Apple afirma que el Face ID y el Touch ID son seguros y, en
general, eso es cierto. Es extremadamente improbable que una persona al
azar pueda desbloquear tu teléfono. Pero ese no es el único tipo de ataque existente. Vamos a cavar un poco más profundo.
Aunque utilizan diferentes métodos de autenticación
biométrica, el Face ID y el Touch ID son muy similares bajo el capó. Cuando
intentas iniciar sesión en tu iPhone -ya sea mirando a la cámara al frente o
poniendo el dedo en el sensor táctil- el teléfono compara los datos biométricos
que detecta con los datos guardados. Si la cara o la
huella digital coinciden, el iPhone se desbloquea. Si no es así, se le pedirá
que introduzca su código de acceso. Si bien todo esto suena bien sobre el
papel, ¿es seguro?
Face ID y Touch ID son generalmente seguros
En general, Touch ID y Face ID son seguros. Apple afirma que
hay una probabilidad de 1 en 50.000 de que la huella dactilar de otra persona
desbloquee falsamente tu iPhone y una probabilidad de 1 en 1.000.000 de que la
cara de otra persona lo haga. Hay una probabilidad de 1 en 10,000 de que
alguien pueda adivinar una clave de cuatro dígitos y una probabilidad de 1 en
1,000,000 de que pueda adivinar tu clave de seis dígitos (y tienen tres
intentos antes de ser bloqueados). Eso debería poner las cosas en perspectiva.
La posibilidad de que alguien pueda coger o robar tu
teléfono al azar y luego desbloquearlo usando su huella digital, su cara o
incluso adivinando tu código de acceso es increíblemente pequeña.
La única advertencia es que los gemelos o hermanos idénticos
que se ven muy similares son más propensos a crear un falso positivo. En ese
caso, existe la posibilidad de que tu hermano pueda desbloquear el teléfono con
el Face ID. Sin embargo, los gemelos idénticos sólo representan el 0,003% de la
población, por lo que no es un riesgo que se aplique a muchos. Si esto es algo
que te preocupa, puedes desactivar el Face ID y utilizar una contraseña segura.
Pero, protegerse contra este tipo de intrusión casual no es
lo único de lo que hay que preocuparse.
Face ID y Touch ID podrían ser vulnerables a ataques dirigidos
Si bien es casi seguro que ningún extraño al azar podrá
entrar en tu teléfono, si eres víctima de un ataque dirigido, las cosas
podrían ser un poco diferentes.
Tanto el Touch ID como el Face ID son completamente
vulnerables si alguien puede obligarte a iniciar sesión, ya sea presionando con
el dedo contra el sensor (incluso cuando estás dormido) o haciéndote mirar el
teléfono. Y esos dos tipos de ataques son mucho más fáciles de llevar a cabo
que obligar a alguien a entregar su código de acceso.
¿Y qué hay de las huellas dactilares falsas? Bueno, Touch ID
ha sido hackeado con éxito. Los investigadores han podido utilizar huellas
dactilares falsas para desbloquear dispositivos protegidos con Touch ID. Básicamente, lo que los atacantes necesitan es una copia
completa de alta resolución y no manchada de su huella digital, así como miles
de dólares en equipos. En teoría, alguien que esté realmente determinado
probablemente podría entrar en tu teléfono de esta manera, posiblemente incluso
a partir de una foto de tu huella dactilar. La cosa es, los datos en los iPhones
de la gran mayoría de la gente por ahí simplemente no vale la pena el costo y
las molestias de este tipo de ataque.
Además, si tienes datos tan sensibles o valiosos, es probable
que estés tomando medidas adicionales para proteger esa información. Este no es
el tipo de cosas que se pueden hacer rápidamente a extraños al azar.
El Face ID aún no ha sido pirateado, pero de forma realista,
probablemente terminará siendo susceptible al mismo tipo de ataques que el
Touch ID. Wired gastó varios miles de dólares intentando hacerlo y falló, pero
eso no significa que no se pueda hacer. El iPhone X sólo ha salido hace unos
meses, así que veremos cómo será la situación en un año o dos.
Todo se reduce a uno de los tópicos de seguridad. Ningún
método de autenticación resistirá jamás a un atacante lo suficientemente
determinado. Siempre hay fallas que se pueden usar; sólo es cuestión de lo
fácil que sea aprovecharse de ellas.
Nada te protege del gobierno
Ninguna tipo de seguridad puede protegerte realmente de
una determinada agencia gubernamental, ya sea de EE.UU. o de cualquier otra
parte, con recursos esencialmente ilimitados y un deseo de entrar en tu
teléfono. No sólo pueden obligarte legalmente a usar Touch ID o Face ID para
desbloquear el teléfono, sino que también tienen acceso a herramientas como
GreyKey. GreyKey supuestamente puede descifrar cualquier contraseña de
dispositivos iOS, lo que hace que Touch ID y Face ID sean inútiles. Apple
trabaja duro para cerrar las vulnerabilidades de dispositivos como este
exploit, pero la gente que espera un día de pago trabaja igual de duro para
abrir otros nuevos.
Touch ID y Face ID son increíblemente efectivos y, son seguros
para el uso diario de casi todo el mundo. Sin embargo, si eres el blanco de
un hacker o de una agencia gubernamental, es posible que no te protejan por mucho tiempo.