Una foto es todo lo que se necesita para engañar a Windows Hello e iniciar sesión en Windows 10

Escrito por Rubén Velasco

Los sistemas de reconocimiento facial están ganando una gran popularidad entre los usuarios, sobre todo en los dispositivos móviles. Igual que el iPhone X tiene su propio sistema, desde la llegada de Windows 10, Microsoft cuenta con Windows Hello, su sistema de reconocimiento facial, similar al de Apple, que permite reconocer a los usuarios y, si se verifica su identidad, iniciar sesión sin tener que escribir ninguna contraseña. Sin embargo, igual que ocurre con el FaceID de Apple, Hello puede no ser tan seguro y fiable como debería ser.

Ayer, los compañeros de AdslZone comparaban la seguridad del Face ID de Apple con la de Windows Hello. Igual que hay varias formas de engañar al FaceID (por ejemplo, con una máscara 3D), el sistema de reconocimiento facial de Windows 10 tampoco es invulnerable, y es que es posible engañarlo utilizando una simple fotografías.

La empresa de seguridad alemana Syss ha informado de una vulnerabilidad en Windows Hello que puede permitir, utilizando una simple fotografía modificada, iniciar sesión en cualquier sistema engañando al motor biométrico del sistema operativo y brindando acceso no autorizado al sistema. Esta vulnerabilidad ha sido considerada como de peligrosidad alta, pero de momento no ha recibido un código CVE.

Este fallo de seguridad afecta a todas las versiones de Windows 10, desde la November Update (Windows 10 1511) hasta la Fall Creators Update. Aunque con el lanzamiento de la Creators Update, la seguridad de Windows Hello fue reforzada, añadiendo algunos atributos adicionales a la imagen, con un esfuerzo insignificante, también es posible eludir la seguridad de Hello y lograr acceder al sistema sin permiso.

Logo Windows Hello

Cómo utilizar Windows Hello de forma segura en Windows 10

Como hemos dicho, esta vulnerabilidad afecta a todas las versiones de Windows 10, aunque es mucho más peligroso en las anteriores a la Creators Update, lanzada ya el pasado mes de abril de 2017. Por ello, si utilizamos este sistema para iniciar sesión en el equipo, es recomendable que tengamos nuestro Windows 10 actualizado a la última versión, actualmente la Fall Creators Update, para poder hacer uso de la función “Enhanced Anti-Spoofing” para poder usar este sistema de inicio de sesión de forma un poco más segura. Como hemos dicho, los atacantes también pueden eludir la seguridad del “Enhanced Anti-Spoofing”, aunque, al menos, será un poco más complicado.

Si hemos actualizado desde una versión vulnerable (antes de la Creators Update) y no hemos vuelto a configurar de nuevo Windows Hello, es muy probable que seamos vulnerables a este simple fallo de seguridad al no tener disponible la medida de seguridad “Enhanced Anti-Spoofing”. Por ello, es recomendable que, tras actualizar a la Creators Update o a la Fall Creators Update, volvamos a configurar desde cero Windows Hello de manera que se genere una nueva forma segura de iniciar sesión.

Como podemos ver, aunque el reconocimiento facial es bastante cómodo, no es realmente la opción más segura para proteger nuestros equipos y dispositivos. Por ello, si podemos evitarlo, es mucho mejor utilizar otras técnicas de bloqueo y desbloqueo antes que Windows Hello, evitando que otros puedan tomar el control del equipo con relativa facilidad.

¿Qué te parece que a estas alturas los sistemas de reconocimiento facial sigan siendo tan vulnerables?

Fuente > Fuente