Descubren cómo burlar la autenticación biométrica de Windows Hello

9/10/2025 03:00:00 p.m.

LA VOZ DE GOICOECHEA (Por David Hernández).- Nuevo ataque en Windows Hello permite a un administrador local eludir la autenticación biométrica y acceder a cuentas corporativas; Microsoft confirma la vulnerabilidad y recomienda precaución.

Investigadores de seguridad han descubierto una vulnerabilidad crítica en Windows Hello for Business, el sistema de autenticación biométrica de Microsoft.

La vulnerabilidad fue presentada en la conferencia Black Hat en Estados Unidos, bajo una técnica bautizada como FacePlant, que permite a atacantes con privilegios administrativos eludir la autenticación mediante rostro o huella digital y acceder a cuentas corporativas sin necesidad de la credencial legítima.

El ataque no engaña a la cámara ni explota fallos de hardware, sino que actúa sobre la forma en que Windows Hello almacena y verifica los datos biométricos.

El ataque comienza con la creación de un perfil biométrico del atacante en cualquier dispositivo Windows.

Esto genera una plantilla digital de su rostro, que luego se desencripta, se extrae y se introduce en la base de datos biométrica del sistema objetivo.

Una vez reemplazada la plantilla, el atacante puede iniciar sesión usando únicamente su propio rostro, suplantando así al usuario original.

Esta técnica permite preparar la plantilla en cualquier máquina antes de que esté en el sistema de la víctima.

El problema radica en cómo Windows integra estos datos con Entra ID y Active Directory; aunque la información biométrica se protege mediante mecanismos de seguridad, un administrador local puede romper esta protección e implantar nuevos datos.

Microsoft ha confirmado dicha vulnerabilidad, aunque ha aclarado que requiere que el atacante ya tenga acceso administrativo previo.

Los expertos consideran que solucionar el fallo completamente requeriría una revisión profunda de Windows Hello, o bien mover más procesamiento biométrico a hardware seguro.

Se recomienda que las organizaciones consideren regresar a la autenticación mediante PIN, que es más segura bajo las condiciones actuales, aunque menos cómoda que el inicio biométrico.

- Goicoechea es el cantón número 8 de la provincia de San José, fundado en 1891. Donde orgullosamente decimos: "De la montaña a la ciudad, así se extiende mi cantón". "Goicoechea, Goicoechea, te llevo en el corazón." -

Los comentarios expresados en las secciones de opinión, derechos de respuesta, reclamos del pueblo, campos pagados, negociemos, y en la opinión de los lectores y comentarios de terceros al final de las notas o en las páginas de redes sociales, son responsabilidad exclusiva de sus autores. La Voz de Goicoechea (www.lavozdegoicoechea.info) es un medio de comunicación independiente, y no toma como suyas dichas opiniones por lo que no se responsabiliza por el contenido emitido por terceros. Todas las imágenes que muestra este medio, se utilizan solo con fines ilustrativos, por tanto se respetan todos los derechos de autor según corresponda en cada caso, siendo nuestra principal labor de la informar a nuestros lectores.

Porque nuestros seguidores internacionales, nos lo han solicitado. Ahora pueden apoyarnos financieramente, desde cualquier lugar del mundo