Windows Hello es una función de Windows 10 y Windows 11 que te permite iniciar sesión en tu ordenador con tu rostro, tu iris o tu huella dactilar. Sin necesidad de usar una contraseña. Esta forma de autenticación es más rápida, cómoda y segura que las contraseñas tradicionales. Se basa en algo que es único para ti y que no puedes olvidar ni perder.
Windows Hello utiliza sensores biométricos que capturan tu imagen o tu huella dactilar y la comparan con los datos almacenados en tu dispositivo. Estos datos se guardan de forma cifrada y solo se pueden acceder desde tu ordenador, lo que impide que alguien pueda robarlos o copiarlos.
¿Cómo funciona la autenticación por huella dactilar de Windows Hello?
La autenticación por huella dactilar de Windows Hello es una de las opciones más populares entre los usuarios de Windows 10 y Windows 11. Muchos ordenadores portátiles y de sobremesa cuentan con un lector de huellas integrado o compatible. Para usar esta opción, solo tienes que registrar tu huella dactilar en el sistema y luego colocar tu dedo sobre el lector cada vez que quieras iniciar sesión.
El lector de huellas utiliza un sensor óptico o capacitivo que crea una imagen de tu huella y la compara con la que tienes registrada. Si coinciden, el sistema te permite acceder a tu ordenador. Si no coinciden, el sistema te pide que vuelvas a intentarlo o que uses otro método de autenticación.
¿Qué vulnerabilidad ha descubierto Blackview Intelligence en Windows Hello?
Investigadores de seguridad de Blackwing Intelligence han descubierto múltiples vulnerabilidades en los tres principales sensores de huellas dactilares integrados en los ordenadores portátiles y utilizados ampliamente por las empresas para proteger los portátiles con la autenticación de huellas dactilares Windows Hello.
El departamento de Investigación Ofensiva e Ingeniería de Seguridad (MORSE) de Microsoft pidió a Blackwing Intelligence que evaluara la seguridad de los sensores de huellas dactilares. Los investigadores ofrecieron sus conclusiones en una presentación en la conferencia BlueHat de Microsoft celebrada en octubre. El equipo identificó sensores de huellas dactilares populares de Goodix, Synaptics, y ELAN como objetivos de su investigación, con una entrada de blog recientemente publicada que detalla el proceso en profundidad de la construcción de un dispositivo USB que puede realizar un ataque de hombre en el medio (MitM). Un ataque de este tipo podría proporcionar acceso a un portátil robado, o incluso un ataque de «criada malvada» a un dispositivo desatendido.
Un Dell Inspiron 15, un Lenovo ThinkPad T14 y un Microsoft Surface Pro X fueron víctimas de ataques al lector de huellas dactilares, lo que permitió a los investigadores eludir la protección de Windows Hello siempre que alguien hubiera utilizado previamente la autenticación de huellas dactilares en un dispositivo.
¿Qué riesgos implica esta vulnerabilidad para los usuarios de Windows Hello?
No está claro si Microsoft será capaz de solucionar estos últimos fallos por sí solo. «Microsoft hizo un buen trabajo diseñando el Protocolo de Conexión Segura de Dispositivos (SDCP) para proporcionar un canal seguro entre el host y los dispositivos biométricos, pero por desgracia los fabricantes de dispositivos parecen no entender algunos de los objetivos», escriben Jesse D’Aguanno y Timo Teräs, investigadores de Blackwing Intelligence, en su informe en profundidad sobre los fallos. «Además, SDCP sólo cubre un ámbito muy estrecho del funcionamiento de un dispositivo típico, mientras que la mayoría de los dispositivos tienen expuesta una superficie de ataque considerable que no está cubierta en absoluto por SDCP».
Los investigadores descubrieron que la protección SDCP de Microsoft no estaba activada en dos de los tres dispositivos atacados. Blackwing Intelligence recomienda ahora a los fabricantes de equipos originales que se aseguren de que SDCP está activado y de que la implementación del sensor de huellas dactilares es auditada por un experto cualificado. Blackwing Intelligence también está explorando ataques de corrupción de memoria en el firmware del sensor e incluso la seguridad del sensor de huellas dactilares en dispositivos Linux, Android y Apple.
Además, esta vulnerabilidad podría afectar también a otros servicios y aplicaciones que usen Windows Hello como método de autenticación, como Microsoft Edge, OneDrive, Office 365 o Skype. Esto significa que el atacante podría acceder también a tu historial de navegación, tus documentos, tus correos, tus contactos y tus conversaciones.
¿Qué puedes hacer para protegerte de esta vulnerabilidad?
Microsoft ha reconocido la existencia de esta vulnerabilidad y ha anunciado que está trabajando en una solución que se lanzará en una próxima actualización. Mientras tanto, te recomendamos que sigas estos consejos para protegerte de esta amenaza:
- Usa otro método de autenticación de Windows Hello, como el reconocimiento facial o el iris, que son más difíciles de falsificar que la huella dactilar.
- Activa la opción de requerir un PIN o una contraseña adicional junto con la huella dactilar para iniciar sesión en tu ordenador. Puedes hacerlo desde la configuración de Windows Hello.
- Limpia el lector de huellas después de usarlo y evita dejar rastros de tu huella en objetos que puedan caer en manos de terceros.
- Mantén tu ordenador actualizado con las últimas versiones de Windows 10 y los controladores del lector de huellas.
Tanta historia para sustituir pins y contraseñas, para terminar volviendo a ellas deprisa y corriendo.