Nada es infalible, ni tampoco la última tecnología de autenticación, y ahora investigadores de seguridad han conseguido engañar al sistema de autenticación Windows Hello de Microsoft, y así lo han hecho.

Windows Hello es una nueva forma segura de iniciar sesión con nuestro rostro, un sistema de reconocimiento facial de toda la vida pero integrado en Windows 10 y que nos permite de esta manera que la cámara web compruebe que somos realmente el usuario para que nos deje entrar al sistema sin necesidad de introducir una clave.

Lo único que necesitas para utilizar el reconocimiento de Windows Hello es una webcam compatible con infrarrojos en tu ordenador, y si bien también se puede utilizar con huella dactilar, el principal peso radica en el desbloqueo facial que parece ser fácilmente manipulable.

Ahora investigadores de la firma de seguridad CyberArk han logrado engañar a este sistema de reconocimiento facial Windows Hello utilizando imágenes del rostro del propietario del ordenador, sin que estuviera presente.

Parece ser, que los investigadores han descubierto que el sistema únicamente procesa fotogramas infrarrojos y para ello crearon un dispositivo USB personalizado que cargaron con fotos infrarrojas del usuario e imágenes RGB. Curiosamente Windows Hello reconoció el dispositivo como una cámara USB y se desbloqueó con éxito solo con las fotos infrarrojas del usuario.

Cabe aclarar, que a pesar de esta pequeña vulnerabilidad, parece bastante improbable que un usuario pueda entrar a un ordenador ajeno con esta técnica dado que no solo necesitaría acceso físico al ordenador durante un rato, sino también una foto IR del usuario propietario.

No es la primera vez que pasa, y no obstante Microsoft ya ha lanzado anteriormente parches para Windows Hello para evitar este tipo de cuestiones, y están recomendando activar la “seguridad de inicio de sesión mejorada de Windows Hello” que lo que hace es que cifra los datos faciales del usuario y los almacenará en un área protegida.