¿Deberías usar Bloqueos Biométricos en tus Dispositivos?

La semana pasada estuve considerando comprar una cerradura de puerta basada en huellas dactilares. No estaba conectado a la nube ni era “inteligente” ni nada por el estilo, y finalmente decidí que $ 200 era demasiado para gastar en un capricho, pero lo miré y leí la caja durante bastante tiempo. Cuando le dije esto a varios amigos y familiares, todos parecían anonadados de que incluso considerara una cerradura electrónica. A decir verdad, sé abrir cerraduras, así que soy dolorosamente consciente de lo extremadamente insegura que es mi cerradura de cilindro tradicional. Pasé muchas horas pensando en la mejor solución con el equilibrio adecuado de riesgo y recompensa.

El hecho es que, al igual que las cerraduras de cilindro, nuestras cerraduras digitales comunes (también conocidas como contraseñas) apestan. Son difíciles de recordar. Si puedes recordarlos, son demasiado débiles. Si no puedes, estás depositando tu confianza en que un administrador de contraseñas no sea pirateado o dañado. Además, no tienes ninguna garantía real de seguridad. Mi pareja puede iniciar sesión en esta cuenta y publicar un blog con la misma facilidad que yo, siempre que tenga mi contraseña y cualquier dispositivo multifactor. Como tal, muchos expertos en seguridad cibernética en realidad recomiendan bloqueos biométricos como huellas dactilares, escaneo facial o escaneo de retina. Hay una razón por la que eran tan populares en las películas de espías de los 90. Y honestamente, no está mal. Pero también hay una gran cantidad de estudios y pruebas que demuestran que no están exentos de riesgos. Así que esta semana pensé que este podría ser un buen tema para abordar.

¿Qué es una Cerradura Biométrica?

Para aquellos que no lo han descubierto basándose en pistas de contexto, un candado biométrico es un candado que solo se abre cuando confirma tu identidad biológicamente: la huella digital, el escaneo facial y el iris son algunos de los más comunes. Casi todos los teléfonos modernos vienen con esta capacidad.

A primera vista, una cerradura biométrica es indiscutiblemente más segura. Un ingeniero social puede adivinar mi contraseña o preguntas de seguridad (a menos que esté utilizando las técnicas que recomiendo en mi sitio web) y, de manera similar, un atacante puede robar mi contraseña y descifrarla utilizando rainbow tables y fuerza bruta. Pero, ¿cuáles son las probabilidades de que un hacker malicioso o un ingeniero social pueda cortarme el dedo o copiar mi huella digital? Claro, es posible. Una vez más, hago referencia a las películas de espías de los 90. Pero eso es algo relativamente avanzado, incluso para los estándares actuales, y honestamente, esto se reduce al modelo de amenazas. He dicho antes que este sitio web no está diseñado para el whistleblower del nivel de Snowden que necesita desaparecer. Es para la persona promedio que solo quiere recuperar algo de privacidad y seguridad. Las probabilidades de que alguien pase por ese tipo de obstáculos para tener en sus manos tu identidad biométrica son casi inexistentes. Habiendo dicho eso, te animo a que te preguntes cuáles son las probabilidades de eso. Incluso si no eres periodista, es posible que tengas un acosador realmente motivado que llegaría a esos extremos.

##No Todos los Datos Biométricos son Iguales

A pesar de lo que dije hace un momento, no todos los datos biométricos son iguales cuando se trata de qué tan bien pueden protegerte. Ni siquiera estoy hablando de artículos de clics-bait que hablan sobre cómo se puede desbloquear el iPhone en menos de dos minutos apuntándolo a la cara del propietario dormido.

Es importante tener en cuenta que, literalmente, todo es pirateable y descubrir que cualquier sistema puede ser pirateado mediante el uso de doce Androids, una aplicación casera y el acceso directo al dispositivo de un usuario es una obviedad. Es una versión de la vida real del teorema del mono infinito (excepto que es mucho más probable). Cualquiera con suficiente tiempo y recursos puede hackear cualquier cosa.

No, no estoy hablando de hacks teóricos y exploits avanzados. Estoy hablando de amenazas reales y legítimas que podrían plantearse al usuario promedio. Considere esta historia sobre una mujer que desbloqueó el teléfono de su esposo mientras dormía a través de su escaneo de huellas dactilares y descubrió que estaba engañando. O este clip de la comedia Brooklyn Nine-Nine donde un personaje desbloquea el teléfono de otro simplemente apuntando la cámara hacia su cara. Ahora debería ser evidente que no estoy respaldando ni fomentando el engaño o cualquier tipo de actividad ilegal o poco ética. Pero supongamos que mi pareja desbloquea mi teléfono mientras estoy durmiendo la siesta y ve lo que le voy a regalar para Navidad. Hay muchas razones legitimas y válidas por las que deseas controlar quién tiene acceso a tu dispositivo. Si eres padre y tienes niños pequeños, ¿quieres que cualquier persona pueda levantar su teléfono y mirar fotos de tus hijos o mensajes de texto con ellos? Entiendo que, en un mundo ideal, mantendrías un control completo de tu dispositivo, pero esto no siempre es posible. Las personas cometen errores y dejan cosas tiradas en sus escritorios mientras corren al baño. Yo dejo mi teléfono enchufado en otra habitación para cargarlo durante la noche. O incluso en el trabajo a veces lo dejo enchufado en un tomacorriente mientras trabajo en otro lugar alejado.

Entonces, ¿debería usar la biometría?

Esta es una pregunta con la que he luchado durante un tiempo. La respuesta es que no lo sé. En primer lugar, depende de tu modelo de amenaza. Creo que mi modelo de amenaza es muy bajo. No creo que nadie se tome la molestia de levantar mi mano y hacer una copia de goma de mis huellas dactilares. Por otro lado, soy políticamente activo y no me sentiría cómodo con el bloqueo facial porque sé que si alguna vez me detienen, un policía podría simplemente mostrarme el teléfono en la cara para desbloquearlo. Entonces, personalmente, me siento cómodo con el bloqueo de huellas dactilares. Pero luego está la cuestión de quién tiene acceso a mis datos biométricos y qué están haciendo con ellos. Yo uso un iPhone. Apple afirma que nunca tienen una copia de mi huella digital y que lo que almacenan es simplemente una firma digital, algo así como un hash de contraseña. Sin embargo, Apple también ha afirmado que no tienen humanos que escuchen las grabaciones de Siri, lo que resultó ser una mentira, así que no sé cuánto confío en ellos. ¿Usaría datos biométricos como huellas dactilares en una la cerradura desconectada de internet que mencioné anteriormente? ¿o en una computadora portátil que uso para copias de seguridad? Probablemente.

Ojalá pudiera dar una respuesta más concreta. Por lo general, al menos puedo decir “esto es lo que haría yo, pero tú haz lo que quieras”. En este caso, no creo que eso se aplique. Hay demasiadas variables. Pero tantas personas en la comunidad de la privacidad se oponen a la biometría (y a menudo por una buena razón) que quería discutirlas con mayor profundidad. Como ocurre con casi toda la tecnología, la identificación biométrica no es mala. Quién la usa, cómo y qué hacen con los datos, puede serlo. Independientemente de la protección que elijas para tus dispositivos, ya sea contraseña, PIN o bloqueo biométrico, asegúrate de haber investigado. Conoce las carencias tanto tecnológicas como prácticas y legales. Ten presentes cuáles son los riesgos y los beneficios, conoce la empresa y cómo se financia, y lo más importante, asegúrate de que sea segura. La huella digital es indiscutiblemente más segura que un PIN de teléfono “0000”. Pero una frase de contraseña alfanumérica de 16 caracteres puede ser más segura que una impresión facial si eres una celebridad. Al igual que con muchas cosas de las que hablo, no hay una talla única para todos, solo educación para que puedas decidir qué talla necesitas.

Puede encontrar más servicios y programas recomendados en TheNewOil.org. También puedes recibir actualizaciones diarias de noticias sobre privacidad en @thenewoil@freeradical.zone o apoyar mi trabajo de diversas maneras aquí. Puedes apoyar estas traducciones con Monero.