Los expertos advierten: el ¡®pin¡¯ no es suficiente para proteger el m¨®vil

El robo de tel¨¦fonos m¨®viles se ha convertido en una lacra a la que los fabricantes intentan hacer frente mediante sistemas de bloqueo remoto o geolocalizaci¨®n. Los terminales, hasta la fecha, ten¨ªan un ¨²nico destino: el mercado de segunda mano, donde acaban siendo vendidos en portales de compra venta.

Sin embargo, se ha detectado una nueva intencionalidad tras el robo de terminales: el acceso a la identidad digital, y con ella, un perjuicio econ¨®mico muy superior. El Wall Street Journal recoge esta creciente tendencia en bares y caf¨¦s en Estados Unidos: se vigila a la v¨ªctima, se observa (y en algunos casos, se graba) c¨®mo introduce la contrase?a en la pantalla, y en un descuido, se hurta el dispositivo.

Seis d¨ªgitos: un fr¨¢gil candado, antesala de la pesadilla

La operativa para los cacos es muy sencilla y rentable, y su ¨¦xito radica en una serie de vulnerabilidades encadenadas. La primera de ellas, la comodidad humana: es mucho m¨¢s sencillo desbloquear el m¨®vil introduciendo unas pocas cifras, que hacerlo con varios caracteres que incluyen n¨²meros y s¨ªmbolos. La conciencia del usuario descansa tranquila pensando que es un sistema biom¨¦trico el que protege su informaci¨®n ¡ªen el caso de que el dispositivo cuente con ello¡ª, pero todos los m¨®viles se desbloquean con un c¨®digo por si falla la biometr¨ªa.

Y es aqu¨ª donde entra en juego el dif¨ªcil equilibrio entre comodidad y seguridad. Un pin de cuatro cifras permite desbloquear con rapidez la pantalla y, por descontado, resulta muy f¨¢cil de recordar. M¨¢s si se trata de la misma secuencia que se emplea en los cajeros, c¨®digo de acceso al portal¡­ El ser humano es eminentemente pr¨¢ctico y siempre intenta encontrar el camino m¨¢s corto entre dos puntos. En el caso de las contrase?as, aun conociendo los riesgos existentes cuando no se emplean combinaciones complejas, el cerebro sigue optando por los atajos, ignorando esta exposici¨®n al riesgo.

De hecho, un estudio llevado a cabo por investigadores de la universidad china de Zhejiang, demostr¨® que el cerebro tiene un comportamiento caprichoso a la hora de recordar (u olvidar) las contrase?as: guardaba con m¨¢s facilidad en la memoria aquellas secuencias sobre las que no se hab¨ªa puesto un especial inter¨¦s en recordar. Esto es, que si uno, por poner un ejemplo, se esforzaba por recordar una nueva contrase?a (pongamos 1564) y de regreso a su domicilio caminando miraba de soslayo el n¨²mero de un portal (por ejemplo, el 1345), ser¨ªa m¨¢s f¨¢cil que recordara el segundo antes que el primero.

¡°El uso de un pin de cuatro d¨ªgitos num¨¦ricos es poco seguro ante cualquier atacante que sepa del uso de t¨¦cnicas de fuerza bruta¡±, explica Jos¨¦ Manuel ?valos, co-director general de BeDisruptive, ¡°que consiste en ir probando diferentes combinaciones de caracteres hasta encontrar la correcta¡±. Este experto recomienda ¡°una contrase?a alfanum¨¦rica con caracteres y mucho m¨¢s larga¡±.

La contrase?a no tiene que ser c¨®moda, sino larga y compleja

¡°Una vez se conoce el pin utilizado para desbloquear el m¨®vil, no solo se tiene acceso al contenido del dispositivo, sino tambi¨¦n al de algunas aplicaciones que emplean este sistema de bloqueo como m¨¦todo de verificaci¨®n de acceso. La mayor¨ªa de las apps de bancos, por ejemplo¡±, explica Christian Collado, coordinador de Andro4all. De esta manera, el popular pin es la ¨²ltima puerta con la que los atacantes acceden a toda la informaci¨®n del propietario del m¨®vil, incluyendo cuentas bancarias (si las tiene configuradas en el m¨®vil).

No deja de ser parad¨®jico que el mismo fabricante que invierte en sofisticadas soluciones biom¨¦tricas de desbloqueo, permita que, a la postre, toda esta seguridad quede desbaratada por apenas seis d¨ªgitos. ¡°Confiamos en toda la cadena de suministro¡±, explica Adri¨¢n Moreno, experto en ciberseguridad, ¡°desde el fabricante hasta la empresa que nos lo vende; confiamos en los dise?adores, en la compa?¨ªa que escribe el software y en el programa antivirus¡±.

Pero es el usuario quien, a la postre, elige entre conveniencia y seguridad, posiblemente dando por asumida esta segunda. ¡°Lo ideal es usar m¨¦todos biom¨¦tricos ¡ªlector de huellas o reconocimiento facial¡ª para desbloquear el m¨®vil en lugares p¨²blicos¡±, recomienda Collado, ¡°en caso de que no sea posible, tener configurado un pin de seis o m¨¢s d¨ªgitos, o bien una contrase?a alfanum¨¦rica que combine letras, n¨²meros y s¨ªmbolos¡±. El objetivo ¨²ltimo consiste en evitar que alguien esp¨ªe la actividad en pantalla y proceda a hurtar el dispositivo.

Una vez perpetrado este ¨²ltimo, todo sucede muy deprisa. Los delincuentes acceden en cuesti¨®n de minutos al panel de control del m¨®vil y cambian la contrase?a de la cuenta de Google (si es un Android), o iCloud (cuando se trata de un iPhone) ?Con qu¨¦ objetivo? Para evitar que pueda ser recuperado desde otro dispositivo, por un lado, y por otro, para desactivar la geolocalizaci¨®n del mismo.

Qu¨¦ hacer para protegerse

Joanna Stern, autora del reportaje en el Wall Street Journal, destaca que su entrevistada descubri¨® que su iPhone hab¨ªa sido robado en un bar de Nueva York; transcurridos apenas tres minutos, perdi¨® el acceso a su cuenta de Apple y en menos de 24 horas, vio que se esfumaban 10.000 d¨®lares de unos fondos de inversi¨®n en su poder.

La buena noticia es que, al tratarse de un m¨¦todo tan evidente, la soluci¨®n es igual de simple: dificultar al m¨¢ximo que puedan copiar la contrase?a. A este respecto, los expertos proponen evitar de forma urgente cadenas de cifras simples (de cuatro o seis caracteres) y en su lugar, complicar al m¨¢ximo la contrase?a. Idealmente, lo m¨¢s adecuado es hacer que esta sea larga y que incluya caracteres especiales y combine may¨²sculas con min¨²sculas.

Evidentemente, al complicar la contrase?a, se pierde la agilidad y mnemotecnia de introducir un pin de pocos d¨ªgitos, pero es un peaje que debe pagarse en aras de la seguridad. Los expertos van todav¨ªa m¨¢s lejos en sus recomendaciones: instan a desvincular, en lo posible, el c¨®digo de desbloqueo del m¨®vil con el acceso a determinadas cuentas. De esta manera, se minimizar¨ªa la segunda vulnerabilidad: permitir el acceso a cuentas con contenido comprometido mediante la misma contrase?a que protege la pantalla.

Puedes seguir a EL PA?S Tecnolog¨ªa en Facebook y Twitter o apuntarte aqu¨ª para recibir nuestra newsletter semanal.