Windows Hello, el sistema que permite iniciar sesión en Windows 10 mediante huella o reconocimiento facial, puede ser engañado con una fotografía impresa según Matthias Deeg y Philipp Buchegger, expertos en seguridad informática de la empresa alemana SySS GmbH. Estos investigadores han publicado tres vídeos en los que ponen a prueba varios equipos con diversas versiones del último sistema operativo de Microsoft.
Según su investigación, Windows 10 Anniversary Update es vulnerablea un ataque de suplantación de identidad utilizando una foto impresa con determinadas características muy concretas de una persona autorizada. Los sistemas con la Creators Update, lanzada en la primera mitad de este año, y la Fall Creators Update, liberada hace unos dos meses, sin embargo, son inmunes a estos métodos si los equipos soportan la característica anti-spoofing y la tienen activada.
“Solamente necesita una impresión especial”
“Un atacante”, dicen, “solo necesita una impresión especial”. La fotografía capaz de burlar la seguridad de Windows Hello debería mostrar una vista frontal del rostro de una persona autorizada, estar tomada con una cámara de infrarrojo cercano, tener un brillo y un contraste especialmente modificados, además de estar impresa con una impresora láser.
No es fácil, aunque tampoco imposible, porque la preparación de un ataque así necesitaría de mucha logística y varias pruebas hasta dar con una impresión capaz de engañar a la autenticación de Microsoft. Por estas razones, un usuario medio no tendría de qué preocuparse, aunque sí tomar consciencia de que prácticamente ningún método es absolutamente infalible. Aunque la solución sea muy innovadora y aparentemente robusta.
Cabe destacar, por último, que los usuarios de Windows 10 actualizados que configuraron previamente Windows Hello en una versión anterior del sistema, según indican desde la empresa alemana, continuarían siendo vulnerables. Por esta razón los investigadores recomiendan configurar el reconocimiento facial desde cero asegurándose de activar el anti-spoofing si el ordenador es compatible.