Tras el lanzamiento del Apple iPhone X y su sistema de reconocimiento facial, las noticias acerca de la vulnerabilidad de su tecnología de reconocimiento han estado de actualidad con algunos casos sonados. Ahora llega el turno de Microsoft con Windows Hello, un sistema de reconocimiento facial bastante anterior a Face ID de Apple, usado en entornos de seguridad empresarial.
El caso que ha saltado a las páginas de noticias de los medios especializados es el de una foto infrarroja con la que investigadores de la empresa alemana SySS han conseguido engañar al Windows Hello de un Surface Pro 4. El caso es que con la actualización "Creators Update" de Windows 10, se añadieron funcionalidades específicas para atajar este tipo de vulnerabilidades, pero no están habilitadas por defecto, y no son compatibles con todos los dispositivos de hardware de seguridad usados en los equipos con Windows Hello.
El "problema" con los sistemas de reconocimiento facial es que se puedan engañar con una foto del propietario. Conseguir una foto es mucho más fácil que conseguir una copia válida de las huellas dactilares incluso sin que el usuario se de cuenta, por lo que la estadística de la seguridad derivada de ataques por la fuerza bruta se ve perjudicada por el factor de corrección derivado de la posibilidad de hacer una foto o conseguirla en Internet del dueño de un portátil robado.
Windows Hello consta del hardware propiamente dicho, que consiste en una webcam con iluminación infrarroja, y los algoritmos de software empleados para la identificación del rostro. Windows Hello requiere de una foto infrarroja para funcionar, por lo que los investigadores usaron una foto del propietario del equipo tomada con una cámara Ir. Después se retocó y se imprimió en una impresora láser. Esta foto permitió identificar al usuario en un Surface Pro 4 y en un equipo que usaba una cámara discreta USB compatible con Windows Hello.
La versión de Windows 10 1703 incluye una funcionalidad llamada "enhanced anti spoofing" o anti robo mejorado, que exige que se combinen tanto la imagen Ir como la obtenida con la cámara RGB. Con este ajuste activado (hay que hacerlo a través del registro) la foto infrarroja ya no permitía acceder al sistema. El problema es que este ajuste no es compatible con todo el hardware certificado para Windows Hello.
