Windows Hello es una nueva forma segura de iniciar sesión con nuestro rostro, un sistema de reconocimiento facial de toda la vida, pero integrado en Windows 10.
Iniciar sesión de esta manera hace que el dispositivo use la cámara web para comprobar que efectivamente somos el usuario en cuestión y nos dejará entrar al sistema sin utilizar pin o clave. Lo único que necesitamos para utilizar Windows Hello es una webcam compatible con infrarrojos en tu ordenador.
Hecha la ley, hecha la trampa
Sin embargo, hoy hemos conocido un método para engañar al sistema de reconocimiento facial Windows Hello de Microsoft. Según las investigaciones que ha realizado la conocida firma de seguridad CyberArk, se ha conseguido engañar al sistema usando imágenes del propietario del ordenador sin que este estuviera presente.
Esto es algo que ya se había probado en sistemas de reconocimiento facial de los iPhones y los dispositivos Samsung. El problema viene cuando nos enteramos de que más de 150 millones de personas tienen este método para iniciar sesión en su ordenador, y el 85% de los usuarios lo emplean diariamente. Esto supone un potencial riesgo de seguridad para todos los consumidores de Windows 10.
Una pequeña vulnerabilidad difícil de ejecutar
Los investigadores han descubierto que el sistema únicamente procesa fotogramas infrarrojos. Por lo tanto, para engañarlo solo tuvieron que crear un dispositivo USB personalizado que contuviese fotos infrarrojas del usuario e imágenes RGB.
Curiosamente Windows Hello reconoció el dispositivo como una cámara USB y se desbloqueó con éxito solo con las fotos infrarrojas del usuario.
Cabe aclarar que, a pesar de esta vulnerabilidad, CyberArk considera bastante improbable que un usuario pueda entrar a un ordenador ajeno con esta técnica.
El hack requiere que los atacantes tengan una imagen infrarroja de buena calidad de la cara del objetivo y tengan acceso físico a su dispositivo. Pero es importante conocer esta laguna, ya que Microsoft sigue queriendo implementar este sistema en todos los dispositivos.
No es la primera vez que ocurre
Microsoft es consciente de esta vulnerabilidad y ya ha lanzado anteriormente parches para Windows Hello para evitar este tipo de problemas.
Mientras tanto, la compañía sugiere que los usuarios habiliten la 'seguridad de inicio de sesión mejorada de Windows Hello', que utiliza la seguridad basada en la virtualización de Microsoft para cifrar los datos de la cara de Windows Hello y procesarlos en un área protegida de la memoria donde no pueden ser manipulados.
Apúntate a nuestra newsletter y recibe en tu correo las últimas noticias sobre tecnología.
Comentarios
Hemos bloqueado los comentarios de este contenido. Sólo se mostrarán los mensajes moderados hasta ahora, pero no se podrán redactar nuevos comentarios.
Consulta los casos en los que 20minutos.es restringirá la posibilidad de dejar comentarios