El robo de teléfonos móviles se ha convertido en una deficiencia a la que los fabricantes intentan hacer frente mediante sistemas de corte remoto o geolocalización. Los terminales, hasta la término, tenían un único destino: el mercado de segunda mano, donde acaban siendo vendidos en portales de negocio saldo.
Sin retención, se ha detectado una nueva intencionalidad tras el robo de terminales: el llegada a la identidad digital, y con ella, un perjuicio crematístico muy superior. El Wall Street Journal recoge esta creciente tendencia en bares y cafés en Estados Unidos: se vigila a la víctima, se observa (y en algunos casos, se graba) cómo introduce la contraseña en la pantalla, y en un descuido, se hurta el dispositivo.
Seis dígitos: un frágil candado, antesala de la pesadilla
La operativa para los cacos es muy sencilla y rentable, y su éxito radica en una serie de vulnerabilidades encadenadas. La primera de ellas, la comodidad humana: es mucho más sencillo desbloquear el móvil introduciendo unas pocas cifras, que hacerlo con varios caracteres que incluyen números y símbolos. La conciencia del adjudicatario descansa tranquila pensando que es un sistema biométrico el que protege su información —en el caso de que el dispositivo cuente con ello—, pero todos los móviles se desbloquean con un código por si rotura la biometría.
Y es aquí donde entra en placer el difícil seguridad entre comodidad y seguridad. Un pin de cuatro cifras permite desbloquear con celeridad la pantalla, y por descontado, resulta muy tratable de memorar. Más si se prostitución de la misma secuencia que se emplea en los cajeros, código de llegada al portal… El ser humano es eminentemente práctico y siempre intenta encontrar el camino más corto entre dos puntos. En el caso de las contraseñas, aun conociendo los riesgos existentes cuando no se emplean combinaciones complejas, el cerebro sigue optando por los atajos, ignorando esta exposición al aventura.
De hecho, un estudio llevado a límite por investigadores de la universidad china de Zhejiang, demostró que el cerebro tiene un comportamiento caprichoso a la hora de memorar (u olvidar) las contraseñas: guardaba con más facilidad en la memoria aquellas secuencias sobre las que no se había puesto un específico interés en memorar. Esto es, que si uno, por poner un ejemplo, se esforzaba por memorar una nueva contraseña (pongamos 1564) y de regreso a su domicilio caminando miraba de soslayo el número de un portal (por ejemplo, el 1345), sería más tratable que recordara el segundo ayer que el primero.
La contraseña no tiene que ser cómoda, sino larga y compleja
“Una vez se conoce el PIN utilizado para desbloquear el móvil, no solo se tiene llegada al contenido del dispositivo, sino asimismo al de algunas aplicaciones que emplean este sistema de corte como método de demostración de llegada. La mayoría de apps de bancos, por ejemplo”, explica Christian Collado, coordinador de Andro4all. De esta guisa, el popular pin es la última puerta con la que los atacantes acceden a toda la información del propietario del móvil, incluyendo cuentas bancarias (si las tiene configuradas en el móvil).
No deja de ser paradójico que el mismo fabricante que invierte en sofisticadas soluciones biométricas de desbloqueo, permita que, a la postre, toda esta seguridad quede desbaratada por escasamente seis dígitos. “Confiamos en toda la prisión de suministro”, explica Adrián Atezado, director de Cuadernos de Seguridad, “desde el fabricante hasta la empresa que nos lo vende; confiamos en los diseñadores, en la compañía que escribe el software y en el software antivirus”.
Pero es el adjudicatario quien, a la postre, elige entre conveniencia y seguridad, posiblemente dando por asumida esta segunda. “Lo ideal es usar métodos biométricos —leedor de huellas o registro facial— para desbloquear el móvil en lugares públicos”, recomienda Collado, “en caso de que no sea posible, tener configurado un PIN de 6 o más dígitos, o proporcionadamente una contraseña alfanumérica que combine literatura, números y símbolos”. El objetivo final consiste en evitar que determinado espíe la actividad en pantalla y proceda a hurtar el dispositivo.
Una vez perpetrado este final, todo sucede muy deprisa. Los delincuentes acceden en cuestión de minutos al panel de control del móvil y cambian la contraseña de la cuenta de Google (si es un Android), o iCloud (cuando se prostitución de un iPhone) ¿Con qué objetivo? Para evitar que pueda ser recuperado desde otro dispositivo, por un flanco, y por otro, para desactivar la geolocalización del mismo.
Qué hacer para acogerse
Joanna Stern, autora del reportaje en el Wall Street Journal, destaca que su entrevistada descubrió que su iPhone había sido robado en un bar de Nueva York; transcurridos escasamente 3 minutos, perdió el llegada a su cuenta de Apple y en menos de veinticuatro horas, vio que se esfumaban 10.000 dólares de unos fondos de inversión en su poder.
La buena aviso es que, al tratarse de un método tan evidente, la opción es igual de simple: dificultar al mayor que puedan copiar la contraseña. A este respecto, los expertos proponen evitar de forma urgente cadenas de cifras simples (de cuatro o seis caracteres) y en su empleo, complicar al mayor la contraseña. Idealmente, lo más adecuado es hacer que esta sea larga y que incluya caracteres especiales y combine mayúsculas con minúsculas.
Evidentemente, al complicar la contraseña, se pierde la agilidad y mnemotecnia de introducir un pin de pocos dígitos, pero es un peaje que debe pagarse en aras de la seguridad. Los expertos van todavía más allá en sus recomendaciones: instan a desvincular, en lo posible, el código de desbloqueo del móvil con el llegada a determinadas cuentas. De esta guisa, se minimizaría la segunda vulnerabilidad: permitir el llegada a cuentas con contenido comprometido mediante la misma contraseña que protege la pantalla.
Puedes seguir a EL PAÍS Tecnología en Facebook y Twitter o apuntarte aquí para percibir nuestra newsletter semanal.
Creditos a José Mendiola Zuriarrain
Fuente
