Nueva API de Google para la autenticación biométrica en Android P

Android P será la próxima versión del sistema operativo Android. Se anunció el pasado 7 de marzo por Google, quien lanzó la vista previa para desarrolladores el mismo día. La segunda vista previa, de calidad beta, se lanzó el 8 de mayo y ha estado disponible para smartphones como Google Pixel 2, XL, Sony Xperia XZ2 y Xiaomi Mi Mix 2S entre otros. Esta versión promete cambios importantes en la interfaz de usuario, funciones experimentales y mejoras en la seguridad.

Respecto a esto último, los de Mountain View acaban de anunciar una nueva API relacionada con la autenticación biométrica. Ésto permitiría a los desarrolladores incrementar la seguridad en sus aplicaciones. ¿Y cómo funciona esto exactamente, cómo nos afectará su implementación en la nueva versión del sistema operativo más utilizado en smartphones?

Lo primero es explicar qué es una API. El término viene del inglés Application Programming Interfaces y se traduciría como interfaces de programación de aplicaciones. Se trata de una proposición formal sobre cómo se comunica un módulo de software con otro. Dicho de otro modo: son un conjunto de comandos y funciones informáticas que ayudan a los desarrolladores a crear programas dirigidos a un sistema operativo concreto.

Por otra parte tenemos la autenticación biométrica como método de seguridad, es decir, el típico desbloqueo de smartphone por reconocimiento de huellas dactilares, rostro, iris, voz... Actualmente es el método preferido por los usuarios en su interacción con sus móviles. Por ello, aunque existen otros métodos de autenticación más seguros, Google apuesta por mejorar un método aclamado por considerarse poco intrusivo y muy rápido.

En efecto, la creciente popularidad de la autenticación biométrica se debe a que es más rápido mirar la pantalla del móvil que escribir una contraseña. Ni qué decir de tener una llave de seguridad que pueda perderse o la posibilidad de olvidarse de nuestro patrón de dibujo para el desbloqueo. Además, es bastante difícil trampearlo, a diferencia de lo que pasa con las autenticaciones que se basan en conocer un dato.

Google planea mejorar dos ámbitos respecto a la autenticación biométrica desarrollada para Android P:

  • Definir el mejor modelo posible para la medición de la seguridad biométrica y usarlo de forma que restrinja otro métodos de autenticación más débiles.

  • Ofrecer un punto de entrada común a la plataforma. De éste modo los desarrolladores podrán integrar la autenticación biométrica en la programación de sus aplicaciones.

En estos momentos hay dos factores a considerar para la autenticación biométrica: la tasa de rechazo falso (FRR) y la tasa de aceptación falsa (FAR). La primera puede resultar una molestia al usuario, cuando el móvil no le reconoce. Sin embargo es fácil repetir la autenticación y no quita mucho tiempo. Es la segunda, la FAR, mide la frecuencia con que un usuario accidental o no legítimo es reconocido de manera accidental como el propietario del smartphone.

Para hacer que la seguridad evolucione, Google ha añadido dos métricas nuevas a Android P. La tasa de aceptación de impostura (IAR) y la tasa de aceptación de spoof (SAR). En su conjunto miden cuán fácil puede resultar a un agente atacante eludir el proceso de autenticación del smartphone.

El spoofing hace referencia al uso de una grabación, fotografía facial o dactilar del usuario para engañar a los mecanismos biométricos. La aceptación de impostores, por su parte, implica la posibilidad de que un extraño imite la información biométrica del usuario, ya sea imitando su voz o intentando parecerse a él.

Las dos nuevas métricas han sido muy útiles para clasificar los mecanismos de autenticación biométrica según su fortaleza o debilidad, siendo el 7% de violaciones de seguridad la barrera escogida: si se producen menos intrusiones el sistema es seguro, mientras que un porcentaje mayor implica una seguridad débil.

La nueva API de Google se llama BiometricPrompt y su objetivo será admitir datos biométricos más detallados, reduciendo el riesgo de accesos no autorizados. Si esto funciona bien, además, supondrá mayores dificultades para que los amigos de lo ajeno se animen a sustraer smartphones ante las dificultades de vulnerar sus sistemas.

De cara a los desarrolladores, esta API supone la opción de comprobar con certeza los niveles de seguridad en los dispositivos donde se ejecuten las aplicaciones que programen. A su vez, esta API les permitirá seleccionar la biometría más adecuada y segura para el dispositivo sin que haya que programar una lógica específica.

Y esto no estará sólo enfocado a los usuarios de los nuevos smartphones, sino que Google promete proporcionar una biblioteca para el soporte de versiones anteriores de Android. Así pues, las aplicaciones podrán gozar de las ventajas de esta API en un rango mayor de móviles y tablets. Sin duda, es un importante avance para garantizar la seguridad de que nuestros valiosos datos se quedarán a buen recaudo en nuestros smartphones.

Suscríbete:

o vía RSS

También te puede interesar