Podemos confiar na biometria em caixas eletrônicos?

27 out 2016

Identificação biométrica: o uso de atributos físicos únicos -como impressões digitais- para autenticar pessoas. Essa tecnologia foi considerada segura por muito tempo. Por conta disso, seu uso atrai a atenção de usuários de bancos, já que são umas das instituições que os cibercriminosos mais miram como alvo.

biometric-atm-featured

Na verdade, muitos bancos já estão testando ATMs com acesso biométrico, ou tem planos de implementar essa tecnologia o quanto antes.

Do lado institucional, a grande vantagem desses métodos como escaneamento de íris ou combinação de veias é que esses métodos diminuem as taxas de falso negativo (tipo 1) e falso positivo (tipo 2). Usuários gostam da biometria porque funciona rápido e diminui o número de senhas e outros códigos secretos para acessar suas contas.

Infelizmente, a verificação por impressões digitais é comum e não tão confiável da forma que devia ser. Por exemplo, usuários no iOS e no Android reclamam regularmente que seus dispositivos são desbloqueados por pessoas não autorizadas e dificulta as autorizadas a acessar os dispositivos.

internet_banking_bannerkd

E os ATMs?
Caixas eletrônicos biométricos ainda não estão amplamente difundidos, mas nossos especialistas em segurança Olga Kochetova e Alexey Osipov já descobriram mais de uma dezena de desenvolvedores vendendo chupa-cabras para cartões de crédito no mercado negro. O propósito desses dispositivos é roubar as impressões digitais escaneadas.

Outros desenvolvedores paralelos procuram produzir dispositivos que possam interceptar o resultado de scanners de íris e combinação de veias. Além do mais, o uso dos chupa-cabra não é apenas uma forma de roubar dados biométricos. Ataques Man-in-the-Middle (Homem no Meio) e métodos similares serão tão efetivos com credenciais biométricas quanto são hoje com logins e senhas.

Claro, criminosos também hackeiam servidores com dados de usuários, independentemente do tipo de dado.

Considere que esse ano o Dropbox perdeu dados de quase 70 milhões de contas, e mais tarde o Yahoo admitiu o vazamento de 500 milhões – são apenas dois exemplos de muitos.

Agora, imagine que no lugar de senhas, essas empresas tivessem perdido os dados biométricos dos usuários. Mudar sua senha pode ser bem chato, já seu DNA é bem mais difícil.

Além do mais, com o auxílio de chupa-cabras voltados para o roubo de dados biométricos, criminosos podem usar dados para criar uma chave para o login. Bancos precisaram refinar seus padrões de segurança antes de tornar os ATMs biométricos comuns.

Biometria ladeira abaixo
O uso da biometria começou com os governos, polícia e indústria de defesa. Nesses campos, mostrou-se confiável, primeiramente porque essas instituições poderiam custear as despesas de equipamentos de ponta.

Com a adoção da biometria, contudo, testemunhamos a falta de atenção aos detalhes com segurança. A popularidade da tecnologia tem duas razões principais. Primeiro, requisitos de segurança para clientes civis são menores do que implementações em setores críticos. Segundo, um número maior de dispositivos fornece aos criminosos mais cobaias para a execução de buscas por vulnerabilidades. O desenvolvimento rápido da impressão 3D também favoreceu vulnerabilidades.

Ano passado, foram instalados cerca de 6 milhões de aplicativos que suportam autenticação biométrica. De acordo com a Juniper Research, até 2019, a humanidade usará por volta de 770 milhões desses apps. Até lá, autenticação biométrica será comum. Outros especialistas são ainda mais otimistas: a Acuity Marketing Intelligence acredita que, até 2020, 2,5 bilhões de pessoas usarão 4,8 bilhões de dispositivos biométricos.

 

Expectativas e recomendações para o futuro
Felizmente, dados biométricos não são armazenados como dados de autenticação comuns, mas em servidores que recebem resultados codificados, o que torna o roubo pouco atrativo. Entretanto, criminosos ainda podem usar métodos como o ataque Man-In-The-Middle mencionado acima, inserindo-se no canal de comunicação entre o ATM e o centro de processamento para roubar dinheiro dos usuários.

Por fim, bancos e usuários precisarão continuar a empregar medidas de segurança mais restritas contra vazamentos de logins tradicionais, bem como melhorar a proteção contra a fraude biométrica. Pelo lado dos negócios, isso inclui o projeto do caixa eletrônico de modo a prevenir a instalação de chupa-cabras, bem como estabelecer e manter o controle sobre o software e hardware de segurança do ATM.

Já para a tecnologia de biometria de forma geral, recomendamos que todo mundo use métodos de proteção secundários que empreguem outras medidas de segurança, mas que não a substituam completamente.