Igual que en los teléfonos móviles, la huella se ha convertido en una opción muy rápida, cómoda y sencilla de iniciar sesión en el PC. Desde Windows 1o, el sistema operativo cuenta con una herramienta, llamada Windows Hello, que simplifica al máximo el inicio de sesión permitiendo usar reconocimiento facial, huella dactilar, un PIN, etc. Sin embargo, es posible que esta medida de seguridad no esté siendo tan segura como debería ser.
Hace un par de días, un grupo de investigadores de seguridad de Blackwing Intelligence ha reportado una serie de fallos de seguridad muy graves en los tres lectores de huellas digitales más frecuentes del mercado. Hay muchos modelos afectados, pero uno de los que más nos ha llamado la atención ha sido el lector que viene incluido en la propia Microsoft Surface Pro Type Cover, la Tablet 2 en 1 por excelencia de Microsoft.
Los sensores afectados por estos fallos de seguridad son del tipo MoC, es decir, Match on Chip. Este tipo de sensores se caracterizan por usar microprocesadores integrados con los cuales realizan la verificación de las solicitudes de autenticación. Es la forma más barata de hacer un lector de huellas, pero también es la más insegura, puesto que abre varias vías de ataque a los piratas informáticos.
Para evitar estos vectores de ataque, Microsoft creó un protocolo de conexión segura, SDCP, mediante el cual se garantiza que el lector sea de confianza y no esté manipulado. Sin embargo, los investigadores han descubierto varias técnicas para evadir las medidas de seguridad y conseguir suplantar las conexiones SDCP para reescribir la base de datos de huellas guardadas por otras. Incluso descubrieron que uno de los chips, ELAN, usado por la Microsoft Surface Pro, ni siquiera utilizaba la conexión SDCP, sino que se comunicaba por USB sin cifrar.
¿Qué puedo hacer?
Por desgracia, estos problemas de seguridad no dependen de nosotros. Por lo tanto, no hay mucho que podamos hacer. Deben ser los fabricantes quienes, si quieren ofrecer a los usuarios una conexión lo más segura posible, tienen que actualizar el firmware de los chips de los lectores, algo que, siendo sinceros, es complicado que ocurra.
Además, dependiendo de la naturaleza del diseño del lector de huellas (por ejemplo, en el caso de la Surface), incluso va a ser imposible solucionarlo sin una revisión de hardware.
Ahora bien, el fallo de seguridad existe, y es real. Pero, ¿realmente nos afecta? Lo primero que debemos saber es que se trata de un fallo bastante complicado de explotar, por lo que no está al alcance de cualquiera. También requiere acceso físico al dispositivo (es decir, que nos lo hayan robado), y también evadir antes otras capas de seguridad, como BitLocker, para poder llegar hasta la ventana de login de Windows Hello.
Si a todo lo anterior le sumamos que estos fallos de seguridad no son públicos, sino que se han detectado por investigadores de seguridad de White Hat, es complicado que acaben en manos de piratas informáticos. De todas formas, si no te fías ahora de la seguridad de Windows Hello, siempre puedes deshabilitar el uso de la huella, iniciando sesión con PIN, contraseña, o el método que prefieras.