Los expertos advierten: el ‘pin’ no es suficiente para proteger el móvil

El robo de teléfonos móviles se ha convertido en una lacra a la que los fabricantes intentan hacer frente mediante sistemas de bloqueo remoto o geolocalización. Los terminales, hasta la fecha, tenían un único destino: el mercado de segunda mano, donde acaban siendo vendidos en portales de compra venta.

Sin embargo, se ha detectado una nueva intencionalidad tras el robo de terminales: el acceso a la identidad digital, y con ella, un perjuicio económico muy superior. El Wall Street Journal recoge esta creciente tendencia en bares y cafés en Estados Unidos: se vigila a la víctima, se observa (y en algunos casos, se graba) cómo introduce la contraseña en la pantalla, y en un descuido, se hurta el dispositivo.

Seis dígitos: un frágil candado, antesala de la pesadilla

La operativa para los cacos es muy sencilla y rentable, y su éxito radica en una serie de vulnerabilidades encadenadas. La primera de ellas, la comodidad humana: es mucho más sencillo desbloquear el móvil introduciendo unas pocas cifras, que hacerlo con varios caracteres que incluyen números y símbolos. La conciencia del usuario descansa tranquila pensando que es un sistema biométrico el que protege su información —en el caso de que el dispositivo cuente con ello—, pero todos los móviles se desbloquean con un código por si falla la biometría.

Y es aquí donde entra en juego el difícil equilibrio entre comodidad y seguridad. Un pin de cuatro cifras permite desbloquear con rapidez la pantalla y, por descontado, resulta muy fácil de recordar. Más si se trata de la misma secuencia que se emplea en los cajeros, código de acceso al portal… El ser humano es eminentemente práctico y siempre intenta encontrar el camino más corto entre dos puntos. En el caso de las contraseñas, aun conociendo los riesgos existentes cuando no se emplean combinaciones complejas, el cerebro sigue optando por los atajos, ignorando esta exposición al riesgo.

De hecho, un estudio llevado a cabo por investigadores de la universidad china de Zhejiang, demostró que el cerebro tiene un comportamiento caprichoso a la hora de recordar (u olvidar) las contraseñas: guardaba con más facilidad en la memoria aquellas secuencias sobre las que no se había puesto un especial interés en recordar. Esto es, que si uno, por poner un ejemplo, se esforzaba por recordar una nueva contraseña (pongamos 1564) y de regreso a su domicilio caminando miraba de soslayo el número de un portal (por ejemplo, el 1345), sería más fácil que recordara el segundo antes que el primero.

“El uso de un pin de cuatro dígitos numéricos es poco seguro ante cualquier atacante que sepa del uso de técnicas de fuerza bruta”, explica José Manuel Ávalos, co-director general de BeDisruptive, “que consiste en ir probando diferentes combinaciones de caracteres hasta encontrar la correcta”. Este experto recomienda “una contraseña alfanumérica con caracteres y mucho más larga”.

La contraseña no tiene que ser cómoda, sino larga y compleja

“Una vez se conoce el pin utilizado para desbloquear el móvil, no solo se tiene acceso al contenido del dispositivo, sino también al de algunas aplicaciones que emplean este sistema de bloqueo como método de verificación de acceso. La mayoría de las apps de bancos, por ejemplo”, explica Christian Collado, coordinador de Andro4all. De esta manera, el popular pin es la última puerta con la que los atacantes acceden a toda la información del propietario del móvil, incluyendo cuentas bancarias (si las tiene configuradas en el móvil).

No deja de ser paradójico que el mismo fabricante que invierte en sofisticadas soluciones biométricas de desbloqueo, permita que, a la postre, toda esta seguridad quede desbaratada por apenas seis dígitos. “Confiamos en toda la cadena de suministro”, explica Adrián Moreno, experto en ciberseguridad, “desde el fabricante hasta la empresa que nos lo vende; confiamos en los diseñadores, en la compañía que escribe el software y en el programa antivirus”.

Pero es el usuario quien, a la postre, elige entre conveniencia y seguridad, posiblemente dando por asumida esta segunda. “Lo ideal es usar métodos biométricos —lector de huellas o reconocimiento facial— para desbloquear el móvil en lugares públicos”, recomienda Collado, “en caso de que no sea posible, tener configurado un pin de seis o más dígitos, o bien una contraseña alfanumérica que combine letras, números y símbolos”. El objetivo último consiste en evitar que alguien espíe la actividad en pantalla y proceda a hurtar el dispositivo.

Una vez perpetrado este último, todo sucede muy deprisa. Los delincuentes acceden en cuestión de minutos al panel de control del móvil y cambian la contraseña de la cuenta de Google (si es un Android), o iCloud (cuando se trata de un iPhone) ¿Con qué objetivo? Para evitar que pueda ser recuperado desde otro dispositivo, por un lado, y por otro, para desactivar la geolocalización del mismo.

Qué hacer para protegerse

Joanna Stern, autora del reportaje en el Wall Street Journal, destaca que su entrevistada descubrió que su iPhone había sido robado en un bar de Nueva York; transcurridos apenas tres minutos, perdió el acceso a su cuenta de Apple y en menos de 24 horas, vio que se esfumaban 10.000 dólares de unos fondos de inversión en su poder.

La buena noticia es que, al tratarse de un método tan evidente, la solución es igual de simple: dificultar al máximo que puedan copiar la contraseña. A este respecto, los expertos proponen evitar de forma urgente cadenas de cifras simples (de cuatro o seis caracteres) y en su lugar, complicar al máximo la contraseña. Idealmente, lo más adecuado es hacer que esta sea larga y que incluya caracteres especiales y combine mayúsculas con minúsculas.

Evidentemente, al complicar la contraseña, se pierde la agilidad y mnemotecnia de introducir un pin de pocos dígitos, pero es un peaje que debe pagarse en aras de la seguridad. Los expertos van todavía más lejos en sus recomendaciones: instan a desvincular, en lo posible, el código de desbloqueo del móvil con el acceso a determinadas cuentas. De esta manera, se minimizaría la segunda vulnerabilidad: permitir el acceso a cuentas con contenido comprometido mediante la misma contraseña que protege la pantalla.

Puedes seguir a EL PAÍS Tecnología en Facebook y Twitter o apuntarte aquí para recibir nuestra newsletter semanal.