Microsoft: En materia de seguridad, todo suma

Esta entrevista forma parte del reportaje titulado Hacia la Autenticación Biométrica publicado en IT Digital Security. Puedes descargarte la revista en este enlace.

¿Cómo funciona Windows Hello?

Windows Hello ofrece una confiable autenticación biométrica completamente integrada basada en el reconocimiento de rostros o la coincidencia de huella digital entre otros. Windows Hello usa una combinación de cámaras de infrarrojos (IR) y software especial para aumentar la precisión y proteger contra la suplantación de identidad. Los proveedores principales de hardware están ofreciendo dispositivos con cámaras compatibles con Windows Hello integradas. El hardware lector de huellas digitales se puede usar o agregar a los dispositivos que actualmente no disponen de él. En dispositivos que admiten Windows Hello, un sencillo gesto biométrico desbloquea las credenciales de los usuarios.

Windows almacena los datos biométricos que se usan para implementar Windows Hello de forma segura solo en el dispositivo local. Los datos biométricos no pasan de un dispositivo a otro ni se envían nunca a servidores o dispositivos externos. Dado que Windows Hello solo almacena los datos de identificación biométrica en el dispositivo, no hay ningún punto de colección único que un atacante pueda poner en riesgo para robar los datos biométricos.

¿Están las empresas adoptando las posibilidades biométricas de Hello?

Efectivamente, cada vez son más las empresas que están adoptando este tipo de tecnología para su seguridad. Esto es consecuencia del incremento en el número de dispositivos con este tipo de sensores, ya sean de reconocimiento facial o de lectura de huellas.

Por ejemplo, desde Microsoft hemos querido impulsar esta tecnología incluyéndola en la gama Surface, donde dispositivos como Surface Pro o Surface Laptop cuentan con reconocimiento facial, o lector de huellas en el caso de la funda teclado. Junto con los dispositivos de Microsoft, encontramos en el mercado una amplia variedad de PCs provenientes de nuestros partners y enfocados al mundo empresarial, que incluyen el hardware necesario para aprovechar las ventajas de Windows Hello.

¿Cuándo debe una empresa plantearse adoptar este tipo de tecnologías?

En un mundo en el que las amenazas son cada vez más constantes, las empresas deben ser conscientes de que deben adoptar cuanto antes medidas de seguridad que les permitan proteger su información y la de sus empleados. Al diseñar Windows 10, Microsoft incorporó directrices de privacidad y medidas de seguridad líderes de la industria para ayudar a proteger los datos en la nube, incluidas las categorías de datos personales identificadas por el GDPR.

Estos son alguno de los puntos clave de Windows Hello en las empresas:

· Las credenciales de Windows Hello se basan en un certificado o un par de claves asimétricas. Las credenciales de Windows Hello se pueden enlazar con el dispositivo y el token que se obtiene con la credencial también se enlaza al dispositivo.

· El proveedor de identidad (por ejemplo, la cuenta Active Directory, Azure AD o Microsoft) valida la identidad del usuario y asigna la clave pública de Windows Hello a la cuenta del usuario durante el paso de registro.

· Las claves se pueden generar en el hardware (TPM 1.2 o 2.0 para empresas y TPM 2.0 para consumidores) o en el software, en función de la directiva.

· Se emplea la autenticación en dos fases con la combinación de una clave o un certificado enlazado a un dispositivo y un elemento que el usuario sabe (un PIN) o hace (Windows Hello). El gesto de Windows Hello no vale en otros dispositivos, ni se comparte con el servidor, sino que se almacena localmente en un dispositivo concreto.

· La clave privada nunca sale del dispositivo cuando se usa TPM. El servidor de autenticación tiene una clave pública que se asigna a la cuenta de usuario durante el proceso de registro.

· La entrada de PIN y el gesto biométrico provocan que Windows 10 use la clave privada para firmar criptográficamente los datos que se envían al proveedor de identidad. El proveedor de identidad comprueba la identidad del usuario y lo autentica.

· Las cuentas personales (cuenta Microsoft) y las corporativas (Active Directory o Azure AD) usan un solo contenedor para las claves. Todas las claves están separadas por dominios de proveedores de identidad para garantizar la privacidad del usuario.

· Las claves privadas de certificados pueden estar protegidas por el contenedor y el gesto de Windows Hello.

Hace años que se trabaja con la huella dactilar, ¿por qué buscar otras opciones?

Como se ha comentado anteriormente, Windows Hello también incluye la huella dactilar dentro de su funcionamiento. La búsqueda de nuevas opciones no hace más que ampliar el número de posibilidades para que las empresas y usuarios adapten la que mejor les convenga. Habrá situaciones en los que un reconocimiento facial sea más rápido y cómodo, pero eso no excluye que la huella digital pueda utilizarse y sea igual de efectiva en otro caso.

En materia de seguridad, todo suma, y los métodos de verificación biométrica añaden nuevas formas de asegurar nuestros equipos y la información que almacenan. Incluso, para acciones o servicios que requieran un extra de seguridad, se pueden combinar ambos tipos de verificación, aplicando la seguridad multi-factor al necesitar un PIN o contraseña y la autenticación biométrica. Sin duda, estos factores de doble autenticación nos proporcionan garantías adicionales para asegurar la identidad de los usuarios. El uso de algo que se tiene (aplicación, teléfono, Smart Card etc.…) a algo que se sabe (contraseña, PIN etc.…) o algo que se es (biometría), nos proporciona mecanismos más robustos y fiables que solo una contraseña.