Con cada vez más notebooks dotados de sensores de huellas digitales, muchos usuarios confían en el sistema Windows Hello para iniciar su jornada rápidamente.
Teóricamente se trata de un proceso seguro. Nadie sin la punta de tu dedo podría ingresar a tu PC y hurgar entre tus datos… ¿o no?
Pues, la consultora de seguridad neoyorkina Blackwing Intelligence se percató de que sí es posible entrar a tu computadora, con un proceso impresionantemente fácil, y por cierto, sin necesidad de cortarte el dedo como haría la mafia.
De hecho, hicieron la demostración durante el último evento Bluehat auspiciado por la propia Microsoft, con el fin de detectar vulnerabilidades. Para la prueba, iniciaron sesión en un Dell Inspiron 15, un Lenovo ThinkPad T14 y un Microsoft Surface Pro 8/X, en todos, sin recurrir a la huella digital de los dueños.
Cómo entrar a un computador usando el sensor de huella digital
¿Cómo lo lograron? Verán, para iniciar sesión con tu huella, el notebook crea un patrón de ella y lo convierte en una clave (ID), la cual es almacenada dentro de un chip del propio sensor. Luego, cuando pones la punta de tu dedo sobre él, el sensor compara los patrones y si coinciden, bingo: tienes acceso.
Pero Jesse D’Aguanno y Timo Teräs, de Blackwing Intelligence, se dieron cuenta de algo.
Si utilizas el sistema libre Linux para iniciar sesión en el computador -lo que puede realizarse con un simple pendrive USB- podrás recurrir al controlador de Linux para tener acceso a las claves almacenadas en los chips de cada sensor.
Luego, puedes ingresar tu propia huella digital haciendo que coincida con una de las claves ya existentes. Desde luego el sensor no es tan tonto, y guardará esta nueva clave en un apartado para Linux, diferente del de Windows.
Pero aquí viene la belleza malévola del sistema: usando un simple dispositivo conocido en la comunidad hacker (y que no les diremos cómo conseguir o construir), se conecta al computador y, durante el inicio, engañará al equipo para que Windows busque la clave de acceso en el apartado de Linux.
Y voilà, ya estamos dentro.
Según aseguraron D’Aguanno y Teräs a The Register, esto no es un problema de Windows ni de los fabricantes de computadores (ni de tu huella digital), sino de un absurdo fallo de seguridad de los fabricantes de sensores biométricos. En este caso, de las empresas Goodix, Synaptics y ELAN.
Cualquier computador que tenga sensores de estas firmas, está en riesgo de ser violentado.
¿Cómo evito que alguien vulnere el sensor de huellas de mi equipo?
Si temes que tu equipo pudiera ser intervenido o robado, ambos expertos en seguridad afirmaron que si se activa la contraseña del equipo en la BIOS (el sistema que se inicia brevemente al prender el computador, previo a Windows) y además se activa la función de cifrado/encriptación de tu disco duro/SSD, para un atacante será prácticamente imposible llegar a tus datos aunque use los métodos anteriores.
Y claro, también está la posibilidad de que uses un sistema libre como Linux en vez de Windows, como Fedora.
Si no le gusta, no le devolvemos su dinero porque es gratis.