Tu teléfono con lector de huellas no es perfecto: también se puede hackear

Por desgracia, Android es uno de los principales objetivos de los ciberatacantes. Sencillamente, porque es el sistema operativo más utilizado. Y si tienes un modelo con lector de huellas integrado, mucho nos tememos que no es un método infalible contra los hackers.

Han sido los compañeros de MovilZona los que se han hecho eco de un informe realizado por investigadores de Tencent Labs y la Universidad de Zhejiang, que han descubierto una vulnerabilidad en Android llamada BrutePrint y que permite saltarse la autenticación biométrica de huellas dactilares y tomar el control del teléfono mediante un sistema de fuerza bruta.

Cuidado: pueden forzar la autenticación del lector de huellas en tu móvil

Por si no sabes qué es un ataque de fuerza bruta, es un tipo de ataque informático en el que se ataca al sistema constantemente hasta acertar. Por ejemplo, un ataque de fuerza bruta en una contraseña consiste en ir probando combinaciones de forma indefinida para conseguir acceder.

Y los investigadores mencionados han demostrado que se puede desbloquear un teléfono actual con lector de huellas dactilares aprovechando dos vulnerabilidades de día cero llamadas «Cancel-After-Match-Fail» (CAMF) y «Match-After-Lock» (MAL).

En dicho estudio, revelan que el registro de la huella dactilar que se hace al usuario no está debidamente protegido, por lo que mediante un ataque de fuerza bruta se consigue una “huella dactilar virtual” que se puede usar para desbloquear el teléfono.

La idea de BrutePrint es muy inteligente: saturar un teléfono con todo tipo de huellas dactilares hasta que el smartphone reconozca algún patrón que coincida con la huella real del usuario y permitir el acceso.

Es cierto que este ataque necesita acceso físico al teléfono, y se ha de conectar a una base de datos con las huellas dactilares preguardadas, pero sigue siendo un gran peligro.

Ten en cuenta que este método tiene muchos usos: desde cuerpos de seguridad que podrán acceder a cualquier dispositivo, pasando por ciberdelincuentes que podrán ir desbloqueando teléfonos robados para acceder a tus datos personales, incluidas claves bancarias…

Aunque no han revelado los modelos, estos investigadores probaron este sistema BrutePrint en dispositivos con Android y HarmonyOS ( el sistema operativo que usa Huawei), y consiguieron acceder, demostrando que este tipo de ataque servía.

¿Y qué pasa con los iPhone? Pues que iOS solo permite diez intentos antes de bloquear el sistema, por lo que es mejor en términos de seguridad. Así que, si tienes un teléfono Android con lector de huellas dactilares, cuidado a quién se lo dejas...