Un fallo permitía eludir la autenticación facial en Windows Hello
CyberArk alerta de que los ciberdelincuentes podrían saltarse las barreras de seguridad en este tipo de sistemas usando una cámara USB personalizada y una foto de la víctima.
Una investigación de CyberArk Labs sobre la herramienta de identificación biométrica Windows Hello concluye que los ciberdelincuentes pueden aprovecharse de una vulnerabilidad para eludir la autenticación.
Con una cámara USB personalizada y una foto del usuario objetivo de la suplantación, podrían manipular los límites de seguridad que impone el mecanismo de reconocimiento facial de Microsoft. Es más, las indagaciones realizadas por CyberArk concluyen que esto podría replicarse en otros sistemas de autenticación que dejan que una cámara de terceros actúe como sensor biométrico.
Esto derivaría en posibilidades de espionaje dirigido, donde se conoce a la víctima y se requiere de acceso físico al dispositivo.
“Según nuestras pruebas, el uso de seguridad de inicio de sesión mejorada con hardware compatible limita la superficie de ataque, pero depende de que los usuarios tengan determinadas cámaras”, señala Omer Tsarfati, miembro del equipo de investigación cibernética de CyberAr. “Para mitigar este problema de confianza inherente de manera más completa, el host debe validar la integridad del dispositivo de autenticación biométrica antes de confiar en él”, indica.
La vulnerabilidad en Windows Hello ya ha sido corregida por Microsoft a través de un parche de seguridad. Se calcula que un 85 % de los usuarios de Windows 10 usa esta función para autenticarse sin necesidad contraseña.