La semana pasada se hizo público que la policía había detenido a un hombre del sureste de China como sospechoso del asesinato de su novia: tras discutir sobre dinero, él la habría estrangulado y habría utilizado el móvil de ella para enviar mensajes a sus familiares avisándoles de que estaría unos días de viaje. Pero el asesino hizo algo más: intentó usar la app Money Station para solicitar un préstamo a nombre de la fallecida... utilizando su cadáver como forma de identificarse en su cuenta, al requerir reconocimiento facial.
Comentarios
Los datos biometricos nunca deberia servir como password o firma, solo como login.
#2 Absolutamente de acuerdo.
Algo que sabes, algo que tienes y algo que eres.
#2 desde luego que sí! pero sigue habiendo mucho lumbrera que no opina igual. La biometría es cojonuda para identificar al usuario y luego, ya si eso, se le pide una clave o algo
#2 Muy cierto, pero en cuatro años he cambiado seis veces de gimnasio y en todos me han dado pulsera y sensor de huella dactilar.
#22 Yo tengo una duda con la biometria. Igual que no es conveniente usar la misma contraseña en varios sitios. La lectura de biometria se podria usar para identificarse en otros sitios. Como a #20 que se ha identificado asi en varios gimnasios.
Supongo que siempre hay que reforzarla con una contraseña. Pero si se usa biometria en casi todos los sitios, va ser un problema grande y va dar una falsa seguridad. Con el login, ya sabes que cualquier pueden intentar poner el Login y siempre esta reforzado con una contraseña.
#23 Hay que tener en cuenta que tampoco es exactamente como usar la misma llave para abrir taquillas en sitios distintos, eso depende de cómo lo desarrolle cada una. Tradicionalmente se capturaba una imagen de tu huella, esa que se podía falsificar con un molde de silicona, pero se pueden escanear huellas de muchas formas distintas, las más avanzadas que he visto (y no recientemente) detectaban si la huella tenía pulso y podían detectar el mapa de tus vasos sanguíneos. ¿Alguien podría fabricar un dedo artificial con todo eso? A lo mejor sí, pero igual les sale más fácil copiarse la llave de tu casa o decir que te olvidaste la pulsera y hacerse pasar por ti.
A mi también me preocupa porque da una falsa sensación de seguridad, en parte porque se desarrolle mal, o porque la gente lo use mal. Otro ejemplo, es que la gente que desbloquea el móvil con su huella no se da cuenta que es sumamente fácil que alguien de "confianza" lo desbloquee mientras esa persona duerme, está inconsciente. Sin obviar que le pongan el dedo por la fuerza... aunque bueno, si me piden el pin de mi movil con una navaja yo se lo doy.
Si simplifico tanto en #22 (y CC para #16) es porque a veces los sistemas de seguridad funcionan así, solo necesitas el validador conteste "ah, pues sí eres tu" y ya está. Por ejemplo, el pin de la tarjeta de crédito; normalmente pensaríamos que el cajero se conecta a internet y comprueba de forma remota el pin, pero no, el pin esta guardado en la tarjeta y es la propia tarjeta la que da el ok. Una vulnerabilidad que se detectó es que hay gente que conseguía sustituir la parte del chip que realizaba la validación del pin por otra que siempre decía "ok". Es por esta razón que esos sistemas ahora tienen (o deberían) algún tipo de firma digital y otro ejempo es que Apple no acepta lectores de huellas no orignales (según ellos) para evitar un problema similar con el lector de huellas.
Me recuerda a cuando Simon Phoenix se escapa en Demolition Man, a partir del 1:15:
Google presentaba su primera patente de una tecnología de "detección de la vivacidad", que exigía aleatoriamente al usuario la realización de muecas y gestos que podían ir de "fruncir el ceño" a "sonreír", "sacar la lengua" o "mover las cejas"
Al final acabarán pidiéndole una contraseña.
#7 Por favor, introduzca su contraseña numérica usando los dedos de la mano. Céntrese bien delante de la cámara para que el sistema pueda detectarlo.
#7 Lo divertido que es que le pidan que guiñe un ojo a alguien que nunca aprendió a hacerlo. Y luego vienen los retos extra difiles: mueve las orejas, ahora las fosas nasales, pon los ojos blancos con los parpados doblados, ahora dale la vuelta a la lengua.
PS: Ahora urgate la nariz.
A las app no se las engaña como a chinos.
Veo en el futuro, en mi bola de cristal (voz de adivino barato)... veo... veo... que nadie usará nombre de usuario ni contraseña, todo estará... abierto...
Los que nos roban realmente lo hacen a cara descubierta. Incluso los votamos para que sea así
Tranquis, ya me sirvo yo:
Pero sólo hará falta emular esa "vivacidad" que a veces es un simple movimiento, para saltárselos de nuevo. Un sistema biométrico no es mejor que una buena contraseña.
Salu2
#4 Un sistema biométrico no es mejor que una buena contraseña.
De hecho es peor, una característica biométrica no se cambia fácilmente así que robada una vez, robada siempre.
#6 Sé que no vas exactamente por aquí pero he recordado esto
https://www.abc.es/estilo/gente/abci-becker-adjudican-paternidad-tras-robarle-semen-200101180300-5383_noticia.html
#4 No entro en si es mejor o pero, pero cualquier sistema de verificación se puede resumir (exagerando un poco ) en que el sistema pregunta "¿quién eres?" y tu contestas "yo". En algunos casos ese yo es una contraseña, un código que te llega al móvil, o reconocimiento facial.
#10 El problema a ese planteamiento es que:
1) El código al móvil es efímero, caduca en segundos
2) La contraseña la puedes (debes) cambiar periódicamente, incluso el sistema te puede forzar a ello por seguridad, pero...
3) Cómo cambias tus datos biométricos si hay una falla de seguridad?
#16 Respuesta a la 3...
Con una botella de ácido!
#16 Estoy simplificando excesivamente, y sé los problemas que tiene cada tipo de verificación de identidad, pero mi comentario no entra en si esa respuesta puede cambiar o no, o los problemas de cada uno. Por ejemplo:
- Forzar a que se cambien las contraseñas muchas veces solo supone que alguien vaya a hacer modificaciones triviales o termine teniendo un postit con la nueva contraseña
- Un mensaje al móvil supone que tu y solo tu tienes acceso al código. Normalmente esos mensajes se pueden previsualizar con la pantalla bloqueada, hay aplicaciones que tienen permisos para leer todos los sms entrantes con la excusa de leer su propio código, etc.
- Es cierto que no puedes cambiar tus datos biométricos, pero normalmente no pueden capturar "toda" tu biometría. Si te roban el patrón de tu huella no puedes cambiarlo, pero el sensor puede cambiar para que detecte huella y quizás las venas, o que detecte las huellas con otro sensor que obtenga información diferente.
Al final depende para qué se utilice, pero en muchos aspectos la biometría es muy cómoda. Por ejemplo, si tienes a una persona mirando cada dni que se corresponda con su foto, pues al final va a ser muy poco fiable. Como anecdota curiosa una vez pasaba por el aeropuerto cuando estaban probando uno de estos sistemas, una de las personas llevaba una camiseta con una foto impresa... y pasó. Me gustaría pensar que lo han solucionado porque fue hace varios años ya.
#4 todo ese tema ya se trata en el artículo, recomiendo leerlo
#14 Ya lo lei y por eso lo digo.
Si tienes un sistema de reconocimiento de huella dactilar, por ejemplo que mide el pulso del dedo, por decirlo así el bombeo de la sangre en ese dedo si tú das emulado eso y créeme que se puede hacer (evidentemente no es nada fácil) podrás engañar al sistema.
En algunas películas se ven ciertas cosas que aunque un poco fantasmas no son imposibles, por ejemplo reconocedores del iris que te pones una lentilla y puedes engañar al sistema. Otra cosa es la típica foto de gran calidad eso si que no sirve porque no es tejido vivo.
Hablan de la densidad y de la luz, para comprobar si llevas lentillas, pero eso de nuevo también se puede emular. Todo sistema informático es potencialmente hackeable.
Salu2
#14 #21 La huella se puede falsificar cogiandola con un celo de un vaso, por ejemplo. Luego se puede fijar y la presionas con tu propio dedo vivo. En muchos casos funcionará.
En España la prensa lo llamaría "presunto asesino". Costumbres de por aquí.
Las UAT de estos sistemas deben de ser una fiesta