Hace unos días nos hacíamos eco en Xataka Móvil de una interesante investigación de la periodista tecnológica Joanna Stern en una práctica que se estaba convirtiendo en una plaga en Estados Unidos en el que robar un iPhone era solo el principio, ya que la meta final era acceder a toda tu vida digital. Si pensabas que con Android la protección era mayor, tenemos malas noticias para ti: con que un ladrón tenga acceso al PIN de tu móvil puede cambiar tu contraseña de Google y todo lo que ello supone.
Un PIN de cuatro cifras, tres minutos y adiós a los ceros en tu cuenta
Imagínate el escenario porque seguro que te es familiar: estás en un sitio público y accedes a tu teléfono móvil introduciendo tu PIN... pero en esa ocasión hay dos o tres personas cerca de ti que te lo piden bajo cualquier pretexto, puede ser acceder a una red social, hacerles una foto. Sí, aunque lo normal es que el PIN coexista con sistemas biométricos para desbloquear tu teléfono, muchas veces seguimos recurriendo al código por efectividad y rapidez, otras simplemente porque igual llevamos guantes y no podemos usar la huella, quizás una mascarilla o bufanda para el rostro o simplemente hay poca iluminación. Que levante la mano quien no recurra nunca al PIN.
La cuestión es que en el transcurso de esa operación rápida y automatizada, ese grupito que está a tu lado se fija en tu código PIN y lo memoriza. Si no pueden verlo a la primera, quizás insistan recurriendo a artimañas como proponerte hacerte una foto con tu teléfono y apagártelo supuestamente sin querer para que tengas que introducirlo. Con que te vean hacerlo una vez o dos basta ya que después de todo, probablemente tu PIN solo sean cuatro cifras. Ya tienen tu código y ahora solo les queda robarte el terminal.
Que te roben tu teléfono supone un disgusto en tanto en cuanto la pérdida material del dispositivo, pero lo peor es que constituye una puerta de entrada a todo lo que guardas. Y no, no les cuesta mucho traspasarla: en la investigación de Stern publicada en el Wall Street Journal se narra cómo tres minutos después de robar un iPhone ya tenían acceso a la cuenta de Apple y 24 horas después ya le habían limpiado su cuenta bancaria.
En Android la cosa no mejora
En Android la historia no es mejor. El periodista especializado en Android Mishaal Rahman partió del reportaje de Stern para explicar cómo fácilmente a partir del código PIN en Android es posible cambiar las contraseñas de tus cuentas de Google. Sí, esa cuenta que metes nada más sacar tu teléfono de la caja y que lo mismo te sirve para descargar aplicaciones, tu correo electrónico, otros perfiles y mucho más.
I'm not kidding. If a thief knows the passcode for your Android phone, THEY CAN CHANGE YOUR GOOGLE ACCOUNT'S PASSWORD. I just had to go to Settings > Google > Manage your Google Account > Security > Password > Forgot password > Use your screen lock > Tap YES on phone or tablet.
— Mishaal Rahman (@MishaalRahman) February 25, 2023
El procedimiento es tan sencillo como que los ladrones vayan a 'Ajustes' > 'Google' > 'Gestionar tu cuenta de Google' > 'Seguridad' >'Contraseña' > '¿Has olvidado tu contraseña?' > 'Usar tu pantalla de bloqueo' y tocar sobre el SI en tu teléfono. En ese momento Google reconoce ese teléfono como tuyo y te deja cambiar tu contraseña: solo has necesitado acceso al dispositivo y el PIN para desbloquearlo.
Si bien es cierto que en el reportaje de Stern se centra en el iPhone por un lado por su popularidad en Estados Unidos y por otro, por ser un teléfono de gama alta que se vende bien en el mercado de segunda mano, no es una amenaza exclusiva de los smartphones de la manzana mordida y aquí el pastel se lo come Android, aunque el iPhone sea el favorito entre la población joven.
Preguntado sobre esta cuestión en la pieza de WSJ, un portavoz de Google respondió que "Nuestras políticas de inicio de sesión y recuperación de cuentas intentan lograr un equilibrio entre permitir que los usuarios legítimos conserven el acceso a sus cuentas en escenarios del mundo real y mantener alejados a los malos."
Y es precisamente de ese equilibrio del que se valen los malos para el ataque. ¿Cómo puedes proteger tu teléfono Android? Además de implementar sistemas biométricos como la huella digital, es una buena idea que te cerciores de quién tienes alrededor antes de introducir tu PIN, pero en cualquier caso nuestra recomendación es que refuerces su código de desbloqueo.
Aunque por defecto Android te pide un código de cuatro dígitos, puedes hacer tu código mucho más largo (los Pixel permiten hasta 17 dígitos), pero también puedes establecer contraseñas alfanuméricas largas, la mejor opción desde el punto de vista de la seguridad.
En Xatakandroid | Cómo desbloquear y recuperar tu Android si has olvidado el patrón o la contraseña
Ver 2 comentarios