El 26% usa un número fácil de adivinar como PIN para desbloquear su teléfono. ¿Usas el mismo método?
Probablemente haya visto esta lista de las 25 contraseñas más populares y (re)utilizadas (la «contraseña» sigue siendo una de las opciones más comunes en general), pero ¿cómo asegura un PIN de forma única el acceso telefónico? ¿Qué tan único es el PIN que elegimos para evitar que los intrusos entren en nuestros teléfonos y obtengan acceso ilimitado a nuestras preciadas cuentas?
La gente tiende a bloquear sus teléfonos con códigos de acceso, pero ¿qué pasa si alguien sabe o adivina el código de acceso? ¿Puedes adivinar el PIN más común probándolo? Entonces, ¿pueden leer sus correos electrónicos, enviarle mensajes de WhatsApp o ver su carrito de compras en línea?
Una encuesta reciente del Instituto SANS reveló esto, con los 20 códigos PIN más utilizados para asegurar el acceso a los teléfonos móviles (fuera de servicio):
Un asombroso 26% de los teléfonos bloqueados terminan siendo descifrados usando las contraseñas antes mencionadas. Si pierde o le roban su teléfono, lo más probable es que los delincuentes obtengan acceso a él después de algunos intentos, incluso sin saber nada sobre usted.
Entonces, ¿por qué las personas, incluidas celebridades como Kanye West, todavía usan códigos simples? Pero es mejor responder esta pregunta rápida primero: ¿Cuándo fue la última vez que cambió el PIN que usa para desbloquear su teléfono?
La mayoría de los teléfonos inteligentes de las personas ahora están configurados y almacenados con aproximadamente una década de métodos de desbloqueo, y hay que decir que desde que apareció el primer iPhone de Apple en 2007, hemos estado más interesados en estas características que en discutir posibles vectores de ataque.
Los lectores de huellas digitales están disponibles recientemente, por lo que los usuarios deben ingresar su PIN de desbloqueo hasta 50 o incluso 100 veces al día. Con el tiempo, los usuarios esperan un acceso más rápido y sencillo a sus teléfonos.
El problema es que incluso con la introducción de códigos más largos, Face ID o las opciones de Touch ID, las personas rara vez cambian el PIN que configuraron originalmente y, a menudo, reutilizan los mismos códigos antiguos en todos los dispositivos, aunque el método de desbloqueo principal, al principio , el teléfono tiene un código PIN.
Un método muy común que la gente usa para recordar su PIN es usar un número que sea significativo para ellos. Los ciberdelincuentes se basan en el hecho de que existe una actitud común de «esto no me puede pasar a mí». Entonces, ¿qué sucede si alguien que quiere hackear tu teléfono sabe o conoce algunos detalles generales sobre ti? Cuando un teléfono tiene un código de 4 dígitos, las personas generalmente usan el año que es relevante e importante para ellos; cuando se sugiere un código de 6 dígitos, las personas generalmente ingresan un elemento de una fecha memorable del calendario para desbloquear el teléfono.
Esta es una forma extremadamente peligrosa de proteger su dispositivo y los valiosos datos almacenados en él, ya que permite que cualquier ciberdelincuente con algunas habilidades de investigación de código abierto pruebe posibles códigos para desbloquear su teléfono.
¿Por qué debería importancia del contexto?
Aquí hay un pequeño ejemplo de lo fácil que es adivinar un PIN. Hace poco asistí a una charla (sobre cómo hackear una empresa, irónicamente) donde comencé a discutir cómo los ciberdelincuentes usan la ingeniería social para aprender contraseñas. Durante el acto, una persona de la primera fila sacó su teléfono móvil del bolsillo e introdujo el código PIN para desbloquearlo. Noté que ingresaste el código de 6 dígitos y puedo ver los dos últimos dígitos 1 y 4.
Para la mayoría de las personas, esto puede parecer solo dos números aleatorios, pero si agregamos algo de contexto a estos números, podríamos descubrir los otros cuatro. Luego comencé una conversación con este tipo, le pregunté su nombre y lo busqué en Facebook. En la sección de información personal de su perfil, encontré que está casado, pero no hay otra información disponible además del nombre de su esposa. Hago clic en el perfil de su esposa y voy a la sección de su perfil.
Allí noté que tenía mucha información personal pública, especialmente la fecha de su matrimonio, que fue el 1 de septiembre, sí, lo adivinaron, 2014. Amablemente le pedí al caballero que me diera su teléfono y tratara de desbloquearlo. Aunque no estaba muy contento con mi pedido, me dejó ir a hacerme una prueba. ¡Escribí «010914» en su teléfono y entró! Demostramos un ejemplo simple de lo que podría suceder en la vida real, cuando la mitad de la audiencia saca sus teléfonos y pregunta cuál es la forma más fácil de cambiar su PIN.
¿Qué podemos decir de Face ID o Touch ID? ¿Nos protege completamente del ataque? Bueno, la respuesta corta es no.
Muchas personas piensan que una vez que tienen un lector de huellas dactilares o reconocimiento facial en su dispositivo, no necesitan un PIN seguro. ¡Recuerde! Todavía hay un PIN que permite el acceso a su teléfono, que los piratas informáticos pueden identificar más fácilmente que recurrir a «cortar su dedo» o «copiar su cara» para desbloquear su dispositivo.
Cuando trabajé en la unidad forense digital de la policía, teníamos una gran herramienta integrada en el iPhone de Apple. (Puedes ver cómo funciona este dispositivo aquí). Nuestro lector de códigos es capaz de recorrer todos los códigos de 4 dígitos desde «0000» hasta «9999» sin bloquear o borrar su teléfono. Cada intento toma 4 segundos y, para ahorrar tiempo, aprendimos a iniciar el proceso con un código lo más cercano posible a la realidad.
Comenzamos el proceso en «1970» y, por lo general, obtuvimos acceso a los dispositivos antes de llegar a «2010». Esto se debe a que muchas personas usan la fecha de nacimiento, el año de matrimonio o el año de nacimiento de sus hijos para que sea más fácil recordar el PIN que establecieron.
Cómo mantenerse a salvo
La mejor contramedida es comenzar a usar un código alfanumérico largo para desbloquear el teléfono. Por lo tanto, dado que esto puede demorar mucho en desbloquear su dispositivo, habilite Touch ID o Face ID para acelerar el inicio de sesión.
Un buen punto a mencionar. Es que debes tener más cuidado con el contexto público en el que ingresas estas credenciales y quién puede estar monitoreando tus movimientos. Con demasiada frecuencia he visto personas en el transporte público ingresando PIN, contraseñas o incluso hablando por teléfono dictando los detalles de su tarjeta de crédito. ¡incluido el número CVV de tres dígitos en la parte posterior!
¡Finalmente! Después de hacer una copia de seguridad de su dispositivo, debe agregar otra capa de seguridad activando Find My iPhone para iOS o Find My Device en Android. Cual le permitirá borrar los datos del teléfono remoto si es robado. (Antirrobo y las capacidades de borrado remoto también se incluyen en soluciones de seguridad móvil confiables). Si bien es posible que nunca vuelva a ver ese dispositivo. Al menos los delincuentes no podrán acceder a su dispositivo ni acceder a sus datos e información personales.