Descubre Noticias de Ciberseguridad en nuestro TecnetBlog

Fallas en Sensores de Huellas: Atacantes Eluden Windows Hello

Escrito por Levi Yoris | Dec 6, 2023 12:01:59 AM

Los avances tecnológicos en el ámbito de la seguridad biométrica han llevado a la implementación de sistemas de autenticación basados en huellas dactilares en una amplia variedad de dispositivos, desde teléfonos inteligentes hasta cerraduras de puertas y sistemas de acceso a edificios. La comodidad y la aparente seguridad de estos sistemas han llevado a su crecimiento en popularidad, pero también han atraído la atención de los investigadores de seguridad que buscan posibles vulnerabilidades. En este artículo, exploraremos las últimas vulnerabilidades descubiertas en los sensores de huellas dactilares y analizaremos si estos sistemas son realmente tan seguros como se promocionan.

 

¿Qué tan seguros son los sensores de huellas dactilares de tu laptop?

 

Los sensores de huellas dactilares son una forma cómoda y rápida de desbloquear tu laptop y acceder a tus datos. Sin embargo, ¿qué tan seguros son realmente estos dispositivos? ¿Pueden ser engañados por hackers maliciosos que quieren robar tu información o tomar el control de tu sistema?

Recientemente, unos investigadores de ciberseguridad han revelado que han logrado burlar la autenticación por huella dactilar de Windows Hello en tres laptops populares de Dell, Lenovo y Microsoft. Estas pruebas de penetración se realizaron a petición de Microsoft para evaluar la seguridad de los sensores de huellas dactilares utilizados en estos dispositivos.

Windows Hello es una función de autenticación biométrica que permite a los usuarios iniciar sesión en sus dispositivos con un PIN (Número de Identificación Personal), reconocimiento de huellas dactilares y reconocimiento facial. Una vez configurada, la función de autenticación por huella dactilar permite a los usuarios verificar su identidad y acceder a los dispositivos Windows usando sus huellas dactilares.

Los escáneres de huellas dactilares utilizan la tecnología “Match on Chip” (MoC), que integra las funciones biométricas directamente en el circuito del sensor de huellas dactilares. Esto elimina la necesidad de almacenar información biométrica sensible en la máquina anfitriona. La comunicación entre el sistema operativo y el chip está cifrada, lo que proporciona una capa adicional de seguridad para evitar el acceso no autorizado por parte de los hackers.

 

Te podrá interesar leer:  Autenticación Biométrica: Mejorando la Seguridad

 

¿Cómo los investigadores de ciberseguridad hackearon la autenticación por huella dactilar de Windows Hello?

 

Los investigadores de ciberseguridad utilizaron diferentes enfoques para explotar las fallas en los sensores de huellas dactilares de los dispositivos:

 

  • El Dell Inspiron 15 contiene una vulnerabilidad de seguridad donde su sensor almacena dos bases de datos de huellas dactilares distintas para Windows y Linux. La falla de seguridad podría permitir a los hackers manipular un paquete de configuración para redirigir el sensor y hacer referencia a la base de datos de Linux en lugar de Windows. Esta técnica permitió a los investigadores usar cualquier huella dactilar para iniciar sesión en las máquinas Windows sin comprometer el Protocolo de Conexión Segura de Dispositivos (SDCP) de Microsoft.

  • En el caso del Lenovo ThinkPad T14s, los investigadores encontraron que el sensor de huellas dactilares de Synaptics utiliza una capa de seguridad de transporte (TLS) personalizada e insegura. El sensor admite el Protocolo de Conexión Segura de Dispositivos (SDCP), aunque está desactivado por defecto. Además, el certificado del cliente y la clave de cifrado son legibles, lo que puede utilizarse para la autenticación en los PC Windows.

  • Sorprendentemente, el sensor de huellas dactilares de la cubierta de Microsoft Surface resultó ser el más vulnerable al compromiso. La falta de medidas de seguridad entre el sistema operativo (OS) y el sensor, combinada con la comunicación en texto claro sobre USB, expone el sistema a importantes riesgos de seguridad.

Los investigadores recomiendan a los usuarios de laptops que se ciñan a los fabricantes de equipos originales (OEM) para que habiliten el SDCP y realicen auditorías independientes de los sensores de huellas dactilares. Sin embargo, el descubrimiento de las vulnerabilidades supone un golpe para la autenticación basada en biometría de Windows Hello. En julio de 2021, Microsoft tuvo que solucionar problemas de seguridad donde los adversarios podían suplantar la cara de un objetivo y burlar la pantalla de inicio de sesión.

 

Te podrá interesar leer:  Detectando Debilidades: Explorando Vulnerabilidades

 

¿Qué otras amenazas existen para los sensores de huellas dactilares?

 

Además de las vulnerabilidades mencionadas, existen otras amenazas potenciales para los sensores de huellas dactilares que los usuarios deben tener en cuenta. Por ejemplo, algunos investigadores han demostrado que es posible crear huellas dactilares falsas a partir de imágenes o moldes que pueden engañar a los sensores. También se ha descubierto que algunos sensores de huellas dactilares de los teléfonos inteligentes son propensos a ataques de fuerza bruta que pueden probar todas las combinaciones posibles de huellas dactilares hasta encontrar una coincidencia.

Por lo tanto, los usuarios deben ser conscientes de los riesgos asociados al uso de los sensores de huellas dactilares como método de autenticación y tomar medidas para proteger sus dispositivos y datos. Algunas de las medidas que se pueden adoptar son:

 

  • Habilitar el SDCP si el sensor lo admite y asegurarse de que está actualizado con el último firmware y controladores.
  • Usar una contraseña fuerte o un PIN como medida de seguridad adicional o alternativa a la huella dactilar.
  • Limpiar el sensor de huellas dactilares después de cada uso para evitar que se queden rastros de las huellas dactilares que puedan ser copiados por los hackers.
  • No usar el sensor de huellas dactilares en dispositivos compartidos o públicos que puedan estar comprometidos o infectados por malware.
  • Evitar exponer el sensor de huellas dactilares a condiciones extremas de temperatura, humedad o suciedad que puedan dañarlo o afectar a su funcionamiento.

 

Te podría interesar leer: Seguridad en RFID: ¿Qué Garantías Ofrece?

 

Los sensores de huellas dactilares son una tecnología útil y conveniente para la autenticación de los usuarios, pero no son infalibles. Los recientes hallazgos de los investigadores de ciberseguridad han puesto de manifiesto las debilidades de algunos de los sensores de huellas dactilares más populares utilizados en las laptops Windows. Estas fallas pueden permitir a los hackers burlar la autenticación por huella dactilar y acceder a los dispositivos y datos de los usuarios. Por lo tanto, los usuarios deben ser cautelosos y seguir las mejores prácticas de seguridad para proteger sus sensores de huellas dactilares y su información personal.