Todos conocemos los peligros. El teléfono inteligente es el portal para compras en línea, nuestras cuentas bancarias y todo tipo de perfiles de redes sociales. Para muchos, es nuestra identidad digital..

Sabemos lo que tenemos que hacer: asegurarnos de que tenga un código de bloqueo y nunca compartirlo con nadie..

Leer más: MyKronoz ZeTime Petite

Pero y si eso no es suficiente?

Investigadores de la Universidad de Cambridge descubrieron una forma de extraer el PIN en un teléfono Android utilizando una aplicación maliciosa para capturar datos a través de la cámara y el micrófono del teléfono inteligente. Esta técnica llegó a los titulares hacia fines de 2013, ya que pudo identificar correctamente un PIN de cuatro dígitos de un conjunto de pruebas el 30% del tiempo después de dos intentos, aumentando al 50% después de cinco intentos.

Maniobra de flanqueo

¿Es tu PIN realmente tan seguro??

Esta técnica se conoce como ataque de "canal lateral" y es notable porque evita la división supuestamente segura entre el sistema Android y la zona de confianza en su teléfono inteligente.

Los ataques de canal lateral utilizan sensores como el giroscopio y el acelerómetro, o hardware como el micrófono y la cámara, para capturar datos. Luego se carga en un servidor remoto donde se utiliza un algoritmo para realizar una conjetura basada en su PIN..

La parte "confiable" de su teléfono está separada del sistema operativo principal y está diseñada para aislar aplicaciones sensibles, como aplicaciones bancarias. Todo esto es parte de un movimiento para mantener los datos confidenciales en hardware separado, con compañías como ARM inventando la tecnología TrustZone y GlobalPlatform (GP) creando estándares para un Entorno de Ejecución Confiable (TEE) para garantizar que esto se mantenga seguro..

Sin embargo, este enfoque no protege contra ataques de canal lateral. Laurent Simon, uno de los autores de Skimmer de PIN: Inferir PIN a través de la cámara y el micrófono, nos dijo: "No es obvio que el acelerómetro o el micrófono puedan usarse para filtrar información. El objetivo es proteger la pantalla".

Como funciona?

Este ataque implica el uso de la aplicación PIN Skimmer, que es un malware disfrazado de un juego, para registrar a los usuarios que interactúan con la pantalla táctil..

La cámara frontal se puede usar para capturar una foto del usuario y determinar cómo se ve cuando se presiona un punto específico en la pantalla. Estos datos se pueden usar para construir un modelo y analizar un video de ellos ingresando su PIN.

Esto se refuerza aún más al usar el micrófono para capturar el audio de la vibración háptica cuando el usuario presiona la pantalla en puntos específicos.

Para ser justos con los desarrolladores de teléfonos, las víctimas deben descargar la aplicación y otorgarle permiso para acceder al micrófono, la cámara e Internet en el sistema Android..

Una vez que el atacante identifica un PIN probable, todavía necesita el teléfono inteligente físicamente en la mano antes de poder probarlo. Como Simon explicó: "En ese sentido, es limitado, no puedes hacer todo de forma remota; tendrías que colaborar [inadvertidamente] con los ladrones".

Antes de descartar esta idea como nunca te va a pasar, considera que el malware también se puede usar para rastrear tu ubicación y que el robo de teléfonos inteligentes está en su punto más alto. El Met reveló que durante el 2013 solo se robaron casi 100,000 teléfonos móviles en Londres..

Cómo puedes protegerte?

Marc Rogers, investigador principal de seguridad del especialista en seguridad móvil Lookout, nos dijo: "El método más común y común para poner en peligro su teléfono inteligente es instalar algo de una tienda de terceros que enviará su número de teléfono, su lista de contactos, sus mensajes SMS , y permitir que alguien controle el teléfono de forma remota.

"Hicimos un estudio y descubrimos en los EE. UU. Y el Reino Unido que la probabilidad de encontrar algo desagradable, un enlace de phishing, adware o malware, es de alrededor del 2% al 3%. Su probabilidad de encontrar realmente malware es de alrededor del 0,5%".

Esas cifras se basan en los datos capturados por millones de usuarios de Lookout Mobile, y Rogers sugiere que los usuarios deberían adherirse a la Play Store de Google y no ir a tiendas de terceros. "Estos no necesariamente tienen el mismo nivel de protección", dijo, "y es por eso que la probabilidad aumenta del 0,5% en el Reino Unido a alrededor del 40% en la Federación de Rusia y Ucrania".

Simon estuvo de acuerdo en que "Google Play es una apuesta segura, pero eso no significa que no se pueda comprometer de otra manera", citando un exploit de Chrome que permitió a los atacantes obtener el control sobre un Nexus 4 y un Galaxy S4 después de que los usuarios hicieron clic en un determinado enlace.

¿Alguien está tratando de protegernos??

Los investigadores originales de la Universidad de Cambridge se centran en lo que pueden hacer los proveedores de sistemas operativos y los fabricantes de teléfonos inteligentes para combatir esta amenaza.

El trabajo de investigación de PIN Skimmer de Simón también sugiere varias medidas, pero las más efectivas tienen un costo para la usabilidad. Por ejemplo, bloquear el acceso a varios sensores durante las transacciones confidenciales mantendría a los piratas informáticos fuera, como lo haría la asignación aleatoria de dígitos en el teclado PIN, pero hacerlo también limitaría lo que puede hacer en su teléfono y haría que sea poco práctico utilizar.

Simon dijo: "Cuando escribes un PIN, realmente no necesitas tener acceso a nada, pero es una decisión importante para [fabricantes] decir 'vamos a bloquear todo'". La gente podría comenzar a quejarse si pierde una llamada ".

Más tarde nos dijo que Samsung sugirió las contramedidas propuestas a GP, para una posible inclusión en el estándar TEE, y que Qualcomm tomó las recomendaciones a bordo..

¿Qué pasa con la biometría??

¿Podrían los desarrollos como el ID de Touch de Apple ser la respuesta? Rogers cree que podría. Dijo: "Es una forma realmente buena de brindar seguridad a las masas. Es conveniente, es fácil de usar y se ajusta a los procesos normales del usuario".

Es Touch ID la respuesta?

Si bien la biometría tiene algunas vulnerabilidades, la gran ventaja es que permiten una seguridad conveniente en dos etapas..

Rogers dijo: "Se puede engañar a un PIN de alguien, pero no se puede engañar a una huella digital de ellos. Si te casas con los dos, entonces ahora necesitas dos credenciales para obtener acceso, calificaría esa seguridad como bastante alta". . "

Por lo tanto, la biometría (que se encuentra en los últimos buques insignia de Apple, Samsung, HTC y muchos más) es un paso positivo hacia la seguridad. Pero queda por ver si son la respuesta o si la autenticación multifactor es un paso demasiado lejos para las personas que usan sus teléfonos inteligentes todos los días..

En 2014, Apple reveló que el 49% de las personas usaron un código de acceso antes de Touch ID, pero desde que se implementó, el 83% de los propietarios de iPhone ahora usan Touch ID o un código de acceso. Parece que facilitar la seguridad es un estímulo definitivo para los usuarios..

En última instancia, la única opción puede ser sacrificar algo de comodidad para su tranquilidad. Como dijo Simon: "Cualquier cosa que puedas hacer para hacer las cosas más difíciles para los malos es siempre algo bueno".