Al igual que muchos usuarios ya contamos con un sensor de huellas dactilares o un sistema de reconocimiento facial para desbloquear nuestros smartphones, muchas empresas recurren a estos datos biométricos para limitar el acceso a determinadas zonas de sus edificios. 

Las empresas que se encargan de esta seguridad suelen contar con una amplia base de datos donde guardan las huellas dactilares y los rostros de esas personas autorizadas, para que el sistema les deje pasar. ¿Pero qué pasa cuando esa base de datos no está bien protegida o sufre un ataque?

Esto es lo que ha pasado con los datos de la empresa Suprema. Los datos biométricos de más de un millón de personas han quedado expuestos causando un problema de seguridad para los bancos, compañías e, incluso, la policía metropolitana de Reino Unido que utilizaban su servicio de seguridad. 

La Unión Europea dice sí a crear una base de datos con nuestras huellas dactilares

Datos tan personales como la huella dactilar, el rostro, el nombre, la contraseña de ese usuario y muchos más se han visto comprometidos. Los investigadores que han descubierto esta brecha de seguridad aseguran que los datos estaban desprotegidos y la mayoría sin cifrar.

El sistema utilizado por Suprema se llama Biostar 2 y permite el control de instalaciones como almacenes y oficinas. Este sistema, según habían indicado la propia compañía con anterioridad, estaba integrado en otro programa, AEOS, que se utiliza en 57.000 organizaciones de 83 países, entre ellos gobiernos, bancos y la policía de Reino Unido. 

Los investigadores israelíes Noam Rotem y Ran Locar especialistas en redes privadas virtuales explicaron a The Guardian que habían sido capaces de acceder a más 27 millones de registros con datos personales de los usuarios, unos 23 gigabytes de datos.

Además de ver nombres, contraseñas y huellas dactilares, pudieron comprobar en tiempo real que personas de las registradas estaban accediendo a cada instalación controlada por el sistema. Pero esto no es todo, también consiguieron modificar los datos y añadir más usuarios. 

Esta brecha de seguridad supone un riesgo enorme que deja al descubierto la falta de protección que todavía se puede encontrar en este tipo de sistemas. Si el fallo hubiera sido descubierto por un pirata informático o terroristas habrían podido acceder a un millones y medio de instalaciones repartidas por todo el mundo. 

Los datos biométricos son irremplazables

Además, una vez detectada la brecha las contraseñas se pueden cambiar, pero los datos biométricos como el rostro y huellas dactilares de las personas inscritas en esa base de datos son irremplazables. 

Esta vulnerabilidad se cerró a mediados de esta semana y, a pesar de todos los intentos que han hecho los dos investigadores de comunicarse con la empresa Suprema antes de ir a la prensa, todavía no han recibido ninguna contestación por su parte. 

Sí han respondido a The Guardian, asegurando que han realizado una evaluación de la profundidad de los daños y la información aportada por los expertos en ciberseguridad y que se pondrán en contacto con sus clientes en caso de que haya algún tipo de amenaza. 

Sin embargo, Rotem y Locar aseguran que este tipo de vulnerabilidades tan peligrosas son bastante frecuentes y que, por desgracia, suelen recibir respuestas muy negativas por parte de las compañías que ven como una amenaza que se les informe del fallo y no como una ayuda.