Usaron las fotos públicas de sus dedos, reconstruyeron luego toda la huella con la ayuda de un software comercial, lo imprimieron en látex y funcionó. Lo hacen para cuestionar la seguridad de los sistemas de identificación biométricos.
En septiembre de 2013, unos meses después de que Edward Snowden revelara el sistema de espionaje global encabezado por Estados Unidos, el hacker alemán Jan Krissler decía al periódico Die Zeit que confiaba más en las contraseñas como método de seguridad que en la huellas digitales: “La contraseña está en mi cabeza, y si soy cuidadoso cuando escribo, siempre seré el único que la conoce.” Entonces acababa de probar cómo vulnerar el sistema de identificación biométrico del IPhone 5, considerado uno de los más seguros.
La semana pasada terminó de dar el golpe de gracia al mecanismo de autenticación por huellas cuando contó a cientos de personas en el Congreso anual del Chaos Computer Club (CCC), una red de hackers que se define como la más grande de Europa, que logró clonar en pocos minutos la impresión de los dedos de la ministro de Defensa de su país, Ursula von der Leyen, a partir de una serie de imágenes de una conferencia de prensa que dio en octubre.
No hay ningún mecanismo de seguridad infalible. Sin embargo, pocos se ponen a pensar el nivel de exposición al que están sometidos. Basta mencionar que el sistema de identificación considerado menos franqueable hasta el momento, la autenticación por datos biométricos, puede ser sencillamente vulnerado con una fotografía tomada con “cualquier cámara estándar”. Así lo aseguró Krissler, que es conocido en la comunidad hacker como Starbug.
Según su relato, Starbug logró recortar una buena imagen ampliada del pulgar de la ministro a partir de una serie de fotos de una conferencia de prensa. Algunas fueron recolectadas de distintos medios y otras incluso fueron suministradas por la propia oficina de la funcionaria. Con esa variedad de ángulos, logró regenerar su huella completa con la ayuda de un software de uso comercial llamado “verifinger”. Luego sólo tuvo que imprimirla en látex.
Así de sencillo como se lee logró superar uno de los niveles de verificación de identidad más avanzado de estos tiempos. “Los políticos ahora tendrán que usar guantes durante sus apariciones públicas”, desafió el hacker, y se ganó los aplausos de todo el Centro de Congresos de Hamburgo.
Starbug mostró públicamente el mecanismo con una foto suya tomada con una cámara amateur en la que aparece saludando. De allí hizo un zoom al dedo índice y con un software editor de imágenes de venta libre logró extraer la huella, la imprimió y luego enseñó en vivo cómo vulneró el sistema de identificación biométrica de su propia laptop.
Hace poco más de un año había hecho lo mismo con el verificador del Iphone 5 pero, en aquel momento, había escaneado la impresión de la huella que quedaba en la pantalla del celular al posar el dedo. La diferencia entre aquel ejercicio y el nuevo es que aquí no necesitó ningún soporte físico donde la huella quedara impresa. Apenas bastó con una imagen digital.
Si bien el sistema de identificación por datos biométricos se remonta a fines del siglo XIX, recién fue a fines del XX que las agencias de seguridad de ciertos países comenzaron a utilizarlo de manera masiva. Estados Unidos y algunos países europeos se pusieron a la cabeza y, hace poco Argentina se sumó a ellos cuando implementó el Sistema Federal de Identificación Biométrica para la Seguridad (SIBIOS).
Starbug, que es un activista informático que milita contra la implementación de ese sistema, mostró su falibilidad por primera vez hace doce años. Entonces Estados Unidos presionaba a la Unión Europea para que incorporen datos biométricos en los pasaportes de sus habitantes. Él, junto a otra hacker cuyo sobrenombre es Lisa, probó que podía clonarse una huella mediante una técnica que incluía polvo de grafito y una cinta adhesiva.
Un año después, en otro Congreso de la CCC, incorporaron la digitalización como parte del proceso y el pasaje a látex. En ese momento comenzaron a escanear la impronta de la huella que quedaba en la cinta adhesiva.
Su lucha contra el sistema de identificación dactilar continuó y, en 2008, volvió a los titulares de los diarios cuando hizo pública la huella del entonces ministro del Interior (y actual ministro de Economía) Wolfgang Schäuble. Según contó en ese momento, habían clonado la huella impresa en un vaso de agua que había utilizado en una charla que había dado en una universidad un año antes. Con el pasar del tiempo y los desarrollos tecnológicos Starbug continuó perfeccionando el mecanismo e ideando formas más sencillas hasta hoy.
Starbug también probó lo sencillo que puede ser superar un testeo de identificación de rostro o de iris. Además, según el hacker, interviniendo uno de los celulares inteligentes que poseen cámaras frontales pueden obtenerse selfies del usuario cuando introduce su PIN y luego leerse la combinación en el reflejo de su pupila. «
Una red en el mundo
El Chaos Computer Club (CCC) es una red de hackers creada en 1981 en Alemania y considerada una de las más grandes e influyentes en temas vinculados a la seguridad y la privacidad informática. Está integrada por 4500 personas que se organizan en 25 grupos regionales de activistas distribuidos por los distintos países de habla alemana. El año de su fundación ganaron notoriedad por mostrar la fragilidad de un sistema informático utilizado por el correo alemán y lograr que un banco de Hamburgo les transfiera a su cuenta 134 mil marcos (el equivalente a 67 mil euros actuales). Ellos mismos anunciaron el hecho al día siguiente y devolvieron el importe. En 2011 denunciaron al gobierno teutón por el diseño y la difusión de un virus troyano que permitía espiar a sus ciudadanos a través de sus computadoras. El Ministerio del Interior negó haber utilizado el sistema pero no rechazó haberlo vendido a otros estados. Desde 1984 organiza anualmente los Chaos Communication Congress (Congreso de la Comunicación Caótica).
Fuente: Tiempo Argentino