Se le puede engañar?

Antes del iPhone 5s, los consumidores solían asociar las imágenes de huellas dactilares principalmente con las fuerzas del orden y las aplicaciones de alta seguridad. A medida que creció la adopción de las imágenes de huellas digitales en los teléfonos inteligentes, los usuarios comenzaron a percibir los lectores de huellas dactilares como una característica útil y conveniente desde el punto de vista de la seguridad.

El reconocimiento de huellas dactilares se ha convertido en uno de los sistemas más utilizados para la identificación de personas.

La huella dactilar tiene características exclusivas denominadas minucias. Estas son puntos donde se dividen o finalizan los bordes. Los sistemas de identificación que utilizan patrones biométricos de huella dactilar se llaman AFIS (Sistema de Identificación Automático de Huella Dactilar).

El sistema de identificación a través de huella dactilar es uno de los más íntegros existentes en la actualidad y cada se está introduciendo más en nuestra vida diaria.

En los últimos años la biometría dactilar está tan metida en la sociedad que nos resulta normal ver en algunas instalaciones el uso de detectores de huella dactilar para el acceso de personas. Incluso los ordenadores portátiles introducen sensores de huella dactilar para el inicio de sesión por parte del usuario previamente registrado.

Vamos a analizar aquí qué son los sensores de huellas dactilares, cómo funcionan y si son métodos seguros de identificación.

Sensores de huellas dactilares. ¿Qué son?

Un sensor de huellas digitales es un tipo de tecnología que identifica y autentica las huellas digitales de un individuo para otorgar o denegar el acceso a un sistema informático o una instalación física.

Es un tipo de tecnología de seguridad biométrica que utiliza la combinación de técnicas de hardware y software para identificar los escaneos de huellas digitales de un individuo.

Un escáner de huellas digitales generalmente funciona registrando primero los escaneos de huellas digitales de todas las personas autorizadas para un sistema o instalación en particular. Estos escaneos se guardan en una base de datos.

El usuario que requiere acceso coloca su dedo en un escáner de hardware, que escanea y copia la entrada del individuo y busca cualquier similitud dentro de los escaneos ya almacenados. Si hay una coincidencia positiva, se le otorga acceso al individuo.

Los escáneres de huellas digitales suelen utilizar la huella digital de un individuo como identificación.

¿Cómo funcionan?

Las huellas digitales son esencialmente crestas y líneas presentes al final de la punta de los dedos. Permiten que los usuarios tengan una sujección entre los dedos y el objeto al cogerlo. De esta forma es posible coger mejor los objetos e impedir que se caigan de sus manos.

Cada individuo tiene una huella digital única, y es muy poco probable que dos personas posean el mismo patrón de huella digital. Esta característica es lo que hace que las huellas digitales sean consideradas como la opción preferente para la seguridad biométrica en los smartphones.

Para poder utilizar huellas digitales para autenticarse en el dispositivo, todo el proceso implica dos pasos:

Inscripción: es el paso inicial en el proceso e involucra a los usuarios que registran su huella digital del dedo preferido, que se usaría en el futuro para autenticarlos en el dispositivo. El proceso esencialmente incluye escanear, analizar y almacenar las huellas digitales en forma codificada en una base de datos segura, para referencia futura.
Verificación: una vez que se registra y guarda una huella digital, se utilizará en el futuro para verificar y autenticar a los usuarios en el dispositivo cada vez que intenten obtener acceso. Para ello, el escáner en primer lugar escanea la huella digital, almacena todos sus datos detallados y luego los comprueba con los existentes en su base de datos. Después, dependiendo del resultado, permite o niega el acceso del dispositivo al usuario.

Algoritmos y criptografía

Aunque la mayoría de los escáneres de huellas digitales están basados en principios de hardware muy parecidos, los componentes y el software adicionales también pueden marcar la diferencia a la hora de verificar el rendimiento de los productos y qué características están disponibles para los consumidores.

Junto con el escáner físico existe un IC dedicado cuya misión es interpretar los datos escaneados y remitirlos de forma útil al procesador principal del teléfono inteligente. Diferentes fabricantes utilizan algoritmos ligeramente diferentes para identificar características clave de huellas digitales, que pueden variar en velocidad y precisión.

Por lo general, estos algoritmos buscan dónde terminan las crestas y las líneas, o dónde se divide una cresta en dos. Estas y otras características distintivas se llaman minucias.

Si existe coincidencia entre una huella digital escaneada y varias de estas minucias, será considerada una coincidencia. En lugar de comparar toda la huella digital cada vez, la comparación de minucias reduce la cantidad de potencia de procesamiento requerida para identificar cada huella digital, ayuda a evitar errores si la huella digital escaneada se mancha y también permite que el dedo se coloque fuera del centro o se identifique solo con una impresión parcial.

Por supuesto, esta información debe mantenerse segura en el dispositivo y guardarse lejos del código que podría comprometerla.

En lugar de cargar estos datos de usuario en línea, los procesadores ARM pueden mantener esta información de forma segura en el chip físico utilizando su tecnología TrustZone basada en Trusted Execution Environment (TEE).

¿Qué tipos de sensores biométricos existen?

Atrás quedaron los días en que los escáneres de huellas dactilares se limitaban solo a los teléfonos inteligentes de alta gama.

En la actualidad, los teléfonos con un precio más bajo vienen equipados con un escáner de huellas digitales para autenticar a los usuarios en el dispositivo. Además, no solo tenemos uno, sino algunos tipos diferentes de escáneres de huellas digitales.

Desde los antiguos escáneres de huellas digitales basados en óptica que prevalecen durante el inicio de la autenticación biométrica, hasta los escáneres capacitivos relevantes actuales, hasta el más nuevo del lote, los escáneres ultrasónicos.

Aunque actualmente, el tipo de escáner de huellas digitales más utilizado tiene que ser el escáner capacitivo, estamos comenzando a ver que algunos fabricantes de teléfonos inteligentes adoptan el nuevo escáner ultrasónico de huellas digitales en sus teléfonos inteligentes.

Ópticos

Como su nombre indica, un escáner óptico implica el uso de luz óptica para capturar y escanear huellas digitales en un dispositivo.

Esencialmente, el escáner funciona capturando una fotografía digital de la huella digital y luego usando algoritmos para encontrar patrones únicos de líneas y crestas, distribuidas en las diferentes áreas más claras y oscuras de la imagen. Esta fotografía digital es una representación en 2D de los diferentes patrones de crestas y líneas presentes en el dedo, y dado que también incluye detalles en las secciones más oscuras de la imagen, se ilumina utilizando una fuente de luz, generalmente un LED, para capturar una imagen detallada.

La calidad del sensor de imagen desempeña un papel crucial para obtener una imagen de alta definición y detallada de la huella digital, lo que facilitaría la extracción de más datos de la imagen, aumentando la seguridad.

Los escáneres ópticos han prevalecido en los primeros días de la tecnología de autenticación de huellas dactilares, y hoy en día, rara vez se usan en la mayoría de los teléfonos inteligentes, a excepción de algunos de bajo presupuesto.

Las posibles razones de una caída en la adopción de los escáneres ópticos parecen ser:

el diseño de circuitos voluminosos que dificulta a los fabricantes adaptarlo a un diseño de factor de forma más pequeño,
el bajo nivel de seguridad que se ofrece con la imagen 2D de la huella digital, que se puede engañar fácilmente con prótesis o imágenes de alta resolución.

Capacitativos

Por el nombre, uno puede hacerse una idea de la participación de los condensadores en los escáneres capacitivos.

Para aquellos que no lo saben, un condensador es un componente electrónico que almacena energía eléctrica en un campo eléctrico. En caso de que se pregunte cuál es su papel en los escáneres capacitivos, es importante comprender primero que, a diferencia de los escáneres ópticos, que capturan una imagen 2D de la huella digital, los escáneres capacitivos capturan diferentes detalles de la huella digital utilizando solo las señales eléctricas.

Para esto, utiliza una serie de pequeños circuitos de condensadores, dispuestos en una matriz, para almacenar datos de las huellas digitales capturadas.

Durante el proceso de inscripción, el cambio en los patrones de huellas digitales (crestas y líneas) provoca un cambio en el proceso de registro, como la carga sería diferente para un dedo colocado sobre la placa capacitiva y diferente para el espacio de aire entre las crestas y las líneas.

Este cambio, en la carga del condensador, se determina adicionalmente usando un amplificador operacional, y luego se registra con la ayuda de un ADC (convertidor analógico a digital).

Una vez que se captura una huella digital, todos sus datos relacionados se analizan más a fondo para obtener información única de huella digital y luego se guardan para su comparación en el momento de la autenticación del usuario, en el futuro.

Como no hay captura de imágenes 2D en este proceso, los datos de huellas digitales son mucho más seguros que los datos de un escáner óptico. Y, por lo tanto, un escáner capacitivo no se puede engañar fácilmente con la ayuda de prótesis o fotografías de la huella digital, por lo que estos escáneres son más populares y ampliamente utilizados en una amplia gama de teléfonos inteligentes actualmente en el mercado.

Ultrasónicos

Es la tecnología de escaneo de huellas digitales más nueva, que recientemente ha comenzado a aparecer en los teléfonos inteligentes. A diferencia de los otros dos tipos de escáneres de huellas digitales, que implican el uso de luz o condensador, un escáner ultrasónico, por otro lado, utiliza un sonido ultrasónico de muy alta frecuencia.

Además, también requiere el uso de una combinación de un transmisor ultrasónico y un receptor ultrasónico. El proceso implica el uso de un pulso ultrasónico, que se envía a través del transmisor ultrasónico hacia el dedo que descansa sobre el escáner. Tan pronto como este pulso golpea el dedo, se transmite una parte, mientras que otra parte se refleja.

Este pulso reflejado es luego recogido por un receptor ultrasónico que, dependiendo de la intensidad del pulso, captura una representación en 3D de la huella digital.

Para poder elegir el cambio en la intensidad del pulso ultrasónico reflejado, el receptor ultrasónico tiene en cuenta el estrés mecánico de la huella digital en el escáner.

Cuanto más tiempo permanezca un dedo en el escáner, más detalles puede capturar y producir una representación 3D detallada de la huella digital.

Sin embargo, un inconveniente de este tipo de método de escaneo de huellas digitales es que no es tan rápido como los otros métodos de escaneo de huellas digitales.

Por otro lado, el escáner hace un gran trabajo al permitir que los fabricantes eliminen o minimicen los biseles alrededor de la pantalla, lo cual solo es posible porque el escáner se puede implementar fácilmente debajo de la pantalla.

¿Es posible engañar a un lector de huellas dactilares? ¿Cómo?

Los escáneres de huellas digitales son una buena línea de defensa contra los piratas informáticos, pero de ninguna manera son impenetrables. En respuesta al aumento de dispositivos que admiten escáneres de huellas digitales, los piratas informáticos están mejorando sus técnicas para descifrarlos.

Aquí te explico algunos de los métodos usados para engañar a un lector de huellas dactilares.

Con un molde

Cuando una persona está insconsciente podemos hacer un molde de su huella dactilar. Para ello puede utilizarse cualquier material de fijación suave como puede ser la plastilina.

Con ese molde, el hacker puede hacer una falsificación de la huella dactilar y acceder con ella a los dispositivos de la víctima. Esto tiene un problema principal que es poder acceder a la víctima.

Con imágenes escaneadas

Muchas empresas que manejan datos biométricos no usan métodos seguros para almacenar esos datos por lo que los ciberdelincuentes pueden acceder a los mismos. Así, se pueden comprar huellas dactilares escaneadas en la darknet o acceder a ellas hackeando la base de datos de la empresa.

Después esa imagen en dos dimensiones debe convertirse en una imagen en 3D e imprimirse en una impresora 3D.

Usando una superficie de vidrio

Podemos engañar también a un sensor de huella dactilar usando una fotografía de esa huella marcada en una superficie de vidrio.

Esa imagen debe procesarse y enviarse a una impresora 3D para imprimirla. Pero este es un proceso complejo que lleva mucho tiempo.

Con inteligencia artificial

Los científicos han desarrollado una herramienta de inteligencia artificial que puede sintetizar huellas humanas falsas y sistemas de autenticación biométrica potencialmente engañosos.

De la misma manera que una llave maestra puede desbloquear todas las puertas de un edificio, estas «DeepMasterPrints» utilizan inteligencia artificial para que coincida con una gran cantidad de impresiones almacenadas en bases de datos de huellas dactilares. Y, por lo tanto, en teoría podrían desbloquear una gran cantidad de dispositivos. Es capaz de hacer coincidir muchos parciales almacenados en una base de datos.

Estos experimentos nos hacen ver la importancia de implantar mecanismos de autenticación de múltiples factores. Y los fabricantes de dispositivos deben tener en cuenta el potencial de ataques de huellas digitales artificiales.

Mediante impresión 3D

Es posible utilizar la tecnología de impresión 3D para crear «huellas digitales falsas» que pueden evitar la mayoría de los escáneres de huellas digitales utilizados por dispositivos populares. Pero, crear el ataque sigue siendo costoso y requiere mucho tiempo.

En un experimento realizado por Cisco Talos, los investigadores crearon diferentes modelos de amenazas que utilizan tecnología de impresión 3D y luego los probaron en dispositivos móviles, portátiles y dispositivos inteligentes.

Las huellas dactilares falsas lograron una tasa de éxito del 80% en promedio, donde los sensores se omitieron al menos una vez. Los investigadores no tuvieron éxito en derrotar a los sistemas biométricos en los dispositivos Microsoft Windows 10.

Con ositos de goma

Un criptógrafo japonés ha demostrado cómo se pueden engañar los dispositivos de reconocimiento de huellas dactilares utilizando una combinación de suministros de cocina baratos y una cámara digital.

Este criptógrafo usó gelatina (como se encuentra en los osos de gominola y otros dulces) y un molde de plástico para crear un dedo falso, y engañó a detectores de huellas digitales cuatro de cada cinco veces. Tomó huellas digitales latentes de un vaso, que mejoró con un adhesivo de cianoacrilato (vapores de superpegamento) y fotografió con una cámara digital. Usando PhotoShop, mejoró el contraste de la imagen e imprimió la huella digital en una hoja de transparencias.

¿Es segura la protección por huella dactilar?

A pesar de los diferentes tipos de tecnología de escaneo de huellas digitales utilizadas por los escáneres ópticos, capacitivos o ultrasónicos, la idea básica detrás del uso de un escáner de huellas digitales es la misma: garantizar un alto nivel de seguridad en el dispositivo, sin requerir que los usuarios recuerden cada combinación de nombre de usuario o contraseña.

Para incrementar la seguridad, el hardware y el software básicos existentes en las tres clases diferentes de escáneres de huellas digitales también se asocian con otros componentes de hardware, junto con el software.

Por ejemplo, se utiliza un IC dedicado junto con los escáneres para almacenar los datos sobre las huellas digitales y transmitirlos a otros componentes de procesamiento.

En el caso de un teléfono inteligente Android, esta tarea es realizada por un procesador ARM, que mantiene de forma segura los datos de huellas dactilares en un chip seguro, que llama, Trusted Execution Environment (TEE), mientras que, en un dispositivo Apple, lo mismo es guardado de forma segura en un arreglo similar, que Apple llama, Secure Enclave.

Aunque se hayan modificado los sistemas operativos y sus servicios internos, se persigue un mismo fin: garantizar el cumplimiento de la RGPD con huellas digitales y almacenar los datos de forma que no sean fácilmente accesibles por otros componentes en el dispositivo, para mejorar la seguridad.

Las técnicas actuales ofrecen seguridad eficaz frente a las infracciones, pero esas técnicas de protección se están volviendo obsoletas debido a los avances en inteligencia artificial (IA).

Uno de los principales problemas a los que se enfrentan los diseñadores de sistemas de reconocimiento biométrico seguros basados en IA es impedir ese tipo de amenazas.

Los mecanismos de cifrado actuales creados para sistemas biométricos no basados en IA no son compatibles con los sistemas biométricos basados en IA. Por lo tanto, son necesarias nuevas técnicas de protección.

Ejemplos de dispositivos con sensor de huella dactilar

Los sensores de huella dactilar son usados por múltiples dispositivos en la actualidad. Entre ellos podemos destacar:

Smartphones
Tablets y ordenadores portátiles
Asistentes inteligentes
Sensores de huella dactilar para control de asistencia y acceso a determinados lugares (hoteles, centros de trabajo, etc.)
Medios de pago
Identificación en los controles de fronteras
Procesos de firma digital

Actualmente, la mayoría de los móviles de última generación utilizan sistemas de lectura de huella dactilar. Por ejemplo, iPhone, Samsung, Xiaomi, Huawei o LG.

Cookie	Duración	Descripción
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.