Así engañan los hackers a Windows Hello para entrar en tu PC

Desde el pasado mayo, las cuentas de Microsoft de nueva creación, por defecto, no utilizan contraseñas. En su lugar, la compañía prefiere configurarlas con opciones como las passkeys y Windows Hello. Pese a buscar una mayor seguridad con estas decisiones, la identificación biométrica de Windows es hackeable, como han demostrado los investigadores alemanes Tillmann Osswald y Dr. Baptiste David, en la conferencia Black Hat de Las Vegas, con la versión empresarial de Windows Hello.

Osswald y David realizaron una demostración en vivo del hackeo. Después de que David iniciara sesión en su equipo con su propio rostro, Osswald, actuando como atacante con privilegios de administrador local, ejecutó unas pocas líneas de código. A continuación, inyectó su propio escaneo facial -capturado en otro ordenador- en la base de datos biométrica de la máquina objetivo. Después se puso delante de la cámara y el equipo se desbloqueó al instante, aceptando su rostro como si fuera el de David, informan desde The Register.

Para entenderlo, hay que fijarse en el funcionamiento interno. En entornos empresariales, cuando se configura Windows Hello por primera vez, se genera un par de claves, pública y privada. La clave pública se registra con el proveedor de identidad de la organización, como Entra ID.

Los datos biométricos, sin embargo, se almacenan en una base de datos gestionada por el Windows Biometric Service (WBS), que está cifrada. Al autenticarse, el sistema compara el escaneo en tiempo real con la plantilla almacenada.

El problema es que, en algunas implementaciones, el cifrado que protege esa base de datos no puede impedir que un atacante con privilegios de administrador local la descifre y acceda a los datos biométricos.

Ahí entra Enhanced Sign-in Security (ESS, Seguridad de inicio de sesión mejorada), la solución de Microsoft que aísla todo el proceso de autenticación biométrica dentro de un entorno seguro gestionado por el hipervisor del sistema. ESS es muy eficazpara bloquear este ataque, pero no todos pueden usarlo.

Para que ESS funcione, el equipo debe tener un hardware muy específico: CPU de 64 bits con soporte de virtualización por hardware (ESS se basa en la seguridad mediante virtualización), chip TPM 2.0, Secure Boot activado en el firmware y sensores biométricos certificados. Microsoft exige este nivel de protección en su nueva línea de Copilot+ PCs, pero, como señala Osswald, muchos ordenadores actuales no cumplen con estos requisitos.

El problema es serio. Según Osswald y David, aplicar un parche definitivo es muy difícil o incluso imposiblesin un rediseño profundo, porque afecta a la arquitectura fundamental de cómo los sistemas sin ESS almacenan los datos biométricos.

Por ahora, si usas un equipo empresarial con Windows Hello sin ESS, recomiendan desactivar por completo la autenticación biométrica y utilizar un PIN u otro método.

La forma más sencilla de comprobar si tu equipo es compatible con ESS es ir a la configuración del sistema. En las Opciones de inicio de sesión de tu cuenta, en el apartado Configuración adicional, busca un parámetro llamado 'Iniciar sesión con una cámara o lector de huellas externos'.

Si el deslizador indica que está apagado, ESS está activo, lo que también significa que un lector de huellas USB externo que compres no funcionará para iniciar sesión en Windows. Si lo activas, deshabilitas ESS y podrás usar periféricos externos, pero con menos seguridad.

Microsoft afirma que algunos periféricos 'compatibles con Windows Hello' pueden activar ESS en tu dispositivo. Aunque esto no supone un riesgo de seguridad, crea limitaciones: la compañía aconseja conectarlos antes del primer arranque y no desconectarlos nunca. El soporte completo para dispositivos externos con ESS no se espera antes de finales de 2025.