Cómo los hackers eluden la autenticación de Windows Hello para acceder a tu PC

En mayo, Microsoft inició un cambio significativo hacia un futuro sin contraseñas al implementar alternativas como claves de acceso y Windows Hello en las nuevas configuraciones de cuentas. Esta medida forma parte de una tendencia más amplia que busca mejorar la seguridad y simplificar el acceso de los usuarios.

Sin embargo, hallazgos recientes de los investigadores alemanes Tillmann Osswald y el Dr. Baptiste David, presentados en la conferencia Black Hat de Las Vegas, han revelado vulnerabilidades en la versión empresarial de Windows Hello. Su demostración ilustró un método para comprometer la seguridad biométrica del sistema.

Durante el incidente, el Dr. David logró iniciar sesión en su dispositivo mediante reconocimiento facial, pero Osswald, actuando como un atacante con privilegios de administrador local, explotó una serie de comandos. Inyectó un escaneo facial capturado en otra computadora en la base de datos biométrica del sistema objetivo. Sorprendentemente, el dispositivo se desbloqueó sin dudarlo cuando el atacante se acercó y lo reconoció como el Dr. David.

Entendiendo la vulnerabilidad

El núcleo del problema reside en el funcionamiento interno del marco empresarial de Windows Hello. Al configurar el sistema, este genera un par de claves pública/privada, cuya clave pública se registra a través de un proveedor de identidades de la organización, como Entra ID. Si bien los datos biométricos se almacenan en una base de datos cifrada administrada por el Servicio Biométrico de Windows (WBS), los métodos de cifrado actuales a veces no logran impedir el acceso de un atacante con permisos de administrador local, lo que le permite descifrar estos datos críticos.

Seguridad de inicio de sesión mejorada como solución

Para abordar estas vulnerabilidades, Microsoft ha introducido la Seguridad de Inicio de Sesión Mejorada (ESS). Esta función aísla eficazmente el proceso de autenticación biométrica dentro de un entorno seguro gestionado por el hipervisor del sistema. Sin embargo, la implementación de ESS requiere hardware específico: una CPU moderna de 64 bits compatible con la virtualización de hardware, un chip TPM 2.0, arranque seguro en el firmware y sensores biométricos debidamente certificados.

ESS es muy eficaz para bloquear este ataque, pero no todos pueden usarlo. Por ejemplo, compramos ThinkPads hace aproximadamente un año y medio, pero lamentablemente no tienen un sensor seguro para la cámara porque usan chips AMD y no Intel.

El desafío por delante

A pesar de la eficacia de ESS, una solución integral para las vulnerabilidades existentes en sistemas sin ESS supone un reto importante. Según Osswald y David, corregir los problemas arquitectónicos subyacentes sin un rediseño completo no es viable. Por lo tanto, las empresas que utilizan Windows Hello sin ESS deben considerar la posibilidad de deshabilitar por completo la autenticación biométrica y optar por alternativas como el PIN.

Cómo verificar la compatibilidad de ESS

Para determinar si su sistema es compatible con ESS, acceda a la configuración y revise las «Opciones de inicio de sesión» en su cuenta. Busque el interruptor «Iniciar sesión con una cámara externa o un lector de huellas».Si este interruptor está desactivado, ESS está activo, lo que significa que su lector de huellas USB no podrá iniciar sesión. Al activarlo, se desactiva la función ESS, lo que permite el funcionamiento de los dispositivos externos, aunque con el riesgo de reducir la seguridad.

Captura de pantalla de Configuración: Desactivar el interruptor ESS — Imagen: Microsoft

Según Microsoft, algunos periféricos compatibles con Windows Hello podrían habilitar ESS. Si bien esta función no representa un problema de seguridad inherente, complica el uso del dispositivo. Microsoft recomienda mantener conectado cualquier periférico compatible en todo momento, y se prevé que la compatibilidad total con dispositivos externos con ESS no esté disponible hasta finales de 2025.

Fuente e imágenes