Cuando nos acercamos al final de la instalación de Windows 10 e ingresamos a la fase de creación de cuentas, el sistema operativo recomienda (con cierto énfasis) usar una solución de Microsoft, o crear un perfil offline tradicional. Quienes decidan seguir la segunda ruta deberán cargar tres preguntas obligatorias como «sistema de recuperación» para la contraseña. El problema es que esas preguntas pueden ser contraproducentes si el atacante tiene el conocimiento suficiente. Una forma de mejorar la (de por sí pobre) seguridad de Windows 10 es deshabilitar las preguntas de recuperación, aunque no es tan sencillo…
Tal y como lo mencionamos en nuestro artículo para cambiar la longitud del PIN en Windows 10, Microsoft ofrece diferentes opciones de inicio de sesión. Una de las más interesantes es Windows Hello, ya que habilita el uso de barreras biométricas, pero antes necesitamos el hardware adecuado. Si no tienes acceso a esos elementos (por ejemplo, una webcam o un lector de huellas), tendrás que depender de mecanismos más «tradicionales» por así decirlo, y eso incluye en segundo plano a las preguntas de seguridad. En caso de que olvides tu contraseña principal, Windows 10 permitirá que ingreses y hagas los ajustes relevantes. Sin embargo… las preguntas de seguridad son una espada de doble filo (un atacante con privilegios elevados puede crear un backdoor permanente con ellas). Una buena recomendación es ignorar la estructura «pregunta-respuesta» y cerrar ese camino usando «respuestas basura» generadas con un administrador de contraseñas, pero lo ideal es deshabilitar las preguntas de recuperación directamente.
Cómo deshabilitar las preguntas de recuperación
Ahí es cuando intervienen los investigadores Magal Baz y Tom Sela de Illusive Networks, quienes crearon un script compatible con PowerShell que se encarga de desactivar las preguntas de raíz. El primer paso es descargar una copia del script guardado en GitHub. Si haces clic sobre el archivo podrás ver el contenido entero, pero al no haber nada en la sección Releases, deberás usar el botón Clone or Download y descargar el zip. Luego, coloca el script en una carpeta temporal, abre PowerShell con privilegios de administración, ve a la carpeta temporal, y ejecuta .\UpdateAllUsers-QA. En casos normales, el script presentará el mensaje «Disabling Security Questions» y regresará al prompt. Ahora, si tu perfil actual de seguridad bloquea el uso de scripts en PowerShell tienes que modificar eso antes, o recibirás varios mensajes de error. También pueden existir conflictos de acceso con algunas cadenas en el Registro. Si llega a pasar, debes ir manualmente a las rutas indicadas y cambiar los permisos.
Como dije más arriba, no es tan sencillo. En lo personal me gustaría que los investigadores compartan una herramienta más pulida, pero al mismo tiempo estamos manipulando una función asociada a la seguridad del sistema operativo, y demanda cierto respeto de nuestra parte. Procede con cautela.