Entonces, ¿cómo pueden las personas piratear un escaneo de huellas digitales de Windows Hello? ¿Deberías preocuparte por eso?

¿Puede la gente piratear los escáneres de huellas dactilares de Windows Hello?

Si un hacker quiere eludir un escáner de huellas dactilares en una máquina con Windows, su objetivo es eludir un servicio llamado Windows Hello. Este servicio maneja cómo inicia sesión en Windows, como PIN, escaneos faciales y escaneos de huellas dactilares.

Como parte de la investigación sobre la fortaleza de Windows Hello, dos hackers de sombrero blanco, Jesse D'Aguanno y Timo Teräs, publicaron un informe en su sitio web, Blackwing HQ. El informe detalla cómo violaron tres dispositivos populares: Dell Inspiron 15, Lenovo ThinkPad T14 y Microsoft Surface Pro Type Cover.

Cómo los piratas informáticos violaron Windows Hello en Dell Inspiron 15

Para Dell Inspiron 15, los piratas informáticos notaron que podían iniciar Linux en la computadora portátil. Una vez que hayan iniciado sesión en Linux, pueden registrar sus huellas digitales en el sistema y darle la misma identificación que el usuario de Windows en el que desean iniciar sesión.

Luego, realizan un ataque de intermediario en la conexión entre la PC y el sensor. Lo configuraron para que cuando Windows vuelva a verificar que una huella digital escaneada sea legítima, termine revisando la base de datos de huellas digitales de Linux en lugar de la suya propia.

Para esquivar Windows Hello, los piratas informáticos cargaron sus huellas digitales en la base de datos de Linux, le asignaron la misma identificación que el usuario en Windows y luego intentaron iniciar sesión en Windows con sus huellas digitales. Durante el proceso de autenticación, redirigieron el paquete a la base de datos de Linux, lo que le dijo a Windows que el usuario con el ID especificado estaba listo para iniciar sesión.

Cómo los piratas informáticos violaron Windows Hello en el Lenovo ThinkPad T14

Para Lenovo ThinkPad, los piratas informáticos descubrieron que la computadora portátil utilizaba un método de cifrado personalizado para verificar las huellas dactilares. Con un poco de trabajo, los piratas informáticos lograron descifrarlo, lo que les permitió acceder al proceso de verificación de huellas dactilares.

Una vez hecho esto, los piratas informáticos podrían obligar a la base de datos de huellas dactilares a aceptar su huella digital como la del usuario. Luego, todo lo que tenían que hacer era escanear su huella digital para acceder al Lenovo ThinkPad.

Cómo los piratas informáticos violaron Windows Hello en la funda con teclado Microsoft Surface Pro

Los piratas informáticos creían que Surface Pro sería el dispositivo más difícil de descifrar, pero se sorprendieron al descubrir que Surface Pro carecía de una muchas medidas de seguridad para verificar huellas dactilares válidas. De hecho, descubrieron que solo tenían que esquivar una defensa, luego decirle al Surface Pro que el escaneo de huellas dactilares fue exitoso y el dispositivo los dejó entrar.

¿Qué significan estos trucos para usted?

Estos trucos pueden parecer bastante aterradores si usas huellas digitales para iniciar sesión en tu computadora portátil. Sin embargo, es esencial recordar algunas cosas cruciales antes de renunciar por completo a los escaneos de huellas dactilares.

1. Los ataques fueron realizados por piratas informáticos expertos

La razón por la que las amenazas como el ransomware como servicio son tan mortales es que cualquier persona con un mínimo de ciberseguridad puede utilizarlas. Sin embargo, los trucos anteriores requieren un alto nivel de experiencia, con un profundo conocimiento de cómo los dispositivos autentican las huellas dactilares y cómo evitarlas.

2. Los ataques requieren que el atacante interactúe físicamente con el dispositivo

Los piratas informáticos deben tener contacto físico con el dispositivo para realizar los ataques anteriores. En el informe, los piratas informáticos afirmaron que podrían crear dispositivos USB que puedan realizar el ataque una vez conectados, pero eso significa que un atacante potencial necesita conectar algo a su PC para piratearlo.

3. Los ataques solo funcionan en dispositivos específicos

Notarás que cada ataque tenía que tomar un camino diferente para lograr el mismo objetivo. Cada dispositivo es único y un truco que funciona en un dispositivo puede no funcionar en otro. Como tal, no deberías creer que Windows Hello ahora se ha abierto de par en par en todos los dispositivos; Son sólo estos tres los que fracasaron.

Si bien estos trucos pueden parecer aterradores, será un desafío realizarlos contra objetivos reales. Es probable que el pirata informático tenga que robar el dispositivo para realizar estos ataques, lo que sin duda alertaría al propietario anterior.

Cómo mantenerse a salvo del pirateo de huellas dactilares

Como se indicó anteriormente, los hacks descubiertos son complicados de realizar y pueden requerir que el pirata informático retire el dispositivo para piratearlo físicamente. Como tal, existe una probabilidad extremadamente baja de que estos ataques se dirijan a usted personalmente.

Sin embargo, si aún no estás satisfecho, existen algunas formas de protegerte de los hacks del escáner de huellas dactilares:

1. No dejes los dispositivos desatendidos y desprotegidos

porque un pirata informático necesitará interactuar físicamente con su dispositivo, debe asegurarse de que no caiga en las manos equivocadas. En el caso de las computadoras, puedes tomar medidas para evitar que te las roben. Si está utilizando una computadora portátil, nunca la deje sola en un espacio público y use una bolsa antirrobo para computadora portátil para evitar que la gente rompa su bolsa.

2. Utilice un método de inicio de sesión diferente

Windows Hello admite muchos métodos de inicio de sesión diferentes, algunos más seguros que otros. Si ya no te encantan los escaneos de huellas dactilares, comprueba si los inicios de sesión mediante rostro, iris, huellas dactilares, PIN o contraseña son más seguros y elige el que más te convenga.

Si estás preocupado por estos hacks, es importante recordar que hay muy pocas posibilidades de que se dirijan a ti específicamente. Como tal, debería estar seguro al utilizar escaneos de huellas dactilares; simplemente no permita que la gente robe sus dispositivos.