00:00:00
No hace mucho publiqué un video sobre las pantallas de privacidad y lo importantes que son como
00:00:04
herramienta de privacidad para sus dispositivos, y mencioné cómo puede hacer que su lector de huellas digitales en la
00:00:10
pantalla funcione incluso con una pantalla de privacidad. Bueno, recibí muchos comentarios de personas
00:00:15
que preguntaban si el desbloqueo de huellas digitales es realmente seguro de usar en su dispositivo.
00:00:20
Por eso quería volver a abordar este tema para explicar cómo funcionan la mayoría de los lectores de huellas dactilares de los teléfonos
00:00:24
e investigar si deberías usarlos. La respuesta no va a ser la
00:00:29
misma para todos. Revisaré un montón de cosas diferentes a considerar,
00:00:32
incluidos los beneficios y ventajas del uso de datos biométricos,
00:00:35
y también intentaré comparar la seguridad del desbloqueo de huellas digitales con un PIN o contraseña.
00:00:41
Tenga en cuenta que la facilidad con la que estas cosas son de fuerza bruta
00:00:44
dependerá en realidad del dispositivo que tenga.
00:00:47
Con suerte, una vez que hayamos presentado mucha información, podrá decidir
00:00:51
por sí mismo si usar el lector de huellas digitales para desbloquear su dispositivo es adecuado para usted.
00:00:55
Comencemos por comprender cómo la mayoría de los teléfonos almacenan y protegen sus
00:01:00
datos biométricos cuando utiliza el desbloqueo por huella digital.
00:01:02
Cuando lo configures, el teléfono realizará una serie de escaneos de tu huella digital.
00:01:06
Algunos dispositivos usarán un escáner óptico, que es básicamente una cámara
00:01:10
que ilumina la pantalla hasta dejarla en blanco y captura una imagen de su huella digital,
00:01:13
y otros dispositivos pueden usar escáneres ultrasónicos, que crean un mapa 3D de la huella digital usando
00:01:19
ondas de sonido ultrasónicas, y Estos pueden funcionar mejor con los dedos sucios o mojados.
00:01:23
Estas impresiones generalmente se almacenan localmente y no se cargan en la nube. Apple utiliza algo llamado
00:01:29
enclave seguro, que cifra los datos de las huellas dactilares y los almacena en una parte aislada del
00:01:35
dispositivo, asegurando que el sistema operativo o cualquier aplicación no pueda acceder directamente a ellos.
00:01:40
Android utiliza un sistema llamado Trusted Execution Environment, o TEE, que también funciona convirtiendo
00:01:47
las huellas dactilares en datos cifrados y luego almacenándolos en una parte aislada de su teléfono.
00:01:51
Por lo tanto, el desbloqueo de huellas digitales es en realidad más privado de lo que muchas personas creen,
00:01:56
porque Google y Apple no recopilan su huella digital
00:01:59
como mucha gente piensa, sino que permanece localmente en su dispositivo.
00:02:03
Tanto Google como Apple informan que los datos de huellas dactilares nunca se almacenan en servidores ni se cargan
00:02:08
en la nube, lo que también significa que no hay ningún repositorio allí que pueda ser violado.
00:02:13
Entonces ¿deberías usarlo? Realmente depende de su modelo de amenaza,
00:02:16
su tolerancia a las molestias y su dispositivo en sí.
00:02:20
Considere esto: la mayoría de las personas en el mundo hiperconectado de hoy
00:02:23
desbloquearán su teléfono unas 100 veces al día, o aproximadamente cada 10 minutos.
00:02:29
En teoría, es posible que le guste la idea de una protección total para su teléfono:
00:02:34
guardarlo dentro de una bóveda cerrada, rodeado de láseres y requerir un PIN de 1000 dígitos para abrirlo.
00:02:48
Si su dispositivo es altamente específico, es posible que esté dispuesto a enfrentar
00:02:52
muchos inconvenientes para protegerlo. Pero si tienes un modelo de amenaza promedio,
00:02:57
tener que pasar por esto cada 10 minutos probablemente te hará gritar.
00:03:01
Muchas personas dejarán de utilizar medidas de privacidad y seguridad tan pronto como se conviertan en una carga.
00:03:07
Queremos encontrar soluciones sostenibles para nuestras vidas,
00:03:10
que cada uno de nosotros estemos dispuestos a hacer una y otra vez cada día.
00:03:14
Un lector de huellas es una de las formas más sencillas de bloquear nuestros dispositivos.
00:03:18
Casi el 2% de las personas no tiene ningún tipo de seguridad en su dispositivo.
00:03:22
Usar el desbloqueo por huella digital realmente no agregará ninguna carga adicional.
00:03:26
Simplemente coloca el dedo en el dispositivo y ya está.
00:03:29
Tenga en cuenta que el desbloqueo por huella digital no se puede usar solo, también deberá agregar un PIN al dispositivo,
00:03:34
pero solo necesitará usar el PIN después de reiniciar el dispositivo,
00:03:37
y durante todo el día solo usarás el desbloqueo por huella digital.
00:03:40
Además de la comodidad, otro beneficio del desbloqueo por huella digital es que nadie puede
00:03:44
navegar por ti cuando desbloqueas tu dispositivo y robar tu PIN.
00:03:48
En lugares concurridos, como bares, cines o conferencias, los ladrones suelen
00:03:53
observar a las personas introducir sus PIN en sus dispositivos y luego arrebatarles el teléfono.
00:03:57
Johnson, visto aquí en rojo,
00:03:59
apuntaría a personas dentro y alrededor de los bares para obtener sus teléfonos y sus contraseñas.
00:04:04
Sólo observo cómo lo introducen.
00:04:05
El ladrón puede vaciar su cuenta bancaria o acceder a otros datos confidenciales.
00:04:09
información en el dispositivo. Esto sucede con más frecuencia de lo que piensas. El
00:04:13
desbloqueo por huella digital es una forma más privada de abrir su teléfono en público.
00:04:17
Hay otras formas de mitigar esta amenaza además del desbloqueo de huellas dactilares:
00:04:21
puede usar una pantalla de privacidad para dificultar que cualquier persona a su alrededor vea su pantalla
00:04:25
y, si su teléfono lo permite, también puede codificar el
00:04:29
diseño del PIN del teléfono para que otros No puedo adivinar el PIN por los movimientos generales de tu mano.
00:04:35
Alternativamente, algunos teléfonos le permitirán usar una contraseña en su dispositivo,
00:04:40
lo que puede ser útil porque la distribución del teclado del teléfono será más difícil de leer que el teclado PIN,
00:04:45
que suele ser mucho más grande y ocupa toda la pantalla.
00:04:48
Una desventaja de usar el desbloqueo por huella digital es que la biometría es para siempre,
00:04:53
tus huellas digitales no son revocables.
00:04:55
Cuando olvide su contraseña, puede restablecerla; pero no se puede simplemente pedir un nuevo juego de
00:05:00
huellas dactilares. Entonces, si alguna vez se le solicita que proporcione sus huellas digitales en otro lugar y hay
00:05:04
una violación de datos, los atacantes también podrían usar esta información para ingresar a su teléfono.
00:05:09
En 2015, por ejemplo, en un hackeo del gobierno de EE. UU. se robaron 5,6 millones de huellas dactilares
00:05:14
de empleados federales, y en 2019
00:05:18
se descubrieron las huellas dactilares de más de un millón de personas en una base de datos de acceso público.
00:05:23
Además, los datos biométricos no son tan secretos como nos gustaría pensar. En 2014
00:05:28
hubo una presentación en la conferencia anual del Chaos Computer Club que mostraba
00:05:32
cómo se copió la huella digital de la entonces ministra de Defensa alemana, Ursula von der Leyen,
00:05:37
utilizando nada más que varias fotografías de cerca de sus manos y software disponible comercialmente.
00:05:43
Kraken publicó un vídeo en 2021 que muestra a la gente lo fácil que es usar una
00:05:48
foto de este tipo para crear un duplicado de la huella digital de alguien y desbloquear su dispositivo.
00:05:52
¿Qué tan buenas son las huellas dactilares falsas y fabricadas para abrir dispositivos?
00:05:56
En 2020, Cisco informó una tasa de éxito del 80% en el uso de huellas dactilares falsas para acceder a dispositivos,
00:06:02
donde los sensores se omitieron al menos una vez.
00:06:05
Tenga en cuenta que alguien que omita el desbloqueo de su huella digital sería
00:06:08
un ataque muy dirigido específicamente a usted.
00:06:12
Requiere que alguien obtenga una copia limpia de sus impresiones, ya sea de una foto o de
00:06:17
algo que haya tocado, duplique la impresión y luego obtenga acceso físico a su dispositivo.
00:06:23
Entonces, si bien las huellas digitales no son revocables, este tipo de ataque no está en el modelo de amenaza de la mayoría de las personas.
00:06:29
Así que ahora intentemos comparar la seguridad del desbloqueo de huellas digitales versus el uso de un PIN o contraseña,
00:06:35
y un buen lugar para comenzar es ver qué tan fácil es aplicar fuerza bruta a cada uno de ellos.
00:06:40
Este gráfico de los sistemas Hive sugiere que alguien podría
00:06:43
forzar de forma bruta un PIN corto inmediatamente utilizando la tecnología de descifrado moderna.
00:06:47
Pero esto puede no ser cierto para todos los dispositivos:
00:06:50
algunos teléfonos tienen incorporadas protecciones de fuerza bruta.
00:06:53
Los teléfonos Pixel parecen tener las mejores protecciones, usando algo llamado
00:06:57
chip Titan M2 que contiene un mecanismo de token Weaver, y lo que hacen estas herramientas es agregar
00:07:02
un retraso de tiempo a los sucesivos intentos de PIN para evitar ataques de fuerza bruta.
00:07:08
Después de cada intento de PIN incorrecto, un atacante tiene que esperar cada vez más para volver a intentarlo.
00:07:13
Esto significa que si tiene un dispositivo GrapheneOS o un Android que usa hardware Pixel,
00:07:18
un PIN aleatorio de 6 dígitos es suficiente para proteger su dispositivo.
00:07:23
El azar es la clave aquí: un PIN de 6 dígitos elegido por el usuario será más fácil de descifrar.
00:07:28
Hubo un estudio de hace muchos años que analizó todos los PIN filtrados
00:07:32
en filtraciones de datos, que incluían millones de contraseñas de 4 dígitos,
00:07:37
y el 18% usaba 1234, 1111 o 0000.
00:07:43
Resulta que es mucho más fácil adivinar el usuario. -PIN elegidos,
00:07:47
porque se siguen muchos patrones similares.
00:07:50
Además del hardware Pixel, existen otros dispositivos que también incluyen protecciones contra
00:07:54
ataques de fuerza bruta, como los iPhones modernos y algunos dispositivos Samsung.
00:07:59
Pero la funcionalidad de retardo que se encuentra en la mayoría de estos
00:08:02
otros dispositivos es más fácil de eludir que las protecciones que se encuentran en un teléfono Pixel.
00:08:06
Según documentos recientes de la empresa de análisis forense digital Cellebrite,
00:08:10
que extrae datos de dispositivos móviles para agencias policiales y de inteligencia,
00:08:15
el Pixel 6 y posteriores y los últimos iPhone son los únicos
00:08:18
Dispositivos donde en la práctica no se puede forzar un PIN aleatorio de 6 dígitos.
00:08:23
Por ejemplo, las protecciones de fuerza bruta de Samsung son aparentemente mucho
00:08:26
más débiles que las de los Pixel y iPhones modernos, y recientemente Cellebrite pudo
00:08:31
descifrar un teléfono Samsung de alto perfil para el FBI en 40 minutos.
00:08:35
404 media publicó estos documentos de Cellebrite si
00:08:38
quieres echar un vistazo y tener una idea de qué tan seguro es tu dispositivo.
00:08:42
Si bien estos ataques de fuerza bruta requerirán un cierto nivel de habilidad para llevarse a cabo,
00:08:46
lo que significa que probablemente serán ataques más dirigidos, esto significa que para tener una
00:08:51
seguridad sólida en la mayoría de los dispositivos se necesita un PIN o contraseña mucho más largo que Mucha gente se da cuenta.
00:08:58
Es otra razón más para amar los teléfonos GrapheneOS, ya que brindan seguridad sólida con solo un PIN de 6 dígitos.
00:09:05
Entonces, ¿cómo se compara el desbloqueo por huella digital con la seguridad mediante PIN y contraseña? Puede ser algo
00:09:10
difícil de juzgar y nuevamente dependerá de su dispositivo y del sistema operativo.
00:09:15
Una forma de comparar podría ser observar lo fácil que es adivinar un PIN corto aleatorio,
00:09:20
frente a la tasa de falsos positivos de una huella digital. No es una comparación perfecta, pero es un comienzo.
00:09:26
Comencemos con un PIN de 4 dígitos. Hay 10.000 combinaciones posibles en las que
00:09:30
se pueden organizar los dígitos del 0 al 9 para formar un código PIN de 4 dígitos.
00:09:35
Hay 100.000 combinaciones posibles para un PIN de 5 dígitos.
00:09:39
Según el experto en seguridad y criptografía Roel Peeters, la
00:09:43
tasa de falsos positivos en huellas dactilares se sitúa en algún punto intermedio, aproximadamente 1 entre 50.000.
00:09:49
Espera, pero ¿no se supone que las huellas dactilares son únicas
00:09:52
y la probabilidad de encontrar la misma huella dactilar es de 1 entre 64 mil millones?
00:09:56
Bueno, no es tan simple: primero,
00:09:58
los lectores de huellas digitales tienen una resolución de imagen más baja que las huellas digitales reales
00:10:03
y, además, los teléfonos usan algo llamado coincidencia difusa y tolerancia a errores.
00:10:08
Básicamente, como explica Peeters, no hay dos muestras de huellas dactilares de la misma persona que sean idénticas,
00:10:14
por lo que cuando escaneas tus huellas dactilares, el teléfono almacena una coincidencia "borrosa" para
00:10:19
adaptarse a estas ligeras diferencias. La coincidencia aproximada genera errores,
00:10:23
y uno de estos errores se conoce como tasa de aceptación falsa,
00:10:27
que mide la frecuencia con la que un usuario no válido obtiene acceso a su dispositivo.
00:10:32
Puede profundizar específicamente en los requisitos biométricos para
00:10:35
Android e iOS, pero aparentemente la mayoría de los sistemas biométricos se esfuerzan por alcanzar un FAR de aproximadamente 1 entre 50.000.
00:10:42
Por ejemplo, TouchID de Apple, ampliamente considerado como la principal
00:10:46
implementación de huellas dactilares, afirma tener una tasa de coincidencias falsas de 1 en 50.000, lo que significa una probabilidad de 1 en 50.000
00:10:53
de que el sistema biométrico conceda acceso por error a un usuario no autorizado.
00:10:58
Por eso, Peeters sostiene que el riesgo de fuerza bruta del desbloqueo de huellas dactilares se sitúa en algún punto
00:11:03
entre un PIN de 4 dígitos y un PIN de 5 dígitos. Pero nuevamente, no son del todo comparables,
00:11:08
porque la fuerza bruta de una huella digital requiere herramientas especiales y una forma de generar huellas dactilares
00:11:14
que serían aceptadas por el sensor. Pero encontramos que es una pauta útil que al menos
00:11:20
nos da una idea probabilística del riesgo de fuerza bruta, suponiendo que existan dichas herramientas.
00:11:26
Nuevamente, algunos dispositivos brindarán una mejor protección para el desbloqueo de huellas digitales que otros.
00:11:31
En GrapheneOS, puedes realizar 5 intentos de desbloqueo con huella digital antes de que te bloqueen. Pixel con
00:11:37
el sistema operativo Android estándar permitirá 20 intentos. Después de ese tiempo, se verá obligado a ingresar un PIN,
00:11:43
donde estará aún más protegido por la sólida función de retardo de tiempo de Pixel mencionada anteriormente.
00:11:47
Por lo tanto, poner la seguridad del desbloqueo por huella digital en algún lugar entre la de un
00:11:52
PIN de 4 y 5 dígitos es un indicador útil, pero si este sistema siempre vuelve a un desbloqueo por PIN,
00:11:58
entonces, en última instancia, la seguridad de su dispositivo realmente dependerá de
00:12:02
qué tan bien esté funcionando. El fabricante maneja la protección de fuerza bruta para ese PIN.
00:12:07
Otra consideración es qué tan sólido es su método de desbloqueo contra la coerción. La
00:12:12
forma más gráfica de coerción sería que alguien te cortara el dedo para usarlo.
00:12:17
Vaya.
00:12:18
Ok, este es un ataque realmente extremo. Pero independientemente, muchos teléfonos lo previenen.
00:12:24
Por ejemplo, los escáneres Touch ID de Apple utilizan condensadores avanzados que detectan las
00:12:29
señales eléctricas naturales de su cuerpo. Entonces un dedo muerto no funcionará.
00:12:34
¡Uf!
00:12:34
Otro nivel de coerción es que las personas te obliguen a desbloquear tu teléfono,
00:12:39
mientras tu dedo todavía está colocado. En teoría, es mucho más fácil hacer esto que obligar a alguien a
00:12:45
sacarse un código de la cabeza. Pero en la práctica, si alguien está siendo amenazado, es
00:12:51
tan probable que la mayoría de las personas le digan al atacante su PIN para evitar resultar herido, como que le permitan
00:12:57
usar su huella digital. Pero si se encuentra en una situación extrema y mantener ese PIN en secreto
00:13:02
es de suma importancia, ese será un mejor método de seguridad para usted que el desbloqueo por huella digital.
00:13:08
Una última forma de coerción a considerar es el cruce de fronteras internacionales.
00:13:12
Para ser honesto, el panorama legal en torno a esto es muy complicado, cambia constantemente
00:13:18
y también depende de dónde viaje.
00:13:20
En EE. UU., algunos tribunales consideran que los métodos de desbloqueo biométrico son similares a la evidencia física,
00:13:26
como una muestra de ADN, y son más permisivos con las autoridades que obligan a las personas a usar
00:13:31
su huella digital para desbloquear su dispositivo. y algunos tribunales han tratado los PIN y las contraseñas
00:13:36
de manera diferente, por lo general considerándolos más como evidencia testimonial,
00:13:41
donde estarían protegidos bajo la Quinta Enmienda.
00:13:44
En base a esto, podría considerar apagar sus dispositivos cuando viaje, porque esto significa que
00:13:49
incluso si tiene desbloqueo de huellas digitales en el dispositivo, se requerirá un PIN al volver a encenderlo.
00:13:55
Pero es muy importante recordar que estos fallos no son uniformes
00:14:00
y que las legalidades en torno a la coerción del PIN no se han resuelto.
00:14:03
Además de eso, la Oficina de Aduanas y Protección Fronteriza a menudo es conocida por su
00:14:07
aplicación agresiva de políticas fronterizas que a veces traspasan los límites legales.
00:14:11
Por ejemplo, recientemente un amigo mío se vio obligado a proporcionar su PIN y contraseñas en el
00:14:17
aeropuerto al ingresar desde Canadá y aparentemente ni siquiera se le permitió negarse y regresar a Canadá.
00:14:23
Institute for Justice hizo recientemente un excelente video sobre viajes DOMÉSTICOS, explicando qué
00:14:29
derechos tiene sobre sus pertenencias en esa situación, pero aun así advierten que
00:14:33
es arriesgado ignorar las autoridades y tener mucho cuidado al responder en tales situaciones.
00:14:40
Entonces, para resumir, ¿qué deberías elegir? ¿Pin o huella digital?
00:14:45
Como dijimos al principio, no hay una respuesta fácil y depende de su dispositivo,
00:14:50
su modelo de amenaza y su tolerancia a las molestias. Pero intentemos resumirlo todo.
00:14:55
La huella digital es muy conveniente y mucho mejor que ningún mecanismo de desbloqueo.
00:14:58
Un desbloqueo de huellas dactilares puede ser más seguro que un PIN de 4 dígitos, pero menos seguro que un PIN de 5 dígitos,
00:15:03
aunque esta es una herramienta muy aproximada para comparar, y realizar un
00:15:06
ataque de huellas dactilares es muy diferente a realizar un ataque de fuerza bruta con PIN.
00:15:10
Si tiene un dispositivo Pixel más nuevo o el último iPhone,
00:15:12
un PIN de 6 dígitos será suficiente contra intentos de fuerza bruta.
00:15:16
Las huellas dactilares son más seguras contra quienes practican surf desde el hombro. Si opta por un PIN, utilice una pantalla de privacidad para
00:15:21
protegerse y, si su dispositivo lo ofrece, considere codificar el diseño del PIN.
00:15:25
Alternativamente, será más difícil
00:15:27
que otra persona te vea escribir una contraseña si está navegando.
00:15:30
Si es candidato a un ataque altamente dirigido en el que alguien podría tomarse la molestia
00:15:34
de reproducir sus huellas dactilares, probablemente debería optar por un
00:15:38
PIN o contraseña largo y aleatorio, o un PIN de 6 dígitos si está utilizando un Pixel más nuevo o el último iPhone.
00:15:45
*suspiro de alivio*
Las huellas dactilares se parecen más a nombres de usuario que a contraseñas. Son únicos,
00:15:49
estáticos e identificables como pertenecientes a usted. Pero la seguridad mediante huellas dactilares es muy conveniente
00:15:56
y, para muchas personas, no debería descartarse como opción. Estamos constantemente desbloqueando nuestros teléfonos
00:16:01
durante todo el día. Así que elija algo que sea sostenible para usted y que esté justificado por
00:16:07
su modelo de amenaza; de lo contrario, podría volverse loco. No existe una respuesta perfecta
00:16:12
cuando se trata de seguridad telefónica, así que tome una decisión basada en su contexto particular
00:16:17
y, con suerte, esta información le será útil para tomar esa decisión.
00:16:20
Si fue útil, considere apoyar nuestra investigación. NBTV es una organización sin fines de lucro que
00:16:25
crea material educativo gratuito para ayudar a cambiar la cultura en torno a
00:16:29
la privacidad. Considere visitar NBTV.media/support para configurar una donación mensual deducible de impuestos.
00:16:35
Y no olvides visitar nuestra tienda de productos para encontrar camisetas geniales como
00:16:38
esta. Mira ese ojo descarado. Si te gustan las camisetas,
00:16:42
déjame saber cuáles son tus favoritas. ¡Esa retroalimentación es realmente muy útil!
00:16:46
¡Dadadadada!
