Investigadores de seguridad encontraron una falla de seguridad en la forma en que los fabricantes de laptops están implementando la autenticación por huella dactilar de Windows Hello, el sistema de inicio de sesión biométrico de Microsoft. Según un informe de la empresa de ciberseguridad CyberArk, los atacantes podrían aprovechar estos fallos para acceder a los dispositivos bloqueados sin necesidad de la huella dactilar del usuario.
Windows Hello es un sistema de tecnología biométrica desarrollado por Microsoft que permite a los usuarios de Windows 10 y Windows 11 autenticarse en sus dispositivos, aplicaciones y servicios en línea con solo un reconocimiento facial o de huellas dactilares, en lugar de utilizar contraseñas.
El problema radica en que algunos portátiles almacenan las huellas dactilares en un formato no cifrado y accesible dentro del dispositivo, en lugar de usar el módulo de plataforma segura (TPM) integrado en el sistema operativo Windows. Esto permite a los atacantes extraer las huellas dactilares de la memoria del dispositivo y crear una imagen falsa que pueda engañar al sensor de huellas dactilares.
Los investigadores de CyberArk probaron este método en varios modelos de portátiles de Dell, Asus, Acer, Lenovo y MSI, y lograron eludir la autenticación por huella dactilar de Windows Hello en todos ellos. Advirtieron que este fallo podría poner en riesgo la seguridad de los datos personales y profesionales de los usuarios, especialmente si los dispositivos se pierden o son robados.
La respuesta de Microsoft
Vulnerabilidades. Foto AFPCyberArk informó de este fallo a Microsoft y a los fabricantes de portátiles afectados en julio, y algunos de ellos ya han lanzado actualizaciones de firmware para solucionarlo.
Microsoft también ha publicado una guía para los fabricantes de dispositivos sobre cómo implementar correctamente la autenticación por huella dactilar de Windows Hello1. Los usuarios pueden comprobar si sus dispositivos son vulnerables a este fallo mediante una herramienta gratuita desarrollada por CyberArk2.
Mientras tanto, lo más seguro para quienes tengan estos equipos es usar un factor doble de autenticación para, si el ID biométrico es comprometido, tener una puerta más de acceso que los hackers no necesariamente tengan.