Ni PIN, ni huella, ni patrón: lo más seguro es dibujar un garabato en la pantalla del móvil

El lector de huella dactilar, el PIN, el patrón de desbloqueo, la contraseña, un selfie… Cada vez son más los mecanismos que podemos emplear para identificarnos con un móvil en las manos, tanto cuando encendemos o desbloqueamos el dispositivo como cuando queremos acceder a una app o página web.

Sin embargo, todos son falibles. Está demostrado que cualquiera de las citadas medidas puede ser burlada por alguien con perversas intenciones, a menudo sin que requiera conocimientos avanzados de ciberseguridad. Y entonces, ¿qué hacemos? ¿Debemos asumir que nuestro móvil, con toda la información sensible que almacena, puede caer en manos de un delincuente con relativa facilidad?

Un grupo internacional de investigadores afirma haber dado con la clave para proteger el acceso a tu terminal: dibujar un garabato en la pantalla. Es fácil de hacer (de hecho, dibujar sobre una pantalla táctil es algo más natural que teclear un número o una palabra) y de recordar, pero no tanto de replicar.

De hecho, en comparación con otros métodos, el enfoque de estos académicos incrementa sustancialmente la longitud y la complejidad potenciales de la clave. Esto es así porque permite realizar gestos en varias tandas (levantar el dedo de la pantalla después de garabatear un tramo y volverlo a posar para dibujar otro), hacerlo a una velocidad concreta e incluso utilizar varios dedos a la vez (aunque alguna gente asume erróneamente que será más seguro un garabato simple con varios dedos que otro complejo con un solo dedo).

Además, el sistema se puede implementar en cualquier dispositivo móvil (smartphones, tabletas y hasta ordenadores portátiles, que cada vez más a menudo incorporan pantalla táctil) mediante una simple descarga o actualización de software. Es decir, no hace falta incorporar un nuevo sensor o algún otro componente físico porque la pantalla táctil es todo lo que necesita el terminal para leer los dibujos y compararlos con la muestra almacenada en una base de datos.

Por otra parte, los investigadores han descubierto que identificarse mediante un garabato en la pantalla es mucho más rápido —entre 2 y 6 segundos menos que hacerlo con una contraseña (por lo difícil que resulta a veces introducir una combinación con números y símbolos utilizando el teclado del móvil)— y se puede hacer prestando menos atención. Pensar en un dibujo para una segunda clave también es un 42% más rápido que inventar una nueva contraseña, según sus estudios.

Fácil para el usuario, difícil para el atacante

Otra de las ventajas está en la memorización, que es mucho más sencilla de lo que parece. Si el usuario escoge su propia firma o algún símbolo con significado (una figura geométrica, una nota musical, un dígito…), le resultará muy fácil recordar el trazado incluso si lo dibuja en varios tramos o empleando más de un dedo.

Sin embargo, a pesar de esta simplicidad de cara al usuario, la tarea se complica para el ciberatacante. Los autores del estudio han comprobado que hasta los símbolos más reconocibles (por ejemplo, una corchea) son tremendamente difíciles de replicar para un tercero, puesto que se pueden garabatear de muchas formas diferentes.

Así, dar con la variación adecuada consume mucho más tiempo y recursos que probar todas las opciones de una contraseña o código PIN.

Todo lo demás falla

De hecho, está sobradamente demostrado que los mecanismos más comunes de seguridad son relativamente fáciles de burlar. El PIN puede robarse analizando mediante un software específico los movimientos del móvil, registrados por el acelerómetro y el giroscopio. Incluso se podrían rastrear los zarandeos de un smartwatch si el usuario emplea la mano en que lo lleva puesto para introducir el código numérico.

El patrón de desbloqueo tampoco es una buena solución. Se sabe que infinidad de usuarios se decantan por patrones sencillos. De hecho, la mayoría tan solo hacemos uso de 4 de los 9 nodos disponibles, según un estudio realizado por la Universidad Noruega de Ciencia y Tecnología. Además, el 44% de los recorridos comienzan en la esquina superior izquierda de la rejilla.

Pese a que crear patrones más complejos podría parecer la solución, un grupo de investigadores demostró que se pueden descubrir los complicados incluso más deprisa que los fáciles. Con un simple vídeo, grabado con cualquier cámara, y un algoritmo de visión de artificial que procese las imágenes, es posible adivinar el 95% de los patrones en tan solo cinco intentos.

Del mismo modo, el lector de huella dactilar, que se está extiendo con rapidez en los dispositivos móviles, tiene sus ventajas... pero los inconvenientes son considerablemente mayores. En primer lugar, la huella dactilar de una persona no se puede modificar, mientas que una combinación de números y letras puede variarse cada cierto tiempo -por precaución o cuando se ve comprometida- y los dedos de una persona, salvo desgracia o intervención quirúrgica, son los que son.

Además, la huella dactilar se queda impresa en todo lo que toca su dueño, suponiendo una información pública que queda registrada en numerosos lugares. Como se ha demostrado, una fotografía de alta calidad es suficiente para reproducirla, a través de diferentes técnicas, en moldes de diversos materiales que se pueden usar para suplantar al usuario.

Así, parece que los investigadores llevan razón al afirmar que un simple garabato con el dedo es más seguro que la contraseña, el PIN o el lector de huellas dactilares de tu móvil. Tampoco será impenetrable, porque nada es del todo seguro, pero aporta un extra de seguridad. Y encima sin renunciar a la sencillez respecto al resto de métodos, al menos hasta que se demuestre lo contrario.