Los sistemas de reconocimiento facial como Windows Hello de Microsoft, están cada vez más presentes y confiamos casi ciegamente en ellos para proteger el acceso a nuestros dispositivos. Ya casi todos los sistemas operativos dan a los usuarios la posibilidad de usar sistemas de reconocimiento facial para iniciar sesión y acceder a zonas seguras, pero se ha comprobado que son también vulnerables.

Windows Hello de Microsoft, el sistema que permite iniciar sesión de Windows 10 mediante reconocimiento facial, puede ser engañado con una fotografía impresa.

Matthias Deeg y Philipp Buchegger, expertos en investigación de seguridad informática de la empresa alemana SySS GmbH.  han publicado tres vídeos en los que ponen a prueba varios equipos con diversas versiones del último sistema operativo de Microsoft.

Según su investigación, Windows 10 Anniversary Update es vulnerable a un ataque de suplantación de identidad utilizando una fotografia infraroja impresa con determinadas características muy concretas de una persona autorizada. Sin embargo, los sistemas con la Creators Update, lanzada en la primera mitad de este año, y la Fall Creators Update, liberada hace unos dos meses, son inmunes a estos métodos si los equipos soportan la característica anti-spoofing y la tienen activada.

Además de las diferentes versiones de Windows Hello de Microsoft probadas, el equipo de SySS también evaluó una serie de ordenadores donde este sistema está disponible, y el fallo ha sido descubierto en la plataforma de Microsoft y en otros equipos, como Dell Latitude.

No siendo una falla simple de descubrir, el ataque a Windows Hello de Microsoft es muy real y se puede utilizar en escenarios reales, para el acceso no autorizado a las máquinas y ordenadores. Aunque, un usuario medio no tendría de qué preocuparse  porque la preparación de un ataque así necesitaría de mucha logística y varias pruebas hasta dar con una impresión capaz de engañar a la autenticacion de Microsoft: una fotografía tomada con una cámara de infrarrojo cercano, tener un brillo y un contraste especialmente modificados, además de estar impresa con una impresora láser. Ciertamente algo difícil, pero no imposible…

Las recomendaciones de estos expertos para evitar en lo posible el ataque a Windows Hello de Microsoft son sólo tres. La primera es que todos los sistemas sean actualizados para la versión Fall Creators Update de Windows 10, donde el Hello es más robusto y requiere una precisión mucho mayor para funcionar.

La segunda recomendación va en el sentido de que este sistema biométrico sea recalibrado en máquinas que lo usen, siendo para ello recogidas nuevas imágenes del usuario. Por último, también se aconseja que se active el sistema anti-spoofing de Hello, que se puede encontrar en las versiones más recientes.

Microsoft aún no se ha pronunciado con respecto ala vulnerabilidad de Windows Hello de Microsoft aunque ya ha sido notificado por SySS para este problema. Sin embargo, dado que la Actualización de Fall Creators parece ser menos vulnerable, debería haber abordado este problema.

Después de que el sistema de reconocimiento facial de Samsung se rompió con una foto y el propio ID de cara ha tenido problemas con gemelos y otras personas, es ahora el turno de Windows Hello de Microsoft ser la víctima y presentar vulnerabilidades graves de seguridad. Este era un sistema presentado como seguro y que ha servido de ejemplo a otros, para mostrar su robustez, que ahora cae por tierra.