texto:   A-   A+
eliax

2 mitos sobre el nuevo iPhone 5C y iPhone 5S: Plástico y huellas digitales
eliax id: 10637 josé elías en sept 16, 2013 a las 12:10 AM ( 00:10 horas)
eliaxYa que estamos aun "calientes" con la salida del iPhone 5C y iPhone 5S, quiero aprovechar para barrer dos mitos que personas desinformadas han estado esparciendo por la web, concerniente a dos aspectos de estos dos celulares.

El primero tiene que ver con el dato erróneo de que supuestamente nuestras huellas digitales son almacenadas por Apple y que si alguien tiene acceso a estas nosotros estamos comprometidos de por vida con mala seguridad. Y el segundo tiene que ver con el hecho de que el iPhone 5C esté fabricado "en plástico."


El lector de huellas digitales del iPhone 5S

iPhone 5S Touch ID¿Sabían ustedes que las claves que utilizan en GMail, Hotmail, Yahoo, AOL, Apple, Facebook, Twitter y prácticamente todo servicio en Internet, no son almacenadas en esos servicios?

Pero entonces ustedes preguntarán, ¿si ellos no almacenan mi clave en sus centros de datos, cómo saben ellos que la clave que yo escribo es mi clave? Y la respuesta iluminará un poco el tema del sensor de huellas digitales de Apple, por lo que déjenme explicarles...

El truco está en una función matemática que se llama un Hash. Un Hash no es más que una función, la cual toma como entrada de datos cualquier cosa (como puede ser un archivo de notas, una clave, o un flujo de datos binarios cualquiera) y devuelve una secuencia de caracteres llamado un "hash" de eso que le diste. Y lo mejor de todo es que el "hash" siempre es del mismo tamaño (por motivos didácticos, asumamos 8 caracteres de largo, pero por lo general es de 16 a 32 de largo).

Así que por ejemplo, si le das tu clave a esa función Hash (digamos que tu clave es "MeGustaLeerEliax"), esa función te devuelve para atrás 8 caracteres como estos: "11223344".

Y lo importante de una función Hash es que esta te garantiza que siempre que le des "MeGustaLeerEliax", que esta siempre te devolverá "11223344".

La otra gran particularidad de una función Hash, y lo que la hace útil, es que no es posible utilizar la función en modo reverso. Es decir, es virtualmente imposible deducir que si tenemos "11223344" que eso significa que ese es el Hash de "MeGustaLeerEliax".

A esa particularidad se le dice que la función Hash es una función unidireccional, de una sola dirección. Es decir, se puede sacar un resultado de algo, pero no se puede obtener ese algo del resultado.

O en otras palabras, si Apple almacena "11223344" en sus servidores, es imposible para Apple (o para el FBI, CIA, o NSA) saber que tu clave es "MeGustaLeerEliax".

Pero volvemos a lo mismo, ¿cómo sabe Apple entonces cuando entro a mi cuenta que mi clave realmente es "MeGustaLeerEliax", si no tiene almacenado eso en sus bases de datos, y lo único que tiene almacenado es el Hash "11223344" de mi clave?

Pues realmente es sencillo: En el momento que escribes tu clave "MeGustaLeerEliax", lo que Apple hace es que crea un Hash de esa clave en ese momento, lo que le dará "11223344", y después Apple compara ese Hash con el que tiene almacenado en su base de datos (que en este caso, es también "11223344"), y si concuerdan, Apple deduce que eso significa que ambas claves son iguales, ya que el Hash de ambas claves es la misma.

Esto permite que empresas como Apple no conozcan tu clave, pero aun así sepan si la clave que escribes corresponde al Hash de tu clave que ellos almacenaron.

Eso también significa que incluso si Apple quisiera, que esta no podría deducir tu clave original basado en el Hash "11223344", ya que matemáticamente es imposible "darle para atrás" a la función Hash.

Y eso nos lleva al lector de huellas digitales de Apple...

Lo que Apple realmente almacena en sus servidores, no es una fotografía de tu huella digital, sino un Hash de algunos de los parámetros que Apple ha decidido leer de tu huella digital (cuyas combinaciones de potenciales cosas a leer, es bueno aclarar que son casi infinitas en la práctica).

Eso significa por ejemplo que Apple puede decidir que en tu huella digital va a leer 20 de 300 curvas, así como leer 10 de 200 descontinuidades en estas, así como leer el ángulo de 7 de estas 300 curvas, lo que le da a Apple una secuencia de números. Esos números serían tu clave, pero esa clave no es almacenada por Apple. Lo que Apple almacena es un hash de esa secuencia numérica.

¿Qué significa eso? Que si unos hackers entran a la base de datos de Apple, y roban tus datos, que estos no se llevan nada de valor, ya que no tienen la clave que se utilizó para generar el Hash resultante.

Eso significa también que incluso si ocurriera un milagro, o si los datos tuviesen una tabla con miles de millones de posibles combinaciones de claves que producen esos hash, que incluso así estos no tendrían nada que comprometería tu seguridad de por vida.

¿Por qué? Porque como les expliqué, una huella digital tiene miles de cosas (curvas, imperfecciones, etc), y Apple eligió para su algoritmo propietario un subconjunto de estos de forma arbitraria. Por lo que eso tampoco revela tu huella, sino que solo ciertos aspectos de esta.

Al final del día, lo que esto significa es que los "expertos" que están haciendo todo un revuelo en Internet con este tema, no tiene la menor idea de lo que están hablando y solo están repitiendo como loros lo que otros (que como ellos, no saben lo que dicen), dicen...

Y lo mejor de todo es que esto lo vamos a poder comprobar con evidencia empírica: En el momento que se haga el jailbreak/liberación del iOS 7 por parte de hackers, no duden que inspeccionarán el código de Apple para ver qué es lo que realmente se almacena en el dispositivo, y qué no, y casi les garantizo que encontrarán lo que describo en este artículo, que es la forma estándar y segura de hacerlo desde hace décadas.

Y si se preguntan, ¿pero como es que la NSA, FBI y CIA entonces entran a tantos sistemas en todo el mundo? Pues no es porque conocen las claves, sino porque rompen los mecanismos de cifrado de claves públicas/privadas, pero eso es material para otro artículo en eliax...


El plástico del iPhone 5C

iPhone 5CEl otro gran chiste en Internet en estos días es las burlas hacia el iPhone 5C ya que este está "fabricado en plástico"...

Sobre el plástico del iPhone 5C es importante entender una sola cosa: No todos los plásticos son fabricados de igual forma, ni con la misma fórmula, y no terminan con las mismas propiedades.

Usualmente, cuando hablamos de plástico en este contexto, uno imagina los celulares plásticos Android o de otras plataformas, como los de Samsung, que son plásticos muy flexibles, nada duraderos, y que aparentan muy frágiles.

Ese no es el tipo de plástico del cual está fabricado el iPhone 5C.

Para todos los sentidos prácticos, cuando tengan un iPhone 5C en sus manos, lo que aparentará es que el celular no está hecho de plástico, sino más bien de cerámica.

Eso se debe a los siguientes factores:

1. Apple solo utiliza productos premium en su construcción (el mejor proceso de plástico posible), y la fórmula del plástico que utiliza Apple en el 5C es muy diferente a la aleación compuesta de celulares Samsung.

2. En vez de utilizar varios moldes para el iPhone 5C, Apple saca el celular entero de un solo molde, lo que lo hace super resistente. Incluso, para fines prácticos aparenta tan resistente como uno de cerámica.

3. En vez de fabricar un molde con agujeros para tornillos como parte del molde (como lo hace todo el resto de la industria), Apple crea el molde solo, y después que este sale de su proceso, y se enfría, Apple después procede a hacer los agujeros con equipos especializados para tal fin. ¿Por qué? Porque eso hace que el molde sea muchísimo más resistente, ya que si se dejan los agujeros en el molde mismo, el calor hace que ocurran imperfecciones internas en torno a los agujeros que bajan su densidad e incrementan su flexibilidad.

4. Encima del plástico, Apple aplica una aleación compuesta, una especie de líquido protector, que no solo quita al material compuesto su look de plástico, sino además dota al iPhone 5C de una protección contra rayados y otras imperfecciones de los que sufren productos del clásico plástico en otros celulares.

En resumen, el iPhone 5C tiene poco que envidiar a celulares fabricados con cualquier otro método, y ciertamente está fabricado con un proceso muy superior a cualquier otro celular de "plástico" de mercado, y sus usuarios ciertamente no sentirán que tienen un producto "barato" en sus manos...

autor: josé elías

Comentarios

  • Jose, aprendi algo bueno y a la vez bueno, y es sobre el Hash. Pero se me ocurre una pregunta aun, y que veo no contestas en tu articulo. Poniendo el ejemplo de que X compañia no almacena mi clave como tal, si no el hash como explicas, pero en ocaciones cuando olvidamos nuestra clave esa X compañia nos da la opcion de "resetear" nuestra clave, pero en ocaciones lo que hacen es que te "reenvian" tu clave tal cual para que puedas acceder, entonces, Que ocurre aqui?, Como supieron cual era esa clave?, ya que dices que no se puede saber partiendo desde el Hash.

    Gracias. :)

    • Esas paginas tienen pésimo nivel de seguridad,guardan las contraseñas como texto plano.

    • Lo standard no es necesariamente lo que todos usan, en este tipo de casos deberias desconfiar del sitio y darte de baja, porque ellos si estan almacenando tu clave, en cambio quienes solo guardan hashes te mandan a generar una clave nueva.

      • la verdad es que no recuerdo siquiera una web donde me reenviaran la clave que sea de importancia, son a veces ese tipo de web que uno se subscribe para descargar o ver algo y ese sea el modo. Pero pense que ellos no podrian (o lo hacian) como las demas.


        Gracias. :)

    • Randy,

      Lo primero es, que si una empresa te envía una clave tuya por email, *detén inmediatamente* el uso de los servicios de esa empresa, pues eso indica que no tienen el más mínimo conocimiento en temas de seguridad informática. De paso si utilizas esa clave en otros portales, cámbiala inmediatamente pues tu seguridad ha sido comprometida.

      Lo segundo es, que no encontrarás una sola empresa de las grandes que almacene tu clave. Todas almacenan solo los hash, no las claves. Esto es algo básico que debe ser enseñado a cualquier programador a más tardar en su segundo año de universidad (y si no, que debió aprenderlo por su cuenta antes de salir de la universidad).

      Un hash es el concepto más básico en todo el campo de la seguridad informática.

      • Para aportar,

        Cuando olvidas tu contraseña, las grandes empresas que utilizan Hash lo que hacen es:
        Opción 1: enviarte a tu correo un enlace para insertar una nueva contraseña (la cual posteriormente generará un nuevo Hash para ellos almacenarlos).
        Opción 2: Otras lo que hacen es generarte una contraseña automática para que inicies sessión y ahí hacer el cambio.
        Generalmente la opción 1 es la mas utilizada.

      • Estimado, ya que estan con el tema de los hash, o la funcion md5 que encripta la contraseña, que hay de cierto que sea irreversible???, matematicamente es irreversible o algoritmicamente irreversible?, hace un tiempo, viendo el tema de seguridad de un sistema, por solo saber si era del todo cierto, encontre una pagina que transforma el md5 al texto plano, puedes saber si eso es realmente cierto???, dejo la pagina para el interesado en el tema, ya que encuentro que ni siquiera el hash, ni md5 son del todo seguros. http://md5.gromweb.com/

        • Esa no es más que una página que ya ha pre-computado muchos hashtags y te dice la clave que produjo ese hash.

          Sin embargo nota que dos secuencia diferentes de bits pueden producir el mismo hash (a eso se le llama una "colisión"), por lo que tampoco es garantizado que las claves que corresponden a esos hash funcionen.

      • Gracias Jose... y a los demas! ;)

  • He leído que la info que se genera del Touch ID no viaja a Apple, sino que se guarda en el A7. Esta explicación se extiende a muchos portales y a aplicaciones y me aclara esa dudilla y de cómo funcionaba esto.

  • Y sólo por la duda, ¿Qué pasaría si los hackers encuentran en el código que la huella si se almacena y que si se puede acceder a leerla?

    • Para acceder a tu huella hay que abrir el teléfono, lo que lograrás será dañar el SOC, y utilizar hardware y software especializado, si es que existe. Ya que Apple no almacena tu huella en sus servidores, sino en el procesador del iPhone.

    • Esto es virtualmente imposible por una sencilla razon: la cantidad de información contenida en la huella digital ocuparia por completo la capacidad de almacenamiento del telefono, lo que haria realmente imposible guardar suficiente informacion para "reproducir" tu huella digital.

      • Falso. Toda la información de la huella puede almacenarse en una foto de relativamente baja resolución.

        • No, puedes tomarle un foto a tu dedo, pero esa foto no es tu informacion biometrica ni tiene la mitad de detalles necesarios para ser valida.

          • En realidad, el sensor sí que toma una foto de la huella. En realidad de una parte de la huella, y sólo en blanco y negro sin niveles de gris. Claro que no necesita guardarla porque sólo se guardan algunas mediciones tomadas sobre esta.

            Pero se están complicando muchísimo. Si tienes el teléfono tienes las huellas del propietario impresas por todas partes. Y no te creas que es complicado extraerlas: hoy en día cualquiera tiene acceso a lo que se necesita no sólo para revelarla sino para hacer un molde y falsificarla.

            • anv,

              Ahí te equivocas. Eso de tomar una huella de una pared, hacer un molde, y crear un dedo postizo, solo funciona con los lectores tradicionales, no con el lector del iPhone 5S que utiliza tecnología resistiva y que literalmente lee dentro de la epidermis de tu dedo los surcos debajo de la piel (esa fue quizás la razón principal de Apple adquirir la empresa que le dotó de esta tecnología).

              Eso hace el sistema de Apple muchísimo más seguro que la mayoría de soluciones en el mercado.

              • Lo que si me dio risa y también algo de miedo, es el análisis que hizo un amigo de ese tema, el me dijo: "no me gusta este nuevos sistema de huellas de Apple, porque si estoy durmiendo mi esposa puede coger mi celular y poner mi dedo en el celular, y ya!! tiene acceso a toda mi información O.O"... :)

              • No quería hacer "apología del delito" explicando mucho cómo es el asunto, pero te cuento: la huella se revela utilizando cualquier polvo muy fino, como el tóner de impresora.

                Después se fotografía con un buen macro o escanea. Con un editor gráfico se convierte a 1 bit y se retocan los surcos donde pueda faltar información. Después se invierten los colores y se imprime sobre una filmina transparenta con una impresora láser. Eso genera los surcos en 3D con profundidad suficiente para engañar a cualqueir lector.

                Después se pone cola plástica sobre la huella para sacar un positivo del negativo impreso. Una vez seco se despega fácilmente y hasta incluso se puede poner sobre el para engañar incluso a los lectores más avanzados que miden por infrarrojo la pulsación de la sangre.

                Como ves, todo al alcance de cualqueira y con práctica lo que más tiempo lleva es esperar a que se seque el pegamento.

                • Lamentable pero cierto. Seguridad informatica, cuentame otro chiste.

    • Esperemos a ver lo hechos primero, pero te puedo asegurar que a Apple *no* le conviene (ni tiene ninguna ventaja) el almacenar la "foto" de tu huella en el celular, pues eso sería un serio problema de seguridad básica, que te aseguro una empresa como Apple (que vive siendo auditada constantemente en temas de seguridad) no va a dejar escapar.

      Eso sin mencionar que eso afectaría enormemente la confianza de usuarios con futuros sistemas de comercio electrónico de Apple, cosa que la empresa no va arriesgar.

      • Ningún algoritmo biométrico almacena la fuente, simple y sencillamente no le sirve, bajo el supuesto que dicha característica no cambia. Aparte, no es eficiente computacionalmente hablando. En vez de ello, se procesa la imagen con varios algoritmos y filtros, y después se *describe* la imagen de origen en sus términos que la componen: arcos, líneas, bifurcaciones, deltas, núcleos, espirales (todos conocidos en conjunto como las "minucias" de una huella digital), y algunos más sofisticados distancia entre montes y valles y muchas otras estadísticas más complejas, aparte de clasificarlas en su tipo principal, por supuesto.

        En lo personal, menciono esto de cierto porque hace años trabajé con algoritmos biométricos de reconocimiento de huella digital, así que me defiendo decentemente en el tema.

      • Ufff la contestación era al que tú le contestaste Elías. Sorry.

    • Mi experiencia con (in)seguridad enforzada por hardware (llaves, dongles, biometría, scanners, etc...) es que resulta mas facil vulnerarla alterando las API de software que le solicitan la información a validar. Al final del Día, por más segura que sea la encriptación y almacenamiento del segmento usado en el A7 y el escanner de huellas en el boton, siempre se podrá hacer una librería que haga un Hook ( inyección de código ejecutable en memoria ) a ese llamado de API para repetir un valor válido, o para dar una respuesta positiva al otro lado.

      Es como cambiar " == " por un " != " en la parte que compara los 2 HASH.

      Otra cosa es que los esquemas de llaves simétricas como los HASH, a pesar de que matemáticamente no se revierten ( con comprobación ), si existen formas de producir en tiempo record colisiones ( es decir, dos diferentes claves que produzcan el mismo hash ). Para los fines no creo que nadie se ponga a fabricar huellas de latex para abrir un iPhone, pero tampoco compro la idea de que el propósito de poner tan avanzado aparato en un iPhone sea simplemente autenticación.

  • Elias, entiendo que el 5c no sea un producto barato, pero no te parece que Apple nos está tomando el pelo discontinuando al iPhone 5 y poniendo al 5c (plástico) al precio que debería haber quedado el 5 (aluminio)?

    • Todas las empresas ganan necesitan dinero y el comercio es equilibrio entre las necesidades del cliente y la empresa.

      Si muchos piensan que es producto estafa,no lo compraran y Apple tendrá que hacer cambios,si se vende Apple seguirá haciendo lo mismo.

      Solo mira lo que tuvo que hacer microsoft por las criticas a su consola.

      • +1

        Y aparte de lo que dice Hector, es bueno notar algo: Por US$100 menos obtienes un celular con el mismo poder que el iPhone 5, pero con mejor cámara, mejor batería (que dura unas asombrosas 10 horas de hablado continuo), y mejor recepción LTE en varios mercados. Creo que no está nada mal (en relación al original iPhone 5).

    • Yo creo que el aluminio está sobrevalorado. El inconveniente que yo le veo es que ante cualquier golpe se abolla. En cambio el plástico es más elástico y muchas veces con golpes no se nota absolutamente nada. En el aluminio por poco que sea siempre queda marcado.

  • Elias, a mi me queda UNA unica duda con respecto al TouchID y que tendremos que esperar para responder/ver como lo implementaron. Corrigeme si me equivoco, pero según lo que anuncio apple (o al menos lo que entendi) la información de la huella digital se queda guardada en el telefono a nivel de hardware utilizando un modelo parecido al de las tarjetas con chip, donde el cajero le pregunta a la tarjeta si la clave es valida o no y esta devuelve un impulso electrico (falsificable) con un True o False, lo que las hace bastante inseguras.
    Es este el modelo que utiliza TouchID, o unicamente mencionaron que no se guarda en los servidores de apple porque en los servidores de apple lo que se guarda es el hash y es simple juego de palabras comercial?

    • Cuando Apple dice que la huella no se almacena en los servidores de Apple, con eso NO están diciendo que esa huella entonces se almacena en tu celular, pues la huella NO es necesaria almacenarla en ningún lugar, como explicado en el artículo.

      Apple dijo eso para calmar a los usuarios que no son técnicos y que estos sepan que una "foto" de su huella nunca es almacenada.

      Sin embargo, Apple *tiene* que almacenar un *hash* en sus servidores, pues de no hacerlo no podría autenticar a los usuarios.

      • Me quedaba claro que la huella no se guardaba en ningun lado, lo que no me quedaba claro era donde se guardaba el hash.

  • José, el Nexus que tienes es el 4 cierto? Si es así, cabe aclarar que está hecho en vidrio, y no en plástico. Los laterales son de plástico MUY resistente, al mío le ha pasado de todo y no presenta verdaderas señales de daño.

    • Cierto Franklin. Por suerte no me ha tocado que se me caiga el Nexus para comprobarlo :)

  • Jose, esto no nos protegería de la NSA o el FBI ya que ellos no quieren "ver" nuestras huellas digitales (suponiendo que ellos estén interesados): ellos quieren comparar para fines de identificarnos, por lo que ellos podrían utilizar el mismo algoritmo de Apple para hacer las comparaciones.

    Ojo, no estoy siendo "conspiracionista", solo un poco objetivo.

    • Esto es poco practico para ellos, no entran cuenta por cuenta a ver que hizo una persona X o Y, hacen intrusiones mas a nivel de "llave maestra" que les da acceso a TODO lo que hay en los servidores de una empresa, por lo que tu clave, huella o hash les da/resta poco.

    • El punto es, que "el algoritmo de Apple" solo sirve para Apple. En el momento que Google implemente lectores estandarizados de huellas digitales en Android, su algoritmo será diferente, y no habrá forma de utilizar los datos almacenados en Apple para identificar un usuario en Google, ni viceversa.

      Para tales fines, es más fácil que esas autoridades utilicen cosas como el email, datos almacenados en tales emails, relaciones en redes sociales, etc.

      • Las entidades del gobierno tienen archivos de huellas digitales. Basta que apliquen el mismo hash que aplica el teléfono para tener una manera de relacionar un teléfono con una persona física.

        Eso no se consigue con ningún otro mecanismo, ya que un nombre puede falsificarse. Incluso es posible hacer un documento falso para contratar una línea telefónica con nombre fifticio. Pero en el momento en que una personas "buscada" ponga su dedo sobre un iphone, estaría:

        1) localizado geográficamente
        2) asociado a un número de teléfono
        3) asociado a todas las cuentas (faceboo, twitter, email, etc.) que use en ese teléfono.

        Eso, sumado a que la NSA archiva el tráfico completo por 3 días, les permitiría conocer con todo detalle con quién se comunicó y qué dijo esa persona en los últimos 3 días. A demás de saber donde estuvo esos días y probablemente escuchar grabaciones de sus conversaciones.

        OJO: si eso se utilizara para acabar con el crimen, yo sería el primero en aplaudir la superioridad tecnológica de las autoridades frente a los criminales... pero últimamente cada vez tengo más dudas sobre qué es peor cuando un gobierno modifica las leyes para calificar "terrorismo de bajo nivel" a algo tan usual como manifestarse en la calle en contra de algo.

        • Si pueden entrar y averiguar el hash directamente de tu teléfono, y de paso saber el algoritmo de Apple, ya hay poca necesidad para que se molesten en saber cuál es tu huella, pues ya tienen acceso a tus datos...

          Es como que un ladrón que ya haya entrado a tu casa, se preocupe después que esté adentro de hacer una copia de la llave de la puerta de tu casa... :)

          • Bueno, supongamos que eres un delincuente que usará el teléfono para coordinar un robo. Con seguridad habrás comprado el teléfono con nombre falso o lo habrás robado pocas horas antes. Tal vez mataste al dueño anterior para que no denunciara el robo.

            Apenas pongas el dedo en el sensor podrías estar localizado.

            Lo peor de todo, es que seguro que con esto pasa como pasó con la máquina Enigma: los ingleses podían descifrar los mensajes alemanes pero dejaron hundir barcos sin avisarles del ataque para que los alemanes no dejaran de usar las Enigma.

            En este caso, a pesar de que la NSA pueda localizar a cualquiera que use un iphone, es muy probable que no informe a la policía para que pueda prevenir crímenes. Si pueden hacer eso, seguramente se guardarán la información para rastrear a los "terroristas" sin que se enteren de que están siendo rastreados.

  • No veo la hora que las pantallas sean tambien plasticas, pues veo infinidad de tablets y celulares con pantallas quebradas. Entre un cuerpo plastico bien diseñado y uno de aleacion de Al inyectado, creo que el plastico es mejor. Aunque si los prosesadores nesecitan liberar calor seria mucho mas conveniente el de Al.

  • Excelente articulo José, pero me queda una duda... por que entonces por ejemplo cuando hackearon cuentas de playstation se recomendo que se cambiaran las claves de esta?

    • Dos posibles razones:

      1. Los que programaron ese sistema eran unos novatos (y muy malos programadores) y almacenaron las claves originales y no los Hash. Pero esto lo dudo, dado el tamaño de Sony y el tipo de profesionales que asumo deben contratar.

      2. Precaución, para no ser menos responsables en caso de litigaciones legales (lo más probable).

  • Disculpa Eliax: No acabas de publicar hace poco tiempo que los sistemas de seguridad unidireccionales estarían por quedar obsoletos en un tiempo de cuatro a cinco años? Es un artículo donde dices más o menos que una ecuación de 3 al cuadrado más 4 al cuadrado mas cinco al cuadrado te da un resultado de 50 y que es muy difícil intuir su resultado al revés como predecir tres números que elevados al cuadrado y sumados te dén 50 es muy difícil, pero que esta en desarrollo una forma de hacer más sencillo ese proceso.
    Por otro lado me imagino que la imágen digital de la huella digital queda almacenada en alguna partd de la memoria del teléfono, y que alguien con cierta pericia en cuestiones técnicas puede llegar a descubrir y descargar esta. Por tu atención, gracias

  • Lo que dice Eliax es indiscutiblemente cierto.
    Pero hay que agregar algunas cosas que hacen que complican el problema:

    1) El ataque a los hash: Si bien el sistema parece "invencible", resulta que muchas veces los hash se descifran en centésimas de segundo. ¿Cómo? Con lo que llaman "rainbow tables". Consiste en que previamente y con muchas horas de trabajo computacional se calculan millones y millones de hash para claves generadas al azar. Después, basta con buscar nuestro hasy en esa tabla y si aparece, tendremos la clave correspondiente u otra que la sustituye de forma indetectable.

    Tomando en cuenta que sólo hay 4 tipos de huellas dactilares y que para identificar a una persona normalmente hacen falta varios dedos. Sospecho que sería bastante factible hacer rainbow tables de huellas.

    2) La NSA preocupa a mucha gente últimamente. Para ellos, que ya tienen archivos de huellas digitales, sería trivial calcular los hash de esas huellas y relacionar el hash enviado por un teléfono con una persona que tengan fichada. Al momento que una persona hiciera una transacción con un iphone la NSA estaría enterada de su identidad y ubicación. Es un sueño para ellos.

    3) Sobre seguridad y robos, dos cosas: El iPhone no tiene NFC, por lo tanto no hay forma de garantizar presencia física del teléfono en las transacciones que se hagan con él.

    Por otro lado, pin vs. huella. A primera vista la huella pareciera algo completamente personal y mejor y más avanzado que un pin o el patrón de bloqueo de Android. Sin embargo, para un ladrón es maravilloso.

    Con elementos tan simples como toner de impresora, una impresora láser y cola blanca de la de la escuela, en un ratito se puede obtener un molde perfectamente usable de una huella.

    Y resulta que un iphone robado incluye un montonazo de huellas fácilmente recuperables gracias a su superficie tan lisa y limpia.

    PAra el ladrón es como si el teléfono tuviera pegado un postit con la clave.

    • anv,

      1. Los rainbow tables solo te dan posibilidades, no la realidad. Míralo de esta manera: Si le das un archivo de 10GB a una función hash, esta te devolverá un hash de 32 caracteres, lo que obviamente te dice que es imposible comprimir un archivo de 10GB es tan solo 32 caracteres.

      Eso de paso te dice que por cada hash computado, deben haber una infinidad (literalmente) de posibles fuentes que conlleven a ese hash (razón por la cual también, existen colisiones de hash). O en otras palabras, en la práctica esto no es un vector efectivo, al menos que la persona utilice claves super sencillas como "123456".

      2. Eso no funciona. No puedes hacer "un hash de una huella". Eso no existe ni es posible. ¿Por qué? Pues piénsalo: ¿Cuál sería el input de esa función? No le puedes simplemente pasar una foto, ya que hay una infinidad de formas de tomar una foto a una huella digital, cada una con una infinidad de valores RGB (y recuerda que si tan solo un bit cambia en el input, obtienes un hash completamente diferente).

      Lo que *sí* puedes hacer (y es lo que se hace) es elegir algunos atributos de la huella en lugares muy específicos, y en base a esos lugares, generar un hash. Pero el saber cuáles son esos lugares es tan difícil como tratar de romper el hash.

      O en otras palabras, esto no funciona en la práctica.

      3. Te equivocas sobre el NFC. El iPhone 5S tiene algo aun mejor, de lo cual da la casualidad escribí un artículo que sale mañana en eliax, así que atento (asombrará a algunos desarrolladores de software, y es uno de los Ases bajo la manga de Apple con el iPhone 5S).

      • 1) Claro. Pero recuerda que en estos casos uno no necesita obtener la huella original. Sólo necesita un hash que sirva para suplantarla. Nota que yo dije "tendremos la clave correspondiente u otra que la sustituye de forma indetectable". A eso me refería con "otra que la sustituye".

        2) Para una entidad que tenga un archivo de huellas, el input sería justamente ese archivo.

        Por otro lado, si la seguridad está basado en el secreto de que no sabemos qué parámetros de la huella se usaron... supongo que ya sabrás la respuesta: la conocida máxima de la seguridad informática "security through obscurity is not security at all. ¿Cuánto crees que tardarán en hurgar en una actualización de iphone para averiguar qué parámetros usaron? El tiempo que tarden será inversamente proporcional al dinero que se vaya a ganar.

        3. Mañana leo el artículo. Pero insisto en que lo importante del NFC es que requiere la presencia física del teléfono a pocos milímetros de un sensor. De hecho, la tecnología fue pensada justamente para eso.

        P.D.: ¿tu no duermes? ¿o es que lanzaste una instancia de tu cerebro que reintegrarás con tu memoria por la mañana para enterarte de lo que hiciste durante la noche?

        • Sobre lo de dormir, ambos de mis bebitos están con fiebre, hoy no me toca dormir (llevo 4 días entre hospital y casa)... :)

          Sobre los otros puntos, seguimos mañana, hoy estoy super-cansado como para pensar mucho, y debo "levantarme" en 3 horas para alistar y manejar por dos horas a una reunión, para después ser parte de un panel sobre tecnologías móviles. Un largo día por delante... :)

          • Que se mejoren pronto Elías.

        • anv,

          Con referencia al punto 1, no crees que una compañía como Apple usa algun tipo de Salt concatenado con la "clave" antes de ser hasheada, lo que previene el uso de las rainbow tables?

          Gracias,

          • Me llama la atención que eres el primero que menciona el "salar" una clave antes de pasar la a la función de hashing...y te diría que si, Apple *seguramente* debe de usar sal para sus claves, pero después de las pifias de sitios como LinkedIn que fueron hackeados y sus passwords hasheados no tenían sal, ya no sé que pensar...

            • Sí, es un método que multiplica por mucho la cantidad de intentos posibles, pero no invalida el método.

              Es curioso lo poco que se utiliza ese método. Tanto que ni siquiera la autenticacón MD5 de los protocolos de emails lo hacen.

  • Hola! Soy Edward Snowden y estoy preocupado porque un blog tan importante como Eliax no haya hablado aun de mi y de lo que hice (con todos los riesgos que eso supuso para mi y mis seres queridos). Quisiera saber si algún dia habrá una entrada sobre lo que sucedió conmigo o no... Tomando en cuenta que dicho tema esta relacionado a la seguridad informática, entre otras cosas

    Pd: obviamente no soy esa persona, solo que quise escribir el mensaje de esa manera hehe. Ojalá respondas eliax :S

    • Chss, como si no supieramos todos que en realidad eres Julian assange :D

    • +1

  • Excelente Artículo José, nada como una aclaratoria de este estilo.

    Siempre disfruto artículos como este, un saludo nuevamente desde Venezueka

  • Estoy de acuerdo contigo, Eliax, pero lo que sí he leído y me parece interesante analizarlo es que si el día de mañana existe hardware suficiente como para crackear las contraseñas hasheadas con los algoritmos actuales (y probablemente vayamos en esa dirección), ni la huella digital serviría.
    Y por más que se promueva la utilización de algoritmos aún más "fuertes" (cifrado elíptico, por ejemplo), la migración a esos algoritmos no sería de la noche a la mañana.

    Me acabo de acordar de un artículo que escribiste hace poco y trata justamente este tema: http://www.eliax.com/index.cfm?post_id=10576

  • de todas formas ellos tienen tu huella digital almacenada de otras fuentes... si ese fuera el caso para que ''hackear'' tu cel o a apple si cuando sacas un documento oficial la entregas voluntariamente, sin mencionar cuando viajas, universidad, hasta en el casino.!

  • Materiales, materiales, materiales... De nada sirven decir que el celular es premium si no se sabe cuál material es. Hasta que no digan el material, no se sabrá si es de verdad premium.

    Mitos, mitos de durabilidad everywhere. Sucede que ni la maquinaria más fina y costos está diseñada para durar toda la vida. De hecho las máquinas que más duran en el 99% de los casos lo hacen por que sus partes se pueden reemplazar fácilmente y a un bajo costo. Puedes tener un portátil en acero grado herramienta con todos sus componentes soportados con resortes. Pero de nada sirve si se cae 3 pisos, se rompe algo y no consigues el repuesto ó el respuesto vale más que una máquina capaz de hacer las mismas funciones a un costo inferior a la reparación.

    Las iCosas son legendarias por que ni se les pueden reemplazar las baterías. Mira en ifixit para más detalles. Además ¿cómo sabes que los plásticos de samsung son baratos? ¿Le hiciste los ensayos en una máquina universal junto con pruebas de composición química?. Hablando de baterías, cuando se cae tu celular al agua si puedes sacar la pila simplemente la sacas y dejas secar el aparato a la sombra, lo he probado sobretodo con celulares Nokia (Aunque el 1100 funcionaba bajo el agua). En el caso de los celulares sin batería reemplazable: hmmm... pues bueno.. vas a estrenar celular.

    Lo segundo es que el incluir materiales duros no hace a los productos resistentes. ¿O es que acaso los Mercedez en vez de amortiguadores tienen un sistema rígido por que el emplear mecanismos móviles con diferentes partes hacen en general al automóvil más débil?. Lo que me lleva a mi tercer punto y es que la resistencia no está dada solamente por el módulo elástico del material si no la forma en que se unen e interactúan sus partes. Por ésto mismo es que la suspensión de los automóviles no sólo son para la comodidad si no para aumentar la durabilidad pues la energía se disipa en el mecanismo y no en los materiales del carro.

  • ¿Puedo escoger el sistema de seguridad para acceder a mi teléfono o "la huella" de aquí en adelante es OBLIGATORIA?

    • La verdad no lo se hasta que tenga un iPhone 5S en la mano, pero mientras tanto te recomiendaría utilizar el sensor de huellas digitales en ves de una clave de 4 dígitos, pues es varias órdenes de magnitud más segura (aparte de que es más rápido entrar al iPhone con tu dedo).

      Not que sí tendrás la opción de utilizar o no el sistema de seguridad (como hoy tienes la opción de utilizar una clave de 4 dígitos o no). Pero Apple quiere hacer esto tan sencillo, que ahora es posible todo el mundo prefiera tener su dedo como clave.

  • Mi teléfono es de plástico y es muy bueno y agradable, así que no me aquerosee mi Sony Android

  • Bueno, digamos que "suponemos" que todos ellos guardan e hash en su base de datos.

    De todas formas, siendo así, previo a guardar el hash podrían enviar la clave original a alguna base secundaria o gubernamental via webservice o algo del estilo que no esté físicamente en los servidores de la compañia...

    Un pensamiento algo conspirador, verdad? jeje

    saludos,

  • ¿Un lector de huellas? ¿el plástico del iPhone 5C? ¿en serio? Samsung está dando un buen empujón en la dirección de Wearable Computing con su Galaxy Gear y Google muy próximamente hacia Human 2.0 con Glass; ¿y hoy sigues hablando sobre Apple de esa forma? O te pagan bastante o creo que es momento de que hagas un ejercicio de introspección.

    • Elias habló del Samsung Gear aquí: post_id=10618, donde además lo comparó con el google glass.

      Los lentes de google no han despegado por varios factores: (1) el precio $$$ (2)Los programadores no han creado apps para este sistema y sin aplicaciones no hay un uso real para los lentes (3)Google está un poco adelantado a su tiempo

  • Leí que hacer un celular con cubierta de aluminio no es mucho mas caro que uno de plastico sino que es mas practico porque el plastico no bloquea la señal encambio el aluminio si, asi que es mas complicado hacerlo.

  • Elias, Muy interesante el ariculo, pero me queda una duda que talvez me puedas contestar.
    Si es verdad que estas empresas no almacenan directaemnte la clave, sino sólo el Hash resultado, entoces cómo funciona el proceso de "Recordar Clave", donde te preguntan algo personal que habias indicado (Nombre del Perro, color favorito, etc) y te devuelven la clave tal como se habia indicado.
    De antemano, gracias

    • Mira el comentario #2 en este mismo artículo

  • Bueno eso de los celulares en varios colores llamativos no es nuevo y me parece que Apple esta copiando a Nokia en este incluso en el material de su nuevo IphoneC no es novedad ver el material de los Nokia serie Lumia o del mismisimo Nokia N9 una especie de plastico de muy buena calidad que tampoco luce como plastico ni se ve barato!

    • Te recuerdo, que antes de Nokia sacar los Lumia a colores, que Apple ya tenía una gama completa de colores de iPods.

      Sin embargo, no veo que ganas con eso de apuntar el dedo y resaltar que Nokia tenía celulares a colores...

  • Esto me recordó este articulo http://www.eliax.com/index.cfm?post_id=9473

    Significa entonces que LinkedIn no guardaba los hash, si no las claves en plano? Notando claro que es una red para profesionales, demostrando poca profesionalidad. Creo que Eliax debió resaltar esto en aquellos tiempos con la misma intensidad que lo hace con Samsung.

    • Existen decenas de otras maneras de robar claves que no conllevan el almacenarlas en texto plano abierto. Como son troyanos que asechan lo que escribes, troyanos que interceptan código local, etc... LinkedIn nunca especificó el tipo de vector de ataque utilizado en sus instalaciones.

      • Un solo comentario, no respecto a esto precisamente, cuando se habla de aleaciones se circunscribe a mezclas metálicas, no es extendible a plásticos, cerámicos u otros materiales :)

  • Eliax. En un futuro no muy lejano, como afectaría la computación cuántica a este tipo de cifrado. Me explico:

    Como ya sabes, el camino para que todos lleguemos a tener una computadora cuantica en nuestros hogares es muy largo y los que sí podrían tener esa tecnología en un menor tiempo son las grandes organizaciones. Si llegara el caso en que alguna agencia de inteligencia o alguna organización terrorista tuviese en sus manos una computadora cuántica, antes de que estas se convirtiesen en el estándar de computación y cifrado de datos, cómo evitaríamos una catástrofe o cuales serian las consecuencias.

  • Hablando de materiales con los que están fabricados los móviles, cuál es el material del iPhone 4S? Su acabado parece vidrio o algún plástico cerámico pero no lo tengo claro.

  • Excelente articulo lo e disfrutado... Bastante! Pero mas e disfrutado los comentarios...

  • Para los que quieran un ejemplo si usan linux escriban esto en la shell/consola:

    echo "MeGustaLeerEliax" | md5sum
    Les generara este hash md5: 13b5c6d6462abd4577b514d26eaeaeb2

    echo "MeGustaLeerEliax" | shasum
    Les generara este hash en sha:
    312a6b9da474337f5d96728f0cd5bf6ca5dfbf1a

    Y este que dice? quien se anima?

    aa9af871e2b2f9c7a6ec143225f47e7dc1851648432ecb5d976fa7ad

  • mi unica pregunta a eliax tu dice k cuando uno tenga un iphone 5c no parecera de plastico y tu lo as tenido en la mano para decir eso pk todavia no a salido

  • Es increible como Jose Elias pierde su objetividad con Apple o iphone y Google chrome, tuve un accidente con mi galaxy y mi novia me regalo el iphone5 nuevo en su caja y 2 semanas despues empeso a dejarme sin senal o constantemente se queda buscandola la coje y la suerta, ok...luego de tratar todo lo que pude aver si corregia el problema y busco en google y me dio cuenta que un problema de fabrica y que en los mismo portales de apple se quejan y nadie da una repuesta y recientemente con esperanza que fuera un problema de software le instale el 7 y sigue con lo mismo, en cuanto al manejo del programa android le lleva mucho la delantera.

    • Podrias enviar los links donde dice que es un problema de fabrica?

  • Resumen del artículo:
    (con sarcasmo y gracia).

    Primero, ellos no guardan las huellas, yo se como se hace lo de las contraseñas, me imagino que esto es igual, no se si guardan las huellas pero seguro alguien confirmará lo que digo...

    Segundo, sobre que está hecho de plástico, si está hecho de plástico, pero uno caro y bueno.

  • Saludos Eliax! al leer el artículo se me ocurre preguntarme, al momento de introducir la clave se convierte mediante una función Hash y se compara con la base de datos, siendo el proceso no reversible esto significa que el Hash se debe crear en el servidor y no en el equipo, pero si el Hash es una clave finita, es posible que dos claves diferentes (digamos de 32 caracteres, por lo que las combinaciones entre letras, números y símbolos es enorme) generen el mismo Hash? Pregunto pues si no es así, no entiendo como puede no ser reversible el proceso.

    • Jorge,

      Sí estuviésemos en un entorno universitario y yo fuera tu profesor, te diría "¡muy bien, excelente pregunta!".

      Tal cual como preguntas, así mismo sucede. A eso se le llama "una colisión de hash", y ocurre por la misma razón que deduces: Al ser el hash un número de bits finitos, es posible que la cantidad de posibles secuencias infinitas que se conviertan en hash den el mismo hash en algunos casos.

      Sin embargo, en la práctica eso no importa realmente, ya que por lo general el hash y clave son solo parte de la autenticación, la otra mitad por lo general es tu nombre de usuario, por lo que en la práctica es la combinación de ambos lo que te auténtica, y dado que el nombre de usuario es garantizado ser único en un determinado sistema, eso conlleva a que en la práctica el hash más el usuario siempre den un resultado único.

      Por otro lado, esto tiene otra implicación práctica que explique ayer en uno de los comentarios arriba con respecto a ataques del tipo "Rainbow", y es que no es trivial tener una simple tabla de claves y sus correspondientes hash, ya que eso no te garantiza que ese hash siempre será generado por esa clave, y al contrario, existe toda una infinidad de claves posibles que pueden dar lugar a ese hash. Por eso es que ataques tipo Rainbow solo funcionan con claves obvias (como palabras del diccionario) razón por la cual se le aconseja a las personas utilizar claves que no sean obvias (es decir, evitar nombres, lugares, etc, y mezclar números, caracteres aleatorios, etc).

  • APPLE esta involuccionando ya que primero

    iphone 5s muy bien actualizo, todo los rumores eran cierto todo bn no gran cambio al usuario promedio.

    iphone 5c aqui es donde apple entiendo yo se ha equivocado por que no es verdad que todo aquel que tiene un iphone 5 actualmente este contento que APPLE descontinue su telefono top of line hasta el momento el iphone 5 solo por que
    a ellos no les conviene que el iphone 5 este opacando al iphone 5c ya que en datos tecnicos no hay diferencia en iphone 5 y 5c . si nos pusieran a elegir entre los 2 telefonos de seguro el 5c no venderia mucho , y si ellos siguieran vendiendo el iphone 5 , el 5c deberia costar mucho menos. que estemos claros me gusta todo lo de apple pero a mi entender no es sana la decision .

  • al fin entendí como funciona un hash :) muy buen artículo mas comentarios

  • He tenido la oprtunidad de tenet todos los iphones desde que salio el primer modelo, me compre un galaxy s4 y jamas vuelvo a comprar un iphone..

    • Yo tenía Nokia después me pasé a Android con HTC, después un Galaxy S3, y ahora tengo un iPHone 5 y no vuelvo para Android ni que me maten. La diferencia es del cielo a la tierra.

Añadir Comentario

tu nombre
tu email
(opcional)
web personal
(opcional)
en respuesta a...
comentario de caracteres máximo
9 + 2 = requerido (control anti-SPAM)
¿De qué color es el cielo?: requerido (control anti-SPAM)
 

"Wow! hace mucho esperaba un articulo como este. Excelente."

por "Adonis Nuñez" en oct 29, 2014


en camino a la singularidad...

©2005-2024 josé c. elías
todos los derechos reservados
como compartir los artículos de eliax