Las películas policiacas nos han enseñado que, con el simple rastro de una bala se puede dar con el arma específica que la disparó y, por tanto con el malhechor. La Universidad de Buffalo en Nueva York ha desarrollado una tecnología similar, esta vez para rastrear una foto hasta el teléfono concreto que la tomó. Aunque todas parezcan idénticas, lo cierto es que la cámara de nuestro ‘smartphone’ tiene pequeños defectos microscópicos que la hacen distinta al resto de dispositivos.
Se trata, en definitiva, de una especie de huella digital que podría ayudar a encontrar a ciberdelincuentes pero que, sobre todo, podría mejorar la seguridad de nuestros teléfonos móvil. Este avance podría emplearse en la autentificación del usuario, sustituyendo a las clásicas contraseñas o incluso a los modernos métodos de huella dactilar o Face ID.
“Al igual que los copos de nieve, no hay dos teléfonos inteligentes iguales. Cada dispositivo, independientemente del fabricante o marca, se puede identificar a través de un patrón de defectos microscópicos presente en cada imagen que toma la cámara”, explica Kui Ren, autor principal del estudio. Su equipo ha desarrollado un sistema de autentificación de teléfonos inteligentes basados en el ‘hardware’ del mismo, concretamente en la cámara: en ella siempre existen diminutos desperfectos de fábrica que hacen que nuestro móvil tenga su propia huella digital impresa en las fotos que tomamos.
Esta tecnología aún no está disponible para el público, pero se presentará en febrero de 2018 en una conferencia de seguridad en California. No obstante, las expectativas ya son altas, ya que en las pruebas realizadas con más de 16.000 imágenes capturadas por 30 iPhone 6s y una decena de Galaxy Note 5s, el resultado ha sido de un 99,5 % de acierto. Los datos no solo suponen una gran noticia para la policía cibernética, sino un gran paso en los métodos de autentificación.
No en vano, podrían sustituir al mundo de las contraseñas, especialmente para transacciones económicas, donde los clientes sólo tendrían que sacar el móvil y hacer una foto delante de la caja registradora, en cajeros automáticos o cuando hagan compras en línea. Se trataría de una forma más efectiva de evitar que los ciberdelincuentes que hayan robado tu información personal, puedan utilizarla para realizar compras a tu nombre desde otros dispositivos distintos al nuestro.
Cada cámara de móvil es única
Este estudio realizado por la Universidad de Buffalo se ha centrado en analizar un defecto imperceptible para el ojo humano en la imagen digital llamado “foto-respuesta de no uniformidad” (PRNU). Aunque las cámaras digitales están diseñadas para ser idénticas, existen pequeñas imperfecciones de fabricaciones que crean variaciones en los sensores de la cámara.
Estas variaciones pueden provocar que algunos de los millones de píxeles que componen los sensores de la cámara proyecten colores ligeramente más brillantes o más oscuros de lo que en realidad deberían ser. Esto no es perceptible para el ojo humano, pero esa “no uniformidad” presente en todas las fotos que tomamos sigue un mismo patrón, llamado “patrón de ruido”. A través de filtros especiales, este puede ser detectado y otorgar a cada cámara una singularidad única.
Este tipo de análisis de PRNU en cámaras digitales convencionales es habitual en la ciencia forense digital. Por ejemplo, para autentificar una prueba fotográfica en un juicio o para resolver demandas por derechos de autor en las que estén involucradas fotografías. Pero hasta el momento, para extraer dicho patrón era necesarios disponer de 50 fotografías, por lo que no se contemplaba como una opción de seguridad cibernética.
De hecho, ni siquiera era especialmente útil en los procesos judiciales, ya que los delincuentes más astutos pueden falsificar el patrón analizando las imágenes tomadas por la víctima a través de su cámara digital y publicadas en sitios web no seguros. Sin embargo, el sensor de imagen de un teléfono inteligente es mucho más pequeño que el de una cámara digital convencional y eso cambia sustancialmente las cosas. Al fin y al cabo, esa reducción amplifica la falta de uniformidad dimensional de los píxeles y genera una PRNU mucho más fuerte y reconocible. Ren y su equipo han logrado un sistema de autentificación que solo necesita de una foto hecha por una cámara de ‘smartphone’, en lugar de las 50 tomas que eran requeridas para hacer el análisis forense digital.
Un sistema a prueba de ataques
Para evitar falsificaciones Ren ha diseñado un protocolo que detecta y que detiene varios tipos de ataques. Para empezar, un usuario que se registra en una plataforma, ya sea un banco o una empresa, debe proporcionar una foto que sirva de referencia. El patrón de ruido, es decir, la huella digital del móvil, quedaría registrada en dicha plataforma.
Después, cuando el cliente quiera iniciar una transacción, la plataforma deberá pedirle (probablemente a través de una aplicación) que fotografíe dos códigos QR presentados en el cajero automático, caja registradora u otro tipo de pantalla.
A través de la aplicación, el usuario envía dicha fotografía a la entidad bancaria o empresa y esta escanea la toma para analizar la PRNU del teléfono inteligente. Aquí el interlocutor puede detectar una falsificación porque la PRNU de la cámara del atacante es distinta. Aún así los ciberdelincuentes más expertos podrían eliminar la PRNU de su dispositivo, por lo Ren ha decidido incluir en los códigos QR una señal de sonda que se verá debilitada si existe tal proceso de eliminación, y por lo tanto detectar el fraude.
Según Ren y su equipo, este sistema de autentificación podría acabar con algunas de las tácticas más comunes por este tipo de ciberdelincuentes, como la falsificación de huellas dactilares o los ataques de repetición. Sin embargo, aún es un sistema que tiene matices por pulir, ya que se trata de otorgar demasiada responsabilidad al ‘hardware’ del móvil, lo que podría ponernos en un aprieto en caso de que lo perdamos o nos lo roben físicamente. En cualquier caso, los ataques de los hackers son evitables contando con la protección adecuada, como la que brinda una herramienta como Vodafone Secure Net, que te permite navegar con seguridad, siempre que estés conectado a la red Vodafone, protegiéndote a ti y a los tuyos de cualquier tipo de ciberataque o robo de identidad.
Con información de Universidad de Buffalo y Digital Trends. Imágenes de Pixabay (1, 2, 3, y 4)
Más historias sobre el inquietante mundo cibernético:
– Diez historias reales que parecen episodios de ‘Black Mirror’
– De WannaCry al robo masivo de contraseñas de Uber: las malas noticias de la ciberseguridad en 2017
– ‘Hackers’ españoles engañan a Tinder para seguir los pasos de cualquier usuario
– Así roban tus contraseñas los ciberdelincuentes para venderlas en el mercado negro
La entrada Tus fotos contienen pistas microscópicas que llevan hasta tu móvil se publicó primero en Cooking Ideas.