La autenticación biométrica es una pieza clave para no tener que introducir contraseñas en nuestros dispositivos.
Sin embargo, hoy hemos conococido un método para engañar al sistema de reconocimiento facial Windows Hello de Microsoft. En mayo de 2020, Microsoft dijo que el servicio tenía más de 150 millones de usuarios, y en diciembre, la compañía añadió que el 85% de los usuarios de Windows 10 inician sesión con Windows Hello.
La tecnología FaceID de Apple ha hecho que la autenticación por reconocimiento facial se popularice en los últimos años, y Windows Hello ha impulsado aún más su adopción. Apple sólo permite utilizar FaceID con las cámaras integradas en los últimos iPhones y iPads, y todavía no es compatible con los Mac.
Como el hardware de Windows es tan diverso, el reconocimiento facial de Windows Hello funciona con cámaras web de terceros. Sin embargo, donde algunos podrían ver la facilidad de adopción, los investigadores de la empresa de seguridad CyberArk vieron una potencial vulnerabilidad.
No podemos confiar en que cualquier cámara web ofrezca una protección sólida en cuanto a la forma en que recopila y transmite los datos. El reconocimiento facial de Windows Hello sólo funciona con cámaras web que tengan un sensor de infrarrojos además del sensor RGB normal.
Sin embargo, Windows Hello ni siquiera mira los datos RGB. Esto significa que, con una imagen infrarroja directa de la cara de un objetivo, los investigadores consiguieron desbloquear el dispositivo protegido por Windows Hello de la víctima.
Manipulando una cámara web USB para que ofreciera l imagen elegida por el atacante, los investigadores podían engañar a Windows Hello para que pensara que la cara del propietario del dispositivo estaba presente y se desbloqueara.
Microsoft lanzó el martes parches para solucionar el problema. Además, la compañía sugiere que los usuarios habiliten la «seguridad de inicio de sesión mejorada de Windows Hello», que utiliza la «seguridad basada en la virtualización» de Microsoft para cifrar los datos de la cara de Windows Hello y procesarlos en un área protegida de la memoria donde no pueden ser manipulados.
En realidad, este atque no sería fácil de llevar a cabo en la práctica. El hack requiere que los atacantes tengan una imagen infrarroja de buena calidad de la cara del objetivo y tengan acceso físico a su dispositivo. Pero el concepto es importante, ya que Microsoft sigue impulsando la adopción de Hello con Windows 11.