En un mundo en el que los asistentes personales, como Siri, Alexa o Google Now, se han puesto de moda, Microsoft no podía ser menos. La compañía lanzó, junto con Windows 10, su propio asistente personal, llamado Cortana. Este asistente busca facilitarnos la tarea de buscar todo tipo de archivos y elementos, tanto en el PC como en Internet, además de darnos información útil cuando la necesitemos y encargarse de los recordatorios y eventos personales. Sin embargo, a pesar de su utilidad, Cortana también puede suponer un peligro para la seguridad de nuestro ordenador.
Hace algunas horas se daba a conocer un fallo de seguridad en Cortana, el asistente personal de Windows 10, con el que se puede llegar a utilizar un ordenador con la sesión bloqueada usando simplemente comandos de voz, evitando tener que introducir la contraseña o el código PIN para poder controlarlo.
Esto es posible dado que Cortana aparece en la pantalla de bloqueo del sistema operativo. Aunque las posibilidades del asistente personal estando la sesión bloqueada son limitadas, según los investigadores de seguridad sí es posible acceder a una serie de vulnerabilidades conocidas directamente desde él, fallos que, al explotarlos, pueden brindarnos acceso al sistema, saltándose las medidas de seguridad adicionales, como la pantalla de bloqueo.
Las puertas traseras que deja Cortana en Windows 10
Según los investigadores de seguridad que han dado con este fallo, cualquier usuario que tenga acceso físico al ordenador podría conectar un adaptador de red USB en el equipo y obligar a Cortana a conectarse a páginas web no seguras que no utilicen el protocolo HTTPS utilizando comandos de voz.
Las webs inseguras pueden estar perfectamente controladas por los piratas informáticos, e incluir en ellas todo tipo de código malicioso que, al cargarlas Cortana, pueden llegar a monitorizar la actividad del usuario, e incluso llegar a infectar el equipo con malware incluso estando bloqueado.
Además, también han descubierto que conectando el equipo a una red Wi-Fi controlada por los piratas informáticos es posible modificar una serie de opciones de la pantalla de bloqueo para lograr incluso saltarse la contraseña del sistema para entrar a la sesión.
Aunque en un principio se necesita acceso físico al equipo para lograr explotar estos fallos de seguridad, los investigadores advierten que, una vez se tiene acceso a un equipo, es posible explotar las vulnerabilidades en cualquier otro equipo simplemente por estar conectado a la red, lo que aumenta ya la peligrosidad de esta vulnerabilidad.
Cómo protegernos de estos ataques informáticos a través de Cortana
Microsoft ha solucionado de manera chapucera la vulnerabilidad de Cortana obligando al asistente personal a buscar contenido exclusivamente en Bing, en lugar de hacerlo en otra página web, cuando el ordenador está bloqueado.
De todas formas, es muy probable que en futuras actualizaciones se implemente un parche de seguridad en condiciones que corrija correctamente este fallo de seguridad, ya que los comandos que realmente suponen un problema siguen funcionando, y solo es cuestión de tiempo averiguar cómo explotarlos de nuevo para lograr controlar cualquier ordenador bloqueado usando Cortana.
