La noticia sobre el ciberataque a la Oficina de Gestión del Personal (OPM, por sus siglas en inglés)—el departamento de recursos del gobierno estadunidense— y al Departamento de Interior cada vez se pone peor. Además de haber obtenido la información personal de más de 20 millones de empleados federales, ahora sabemos que los hackers robaron archivos de huellas digitales de 5.6 millones de ellos.Esto es totalmente diferente a los robos de información de los que nos enteramos en las noticias con regularidad, y debe darnos en qué pensar antes de encomendar nuestros datos biométricos a grandes bases de datos en red.
Publicidad
Hay tres tipos básicos de datos que pueden ser robados. El primero, y el más común, incluye las credenciales de autentificación. Como las contraseñas y otro tipo de información que le permite a otra persona tener acceso a nuestras cuentas y —por lo general— a nuestro dinero. Un ejemplo podría ser los 56 millones de números de tarjetas de crédito que los piratas informáticos robaron a Home Depot en 2014 en Estados Unidos, o los 21.5 millones de números de Seguro Social que los hackers robaron a la OPM. El motivo detrás de estos robos, normalmente, es financiero. Los hackers quieren robar dinero de nuestras cuentas bancarias, hacer cargos fraudulentos a las tarjetas de crédito en nuestro nombre o abrir nuevas líneas de crédito.Es un negocio ilegal muy grande, pero sabemos cómo lidiar con él cuando sucede. Detectamos estas irregularidades lo más rápido posible, y actualizamos nuestras credenciales o contraseñas tan pronto como detectamos un ataque.El segundo tipo de datos está relacionado con la información personal. Un ejemplo de esto pueden ser los datos médicos robados y expuestos en el ciberataque a Sony en 2014, o el robo de los datos personales de la página web del sitio de citas para infieles Ashley Madison que se publicó este año. En estos casos, no hay forma de recuperarse después de que se ha publicado la información robada. Una vez que los datos son públicos, o están en manos de un adversario, es imposible que sean privados de nuevo.
Publicidad
Esta es la principal consecuencia de la violación de los datos de la OPM. Quienquiera que se haya robado la información —sospechamos que fueron los chinos— obtuvo datos personales y el números de Seguro Social de todos esos empleados del gobierno. Esos datos personales incluyen respuestas a algunas preguntas muy personales y embarazosas, y ahora estos empleados pueden ser víctimas de chantaje u otro tipo de extorsión.Las huellas dactilares son otro tipo de datos. Casi siempre vemos que se utilizan para identificar a las personas en una escena de crimen, pero cada vez más se usan como una credencial de autenticación. Si tienes un iPhone, por ejemplo, es probable que utilices tu huella dactilar para desbloquear el teléfono. Este tipo de autenticación es cada vez más común, pues ahora están sustituyendo las contraseñas —algo que ya has de saber— con la biométrica: verificación de la identidad de alguien basado en las características de su cuerpo o comportamiento. El problema con la biometría es que no se puede remplazar. Así que podrá ser fácil actualizar tu contraseña o conseguir un nuevo número de tarjeta de crédito; sin embargo, no puedes conseguir un nuevo dedo índice.Y ahora, por el resto de sus vidas, 5.6 millones de empleados del gobierno de Estados Unidos deben recordar que alguien, en alguna parte, tiene sus huellas dactilares. Y realmente no sabemos el valor de estos datos a futuro. Si, dentro de veinte años, llegamos a utilizar rutinariamente nuestras huellas digitales en los cajeros automáticos, la base de datos de huellas dactilares será muy rentable para los criminales. Si empezamos a utilizar las huellas dactilares en nuestras computadoras para tener acceso a archivos y datos, la base de datos será muy provechosa para los espías.Por supuesto, no es tan simple. Los lectores de huellas digitales emplean diferentes tecnologías para evitar ser engañados por dedos falsos: detector de temperatura, de poros, latido del corazón, y así sucesivamente. Esta es una carrera entre atacantes y defensores, y hay muchas maneras de engañar a los lectores de huellas digitales. Cuando Apple presentó su lector de huella digital del iPhone, en cuestión de días, los hackers encontraron la manera de engañarlo, y no han dejado de engañar a cada nueva generación de lectores de teléfono con la misma rapidez que estos evolucionan.No todo uso de la biometría requiere que los datos biométricos sean almacenados en un servidor central en alguna parte. El sistema de Apple, por ejemplo, sólo almacena los datos de manera local: en el teléfono. De esa manera no hay una base central que pueda ser hackeada. Y muchos sistemas no almacenan los datos biométricos, sólo una función matemática de los datos se puede utilizar para la autenticación, pero no se puede utilizar para reconstruir la biométrica real. Desafortunadamente, la OPM almacena copias de huellas digitales reales.Ashley Madison nos enseño todos los peligros de confiar nuestros secretos íntimos a las redes y computadoras de una empresa, porque una vez que los datos están ahí fuera no hay manera de recuperarlos. Y algo similar sucede con todos los datos biométricos, ya sean huellas digitales, escáner de retina, huellas vocales, o cualquier otra cosa. No demos confiar en cualquier intento por almacenar estos datos en masa, ya sea por parte de los gobiernos o las corporaciones. Necesitamos nuestros datos biométricos para la autenticación, y no podemos darnos el lujo de que los piratas informáticos tengan acceso a ellos.