Diseccionando las vulnerabilidades de BioStar2: Las bases de datos biométricos como nuevo objetivo.

Por Danielle VanZandt, analista de la industria, seguridad, Frost & Sullivan

La importante brecha y las vulnerabilidades descubiertas recientemente por los investigadores de vpnMentor en la base de datos BioStar 2 de Suprema son suficientes para asustar a cualquier usuario final potencial y alejarlo de las medidas de seguridad biométricas. Con más de un millón de huellas dactilares y contraseñas de usuario potencialmente expuestas en la brecha, BioStar 2 se ha convertido en el primer ejemplo importante de cómo el acceso biométrico todavía tiene sus propias vulnerabilidades que los proveedores, integradores y usuarios finales deben conocer antes de implementar cualquiera de estas soluciones dentro de su organización.

Las vulnerabilidades más destacadas de BioStar 2 eran su base de datos biométricos, que estaba desprotegida cuando se conectaba a Internet, y la falta de encriptación de las huellas dactilares y las bases de reconocimiento facial almacenadas. Esto permitía a los piratas informáticos entrar en la base de datos biométrica y acceder a las huellas dactilares y los datos faciales almacenados de los usuarios, añadir y modificar potencialmente los perfiles de los usuarios, y proporcionar un cómodo punto de entrada a la red total del usuario final. Los piratas informáticos pudieron acceder a las contraseñas y a las entradas de registro con los nombres de los usuarios, los perfiles, los datos biométricos y las contraseñas de las cuentas de usuarios y administradores que aparecían en texto sin formato, que son los datos más valiosos que pueden obtener los estafadores.

Las consecuencias de que estos datos caigan en manos equivocadas podrían ser catastróficas para un usuario final, sobre todo teniendo en cuenta la amplitud de la base de clientes de BioStar 2. Entre los clientes afectados se encuentran gimnasios, espacios de trabajo conjunto, consultorías de software y fabricantes de productos de consumo, médicos e industriales. Afecta a la base global de clientes de Suprema en Norteamérica, Europa, Asia y Oriente Medio. Suprema ha mostrado su interés en ampliar la base de clientes de BioStar 2 para incluir a las administraciones públicas, la banca y las fuerzas de seguridad, sectores que se alejan rápidamente de cualquier proveedor de seguridad que no cuente con los protocolos de seguridad de datos adecuados.

Los puntos de datos biométricos, como las huellas dactilares y los datos faciales, simplemente no pueden almacenarse como puntos de datos completos y sin cifrar; la experiencia actual de la industria enfatiza la necesidad de tener estos datos guardados en un formato cifrado, impidiendo que los piratas informáticos puedan hacer ingeniería inversa de los datos biométricos. Dado que los usuarios no pueden cambiar su cara o su huella dactilar, la responsabilidad recae en los proveedores de seguridad para garantizar que los procesos similares al hashing inverso y las piezas de encriptación de la base de datos sean de primer nivel para proteger estos valiosos datos de caer en las manos equivocadas.

Aunque esta puede ser una de las primeras violaciones de datos que tienen como objetivo los datos biométricos, seguramente no será la última. Desgraciadamente, la gran escala de BioStar 2 hizo que el sistema fuera uno de los primeros en revelar las vulnerabilidades de las soluciones de control de acceso biométrico; sin embargo, esto no detendrá el crecimiento exponencial y las tasas de adopción de las soluciones biométricas. Las huellas dactilares y el reconocimiento facial siguen siendo los sistemas biométricos más demandados para las soluciones de acceso físico en diversos sectores. Esta infracción no ahuyentará las posibles compras de los usuarios finales, sino que servirá para informarles de los tipos de protocolos de seguridad que debe tener un proveedor antes de que un usuario final potencial finalice la compra de un nuevo sistema. Los proveedores deben estar preparados para responder a las preguntas de los usuarios finales sobre el acceso a los datos, la forma precisa en que su solución almacena los datos biométricos y los protocolos de encriptación.

Los usuarios finales están evaluando rápidamente sus propios perfiles de riesgo y las mejores soluciones para proteger su organización. Cualquier proveedor de seguridad biométrica que no esté dispuesto o sea incapaz de responder de la mejor manera posible a las preocupaciones de los usuarios finales sobre los riesgos y las preguntas sobre la protección de los datos, verá rápidamente disminuida su posición en este mercado de gran crecimiento.