En los requisitos del sistema de Windows 11, se ha hecho obligatorio el uso de un módulo de seguridad TPM en el ordenador. Al mismo tiempo, el cifrado obligatorio del disco del sistema en los ordenadores de escritorio aún no está presente. Para qué se utiliza TPM en Windows 11, cómo se ha reforzado la seguridad y si es posible eludir estas medidas durante una investigación forense de un ordenador, se explica en nuestro nuevo artículo.
Windows 11: ahora sin contraseña
La forma tradicional de iniciar sesión en una cuenta de Windows es mediante una contraseña. Hasta el lanzamiento de Windows 8, la contraseña seguía siendo la única forma de iniciar sesión en una cuenta local (la consideración de las cuentas de dominio se dejará para más adelante).
En Windows 8 apareció un método adicional de autenticación. Ahora, para iniciar sesión, se puede utilizar no solo una cuenta local, sino también una cuenta de Microsoft — la misma que se utiliza para acceder al servicio de correo electrónico en línea Hotmail, al mensajero Skype, al almacenamiento en la nube OneDrive, a la suscripción a Office 365 y a muchos otros servicios de Microsoft. En las versiones posteriores de Windows, se ha dado cada vez más importancia a las cuentas de Microsoft, y la posibilidad de instalar el sistema operativo sin ellas se ha vuelto cada vez más difícil. En las versiones básicas de Windows, el uso de un nombre de usuario local y una contraseña se ha limitado: la configuración del sistema durante la instalación sólo se puede realizar utilizando una cuenta en línea.
El primer acceso a una cuenta de Microsoft requiere una conexión de internet activa. Los datos de la cuenta se verifican en un servidor remoto de Microsoft, después de lo cual el hash de la contraseña se almacena (se guarda en caché) en el ordenador; esto permite acceder a la cuenta posteriormente incluso sin conexión. Sin embargo, este comportamiento tiene un lado negativo: el hash de la contraseña se puede extraer de la base de datos correspondiente en el ordenador, y luego el contraseña original se puede restaurar mediante un ataque rápido sin conexión.
Es importante destacar que se restaura la contraseña de la cuenta de Microsoft, que se puede utilizar para autenticarse no solo en el ordenador en cuestión, sino también en los servicios online de Microsoft, lo que proporciona acceso a la correspondencia del usuario en Hotmail, chats de Skype, archivos de OneDrive y a una gran cantidad de otra información. Además, las cuentas de Microsoft almacenan también las claves de BitLocker, utilizadas para recuperar el acceso a discos cifrados.
Es importante mencionar que la velocidad de ataque a las contraseñas de Windows es extremadamente alta, lo que permite recuperar incluso contraseñas bastante complejas en un plazo razonable. Ya hemos escrito sobre esta vulnerabilidad en el artículo «Microsoft Account: comodidad o agujero de seguridad?», lo recomendamos para su lectura.
El uso de la autenticación de dos factores puede ayudar a proteger el contenido de una cuenta en línea, sin embargo, un contraseña recuperada permite desbloquear el ordenador del usuario, obteniendo así acceso a información como las contraseñas del navegador Edge, los archivos en el almacenamiento en la nube OneDrive y toda la información a la que en otro caso se necesitaría pasar una verificación de dos factores.
Los desarrolladores de Microsoft han propuesto métodos adicionales de autorización: entrada por código PIN y mediante datos biométricos (el sistema Windows Hello), sobre los cuales hablaremos más abajo. Ninguno de estos métodos ha solucionado el problema principal: la posibilidad de recuperar la contraseña original de la cuenta en línea mediante un ataque fuera de línea extremadamente rápido.
Parece que, en respuesta a la pregunta «¿comodidad o agujero de seguridad?», los desarrolladores de Microsoft finalmente se han inclinado por el segundo caso. ¿Qué ha cambiado en Windows 11? En la nueva versión del sistema operativo se ha añadido un nuevo tipo de cuentas con inicio de sesión sin contraseña. Al utilizar estas cuentas para iniciar sesión en el sistema, no es necesario (ni es posible) introducir la contraseña de la cuenta de Microsoft; en lugar de la contraseña se utiliza un código PIN o datos biométricos del sistema Windows Hello (por ejemplo, un flujo de vídeo de una cámara infrarroja estéreo certificada o datos del sensor de huellas dactilares). A continuación, se explicará dónde se almacena el código PIN y por qué este método de autorización es notablemente más seguro que el inicio de sesión con contraseña.
A continuación, se enumeran los métodos disponibles en Windows 11 para usuarios comunes (no de dominio) para iniciar sesión:
- [Utilizado por defecto] Cuenta Microsoft sin contraseña. No se puede utilizar una contraseña para iniciar sesión; se admite el inicio de sesión con código PIN (TPM), Windows Hello o mediante la autenticación en la aplicación Microsoft Authenticator (en línea).
- [así era en Windows 10, y sigue siendo así al actualizar Windows 10 > Windows 11] Cuenta Microsoft con contraseña. El hash de la contraseña de la cuenta se almacena localmente y no está protegido por TPM. Se admite el inicio de sesión con código PIN (TPM) y Windows Hello.
- Cuenta local de Windows (inicio de sesión con contraseña). Para iniciar sesión, puede utilizarse una contraseña local (su hash se almacena en el sistema, no está protegido por TPM), PIN (TPM) o Windows Hello.
¿Cuándo se utiliza el inicio de sesión sin contraseña en Windows 11?
Windows 11 admite métodos de inicio de sesión tanto con contraseña como sin contraseña. El modo de inicio de sesión sin contraseña se utiliza en el nuevo tipo de cuentas y se activa por defecto tanto durante la instalación de Windows 11 en un nuevo equipo como al crear una nueva cuenta en equipos donde Windows 11 se instaló como actualización desde Windows 10. Sin embargo, las cuentas existentes en Windows 10 que utilizaban contraseñas para iniciar sesión se mantienen en Windows 11 sin cambios.
El usuario debe activar la opción correspondiente en la configuración del sistema (Opciones de inicio de sesión):
También se puede activar este método de inicio sesión a través del Registro de Windows:
- Al instalar Windows 11 en una nueva computadora: Cuenta de Microsoft, inicio de sesión sin contraseña.
- Al actualizar desde Windows 10: se utiliza el mismo método de inicio de sesión que en el sistema operativo Windows 10 original.
- Nuevas cuentas de usuario creadas en Windows 11, instaladas de cualquier manera: Cuenta de Microsoft, inicio de sesión sin contraseña.
¿Se utilizó TPM en Windows 10?
Sí, Windows 10 también utiliza el módulo de seguridad TPM2.0. La diferencia entre Windows 10 y Windows 11 no radica en las dimensiones del uso de TPM (en este caso, no se observó una diferencia fundamental), sino en que en Windows 11 TPM es obligatorio, mientras que en Windows 10 no lo es. Esta, aparentemente pequeña diferencia, tiene consecuencias globales en materia de seguridad al utilizar el inicio de sesión con PIN en lugar de contraseña. Microsoft describe esto en detalle en el artículo (en inglés) Why a PIN is better than an online password (Windows) — Windows security, cuyo contenido se puede consultar en el siguiente enlace: Por qué un PIN es mejor que una contraseña en línea (Windows) — Windows security | Microsoft Docs. En este artículo, Microsoft hace varias afirmaciones que no son del todo correctas, cuya interpretación «obvia» crea una falsa sensación de seguridad. Analicemos los detalles.
Una diferencia importante entre la contraseña online y el PIN de Hello es que el PIN está vinculado a un dispositivo específico en el que fue configurado. El PIN no puede utilizarse sin el equipo concreto. Si alguien roba su contraseña en Internet, puede iniciar sesión en su cuenta desde cualquier lugar, pero si roba su PIN, también tendrá que robar su dispositivo físico.
PIN-Código Soportado por el Hardware
El PIN de Hello está respaldado por el chip Trusted Platform Module (TPM), que es un procesador criptográfico seguro para realizar operaciones de cifrado. Este chip contiene varios mecanismos de protección física para evitar intrusiones, y los programas maliciosos no pueden eludir las funciones de seguridad de TPM. Muchos dispositivos modernos tienen TPM. Windows 10, por otro lado, tiene un defecto que no vincula las contraseñas locales con TPM. Por esa razón, los PIN se consideran más seguros que las contraseñas locales.
Si se interpreta la información literalmente, se crea una falsa sensación de que el PIN es una panacea, siempre se almacena en el módulo TPM y no puede ser vulnerado. Esto no es así.
Windows 10 funciona tanto en equipos con módulo TPM como en aquellos que no lo tienen, y el sistema no informa al usuario sobre esto. Además, incluso en equipos donde la BIOS incluye una emulación de TPM, esta suele estar desactivada por defecto. Se espera que el usuario acceda al UEFI BIOS, encuentre el menú «Miscellaneous» e active la configuración, que puede llamarse, por ejemplo, «Intel Platform Trust Technology (PTT)». ¿Cuántos usuarios activarán esta configuración, y cuántos la dejarán sin cambios o simplemente no se darán cuenta de su existencia?
Si el TPM no está presente en el sistema o no está activado en el UEFI BIOS, Windows 10 seguirá ofreciendo utilizar un código PIN para iniciar sesión, y Microsoft seguirá insistiendo en que este método es más seguro que una contraseña. Sin embargo, esto no es cierto. La contraseña de la cuenta, en forma de hash, sigue almacenándose en el disco, y el código PIN de un equipo sin TPM se puede descifrar mediante un simple ataque por fuerza bruta (los códigos PIN numéricos, incluso de seis dígitos, se pueden probar en cuestión de segundos).
El inicio de sesión con PIN-code sin módulo TPM no es seguro
La situación cambia por completo cuando hay un módulo TPM2.0 presente y activado, ya sea físicamente o como emulación de procesador. Consideremos el comportamiento del sistema en los siguientes escenarios, que hemos probado en nuestro laboratorio.
Escenario 1: Un sistema con Windows 10 (inicio de sesión con PIN-code) sin TPM se transfiere a otro equipo sin TPM.
Estos son los resultados de las pruebas de traslado de sistemas con Windows 10 que utilizan el inicio de sesión por PIN.
Escenario 1
Se transfiere un disco físico con el sistema operativo instalado. El resultado es que el inicio de sesión con PIN funciona en la nueva computadora igual que en la antigua.
Escenario 2
Un sistema con Windows 10 (inicio de sesión por PIN) sin TPM se transfiere a otro ordenador sin TPM. Solo se transfiere una copia del disco con el sistema operativo instalado; el hardware entre los dos ordenadores no coincide en ninguna posición. El resultado es que el inicio de sesión con PIN funciona en la nueva computadora igual que en la antigua.
Escenario 3
Un sistema con Windows 10 (inicio de sesión por PIN) sin TPM se transfiere a un ordenador con un módulo TPM instalado y activo. Solo se transfiere una copia del disco con el sistema operativo instalado; el hardware entre los dos ordenadores no coincide en ninguna posición. El resultado es que el inicio de sesión con PIN funciona en la nueva computadora igual que en la antigua.
Escenario 4
Un sistema con Windows 10 (inicio de sesión por PIN) con un módulo TPM activo se transfiere a otro ordenador con un módulo TPM activo. Se transfiere una copia del disco con el sistema operativo instalado; el hardware entre los dos ordenadores no coincide. El resultado es que el inicio de sesión con PIN en la nueva computadora no funciona; se requiere el contraseña de la cuenta para iniciar sesión; para usar el PIN, se tuvo que eliminar el PIN anterior y configurar uno nuevo.
Evidentemente, solo el cuarto escenario se ajusta al modelo de seguridad descrito por Microsoft en el artículo ¿Por qué un PIN es mejor que una contraseña en Internet (Windows)? — Windows security | Microsoft Docs.
¿Existe un TPM en mi computadora?
Los módulos TPM (generalmente en forma de emulación de procesador, lo cual no afecta la seguridad real del sistema) están presentes en la mayoría de las computadoras portátiles (portátiles, tabletas con Windows, dispositivos 2 en 1, etc.), equipadas con un procesador Intel de 8ª generación o posterior o un procesador AMD con arquitectura Zen o posterior. En las computadoras portátiles, el TPM suele estar activado por defecto.
La situación es diferente con las computadoras de escritorio. La emulación del TPM sigue estando disponible en sistemas con un procesador Intel de 8ª generación o posterior o un procesador AMD con arquitectura Zen o posterior, pero la compatibilidad con el TPM suele estar desactivada por defecto en el nivel de configuración UEFI BIOS. La situación ha comenzado a cambiar con el lanzamiento de la plataforma Intel de 12ª generación (Alder Lake), y los fabricantes de placas base para las plataformas AMD con zócalo AM4 han comenzado a publicar microprogramas en los que fTPM (firmware TPM) se activa por defecto.
¿Se puede utilizar la entrada sin contraseña en Windows 10?
En septiembre de 2021, la compañía anunció su visión del futuro sin contraseñas. A los usuarios de una nueva versión de Windows 10 se les ofreció cambiar la configuración de la cuenta Microsoft Account, prohibido el acceso a la cuenta mediante contraseña.
El uso de este tipo de cuenta para iniciar sesión permitía evitar el almacenamiento del hash de la contraseña en el ordenador local. Sin embargo, el usuario perdía la posibilidad de iniciar sesión en la cuenta de Microsoft con nombre de usuario y contraseña; para un inicio de sesión exitoso, se requería acceso a un número de teléfono de confianza o a un dispositivo previamente autorizado con la aplicación Microsoft Authenticator instalada. Considerando que esta aplicación está disponible únicamente para teléfonos inteligentes con iOS y Android (pero no para ordenadores con Windows), la conveniencia de esta novedad resulta cuestionable. (Instrucción: How to go passwordless with your Microsoft Account). La novedad no ha tenido una difusión significativa debido a las ventajas poco evidentes y a la considerable incomodidad de su uso.
Cómo Windows 11 utiliza TPM en la autenticación de inicio de sesión
En la documentación de Microsoft (How Windows uses the TPM — Windows security | Microsoft Docs) se describen las formas en que Windows puede utilizar el módulo de seguridad de hardware. La realidad es considerablemente más modesta: «puede» no significa «utiliza». Por ejemplo, las contraseñas que el usuario almacena en el navegador Microsoft Edge están protegidas por el mecanismo DPAPI, pero la clave de cifrado se almacena en el disco del sistema (se cifra con los datos de la cuenta) y no está protegida por TPM, lo que permite extraer estas contraseñas de una imagen del disco si se conoce la contraseña de la cuenta del usuario.
En lugar de utilizar TPM para almacenar cada vez más datos, Microsoft intentó solucionar el problema presentando un método de inicio de sesión sin contraseña. Este método, y solo en sistemas con TPM, permite hablar de la seguridad de la cuenta: ahora los datos protegidos por DPAPI no se pueden descifrar sin iniciar sesión, y para iniciar sesión solo se puede utilizar un código PIN (o a través de Windows Hello), que será verificado por el módulo de hardware TPM. Cualquier cambio en la configuración del sistema (ya sea un cambio en el hardware o la carga desde un dispositivo externo) hará que el módulo TPM no entregue la clave necesaria y no se podrán descifrar los datos protegidos.
En Windows 11 con TPM, no es posible hackear el código PIN. Para el nuevo tipo de cuentas con autenticación sin contraseña, no es posible adivinar la contraseña ni utilizar la contraseña de Microsoft Account extraída de otro equipo o cuenta.
Existe la posibilidad técnica de convertir una cuenta de este nuevo tipo a una cuenta local, para la cual el acceso se realizará mediante una contraseña conocida. Al realizar esta conversión (por ejemplo, en el programa Elcomsoft System Recovery), se perderá el acceso a los archivos y carpetas cifrados en NTFS, así como a los datos protegidos por DPAPI. Sin embargo, esta conversión podría resultar útil para la investigación del sistema del usuario.
¿Y qué pasa con el cifrado BitLocker?
Ni el mecanismo de BitLocker ni las políticas de cifrado en Windows 11 han recibido cambios significativos en comparación con Windows 10. Tras el anuncio de Windows 11, muchos analistas tuvieron la impresión de que Microsoft cifraría la partición del sistema de Windows 11 de la misma manera que lo hacen los fabricantes de teléfonos inteligentes. Resultó que esto no es así. De forma predeterminada (a través de BitLocker Device Encryption), solo se cifran los dispositivos portátiles equipados con TPM, como portátiles, tabletas y dispositivos 2 en 1, sin embargo, el cifrado se activaba de la misma manera tanto en Windows 8 como en Windows 10. Al instalar Windows 11 en un ordenador de sobremesa, el cifrado no se activa de forma predeterminada; además, para utilizar BitLocker, se requiere la edición Windows 11 Pro, Enterprise o Education. Para los usuarios de la edición básica Home, el cifrado no está disponible.
¿Qué hacer si el sistema en estudio tiene el cifrado BitLocker activo? Al utilizar Elcomsoft System Recovery, primero se debe montar la partición cifrada, introduciendo el código de recuperación de acceso BitLocker Recovery Key (ver detalles en el artículo Mecanismos de protección de BitLocker: qué discos se pueden y cuáles no se pueden hackear). Con el uso de TPM, se puede desbloquear el disco cifrado o iniciando sesión y autenticándose en la instalación original de Windows en el mismo equipo con la misma configuración de hardware.
No se podrá crear una imagen de la sección ni desbloquearla con una contraseña o PIN: ni el PIN ni la contraseña participan en el cifrado, y la clave se almacena en el módulo TPM, de donde no es posible extraerla.
La única forma de desbloquear estos discos BitLocker es utilizar la clave de recuperación de BitLocker. Para dispositivos portátiles con BitLocker Device Encryption, Windows crea automáticamente una clave de recuperación al cifrar el disco del sistema; la clave de recuperación también se cargará automáticamente en la cuenta de Microsoft del primer usuario que inicie sesión en ese equipo con privilegios de administrador y utilice las credenciales de Microsoft para iniciar sesión. Esta clave se puede solicitar a Microsoft o descargarla iniciando sesión en la cuenta de Microsoft del usuario y haciendo clic en el siguiente enlace: https://account.microsoft.com/devices/recoverykey
El disco se desbloquea utilizando la clave depositada:
Tenga en cuenta: después de desbloquear el disco, se le asigna una nueva letra.
Después de esto, se puede proceder a la conversión de las cuentas.
Desbloqueo y conversión de cuentas de Windows 11 con autenticación sin contraseña
Para desbloquear una cuenta de Windows 11 con autenticación sin contraseña, se debe convertirla en una cuenta local normal con contraseña, estableciendo su propia contraseña. Para ello, se debe cargar el ordenador desde un dispositivo USB Elcomsoft System Recovery.
Es posible crear una unidad de arranque de Elcomsoft System Recovery utilizando las instrucciones del artículo «Elcomsoft System Recovery: unidad de arranque para la investigación de computadoras.»
Después de cargar Elcomsoft System Recovery, debe seleccionar el modo de trabajo estándar (de forma predeterminada, el programa se inicia en modo «solo lectura», en el cual están prohibidas cualquier modificación de datos).
Para convertir una cuenta de Microsoft Account con autenticación sin contraseña en una cuenta local normal, siga las siguientes instrucciones.
Seleccione la cuenta que desea convertir.
Indique la contraseña que se establecerá en la cuenta.
No olvide crear una copia de seguridad de la base de datos SAM original.
El programa determinará automáticamente el tipo de cuenta con autenticación sin contraseña y le ofrecerá eliminar esa opción. No podrá continuar con la conversión si rechaza la solicitud.
Elcomsoft System Recovery notificará sobre los posibles efectos de la conversión (ver más abajo) e introducirá cambios en la base de datos SAM. Después de esto, podrá iniciar el equipo en Windows e iniciar sesión en la cuenta utilizando la contraseña establecida anteriormente.
Tenga en cuenta: después de la conversión, los claves y datos protegidos por DPAPI dejarán de estar disponibles. Esto incluye las contraseñas del navegador Microsoft Edge, los archivos y carpetas cifrados en NTFS y algunos otros datos.
Conclusión
A pesar de las innumerables discusiones sobre los requisitos del sistema de Windows 11, considerados excesivamente altos, los desarrolladores de Microsoft han dado un paso en la dirección correcta. El requisito obligatorio de TPM junto con el nuevo método de autorización eliminan una grave vulnerabilidad en el mecanismo de autorización de Windows al iniciar sesión en una cuenta. Sin embargo, no hemos detectado cambios en la política de cifrado. En dispositivos portátiles, se sigue utilizando BitLocker Device Encryption, mientras que en ordenadores de sobremesa, el cifrado sigue siendo opcional; para acceder a los datos cifrados, sigue utilizándose la clave de recuperación BitLocker depositada en Microsoft Account.
