Son muchas personas las que optan por desbloquear sus móviles o abrir aplicaciones con la huella dactilar e incluso con una imagen de su cara en el caso de los iPhone. Teniendo en cuenta que los datos biométricos son especialmente sensibles, ¿cómo se almacenan? ¿Se quedan sólo en nuestro móvil o pueden las empresas acceder a ellos? Ante todas estas preguntas, os adelantamos que las empresas no pueden usarlos o compartirlos.
La principal diferencia a la hora de usar como contraseña un patrón o un código numérico frente a un dato biométrico está en que este no se puede modificar o manipular: tu huella dactilar no es igual que la de ninguna otra persona en el mundo y un escáner de tu cara analizado con un software preciso no debería identificar a otra persona. De ahí que las empresas tengan que tomar medidas de seguridad extra para almacenarlo si lo usan.
“En el caso de los teléfonos móviles, este almacenamiento se hace de manera local (es decir, no se sube a la nube y cuando cambiamos de terminal debemos volver a registrar la huella o la cara) y generalmente en un almacenamiento independiente de la memoria principal del teléfono”, nos explica Carlos Tomás, fundador de la empresa de criptografía Enigmedia, quien además nos ha prestado sus superpoderes como maldito.
Una "cajita de seguridad" en el dispositivo para guardar la información
Cada sistema operativo tiene su propia “cajita de seguridad” para guardar esta información de manera que no se pueda acceder a ella. En lo que coinciden es que se basan en un sistema de almacenamiento independiente al resto de los que componen el dispositivo (por ejemplo, donde se guardan y ejecutan las aplicaciones que descargamos). Cada vez que usamos nuestra huella dactilar para desbloquear la pantalla o confirmar una operación en una aplicación, el sistema del móvil consulta esa cajita para confirmar que los datos que estamos dando se corresponden con el modelo que está guardado en ella.
Este es también el motivo, según nuestra maldita auditora de sistemas, Paula González, por el que al apagar y volver a encender un teléfono, antes de permitirnos desbloquear nada con la huella o la cara nos piden que introduzcamos la contraseña del móvil que tengamos configurada: para que acceda primero al chip donde se guardan los datos.
En el caso de Apple, Tomás explica que para proteger este tipo de datos usan un coprocesador informático (un segundo procesador complementario al principal del móvil) al que no se podría acceder ni siquiera si se infectara el propio teléfono con un malware o una aplicación maliciosa. El sistema se llama Secure Enclave y se utiliza tanto en iPhones como iPads e incluso en los relojes inteligentes de la firma, los Apple Watch. En ese sistema se guarda un modelo de nuestros datos cifrados.
González precisa que en el caso de los iPhone también se puede configurar qué aplicaciones permitimos que “consulten” esos datos y cuáles no: “Los mecanismos que se utilizan son tales que cuando se consulta realmente lo que se hace es pasar el dato que quieres comprobar por un algoritmo y comprobar el resultado con el que hay almacenado. Si coinciden, es que es el mismo dato y si no, es distinto”.
En el caso de Android, el almacenamiento de estos datos se realiza en el Trusted Execution Environment (TEE), que una vez más se trata de un chip aislado del resto de hardware del dispositivo. En este caso, no solo se utiliza para guardar información sobre nuestras huellas dactilares o nuestros rasgos faciales, sino también la que tiene que ver con pagos móviles. Dentro de este procesador, toda la información está cifrada y ni siquiera cuando el móvil “pide información” para realizar algunas tareas puede ver lo que hay guardado en él.
“De esta manera, tanto en Apple como en Android, las aplicaciones que usan datos biométricos no acceden directamente a estos sino que se ejecuta a través de una API y las apps reciben un OK o un KO (no OK) por parte de la ejecución confiable para que no puedan ser robados”, concluye Tomás.
En este artículo han colaborado con sus superpoderes l@s maldit@s Carlos Tomás y Paula González.
Gracias a vuestros superpoderes, conocimientos y experiencia podemos luchar más y mejor contra la mentira. La comunidad de Maldita.es sois imprescindibles para parar la desinformación. Ayúdanos en esta batalla: mándanos los bulos que te lleguen a nuestro servicio de Whatsapp, préstanos tus superpoderes, difunde nuestros desmentidos y hazte Embajador.