Synaptics, empresa dedicada al desarrollo y construcción de sensores de impresiones digitales y tecnología de pantallas táctiles, ha advertido recientemente sobre el peligro que representan algunos lectores de huellas digitales que usan algunas modernas portátiles para el reconocimiento de los usuarios.
El vicepresidente de producto de la empresa, Godfrey Cheng, hace notar que algunos fabricantes de laptops han estado instalando sensores de impresiones digitales concebidos para usarse en smartphones, en vez de aquellos específicamente diseñados para laptops, los cuales son más seguros. Según Cheng, la decisión de usar sensores inseguros obedece a la intención de ahorrar costos, alrededor de 25 centavos de dólar por computadora instalada.
¿En qué consiste el riesgo? Por lo general, los sensores de huellas que se instalan en teléfonos no usan encriptación para transmitir la lectura a la CPU. Un atacante podría explotar esta vulnerabilidad para robar la información del lector de huellas mediante algún mecanismo espía, y ganar posterior acceso al dispositivo y ejecutar otras acciones maliciosas. Synaptics ha ofrecido llevar a cabo una demostración de cómo un atacante remoto podría desbloquear una laptop que tenga instalado un lector inseguro. La muestra se hará esta semana en el evento Computex en Taiwan.
[irp posts=”21768″ name=”El lector de huellas digitales en tu smartphone no es tan seguro como piensas”]
Cheng asegura que los sensores se Synaptics usan dos etapas de seguridad: primero, los datos que lee el sensor van encriptados, y segundo, se transmiten a un procesador secundario que lleva a cabo el trabajo de reconocimiento.
En este sentido, no hay que confundirse: las impresiones digitales como mecanismo de reconocimiento para acceder a una computadora, no son en sí mismas inseguras. De hecho, se consideran bastante seguras. Pero si el sensor de las huellas no ofrece un mecanismo que impida que un atacante pueda tomar lectura de la impresión, el dispositivo que use el sensor quedará expuesto. El atacante puede falsificar el acceso por vía remota, o puede, si tiene posibilidad física de estar frente al equipo, imprimir la huella de la víctima en un papel y usarla como si fuera el dedo original. Un sensor inseguro aceptará la huella.
Cheng menciona, a modo de moraleja, que algunos fabricantes comprometen su marca y a sus clientes por 25 centavos.