CURSO: ASEGURANDO TU
SMARTPHONE O TABLET
ANDROID
MÓDULO 2
QUE NADIE USE TU MÓVIL
OFICINA DE SEGURIDAD DEL INTERNAUTA
NOVIEMBRE 2012
Asegurando tu Android: Que nadie use tu móvil 2
Copyright © 2010 Instituto Nacional de Tecnologías de la comunicación (INTECO)
El presente documento está bajo la licencia Creative Commons Reconocimiento-No comercial-Compartir Igual versión 2.5 España. Usted es libre de: - copiar, distribuir y comunicar públicamente la obra - hacer obras derivadas Bajo las condiciones siguientes: - Reconocimiento. Debe reconocer los créditos de la obra de la manera especificada por el autor o el licenciador
(pero no de una manera que sugiera que tiene su apoyo o apoyan el uso que hace de su obra). - No comercial. No puede utilizar esta obra para fines comerciales. - Compartir bajo la misma licencia. Si altera o transforma esta obra, o genera una obra derivada, sólo puede
distribuir la obra generada bajo una licencia idéntica a ésta. Al reutilizar o distribuir la obra, tiene que dejar bien claro los términos de la licencia de esta obra. Alguna de estas condiciones puede no aplicarse si se obtiene el permiso del titular de los derechos de autor Nada en esta licencia menoscaba o restringe los derechos morales del autor. Esto es un resumen legible por humanos del texto legal (la licencia completa) disponible en: http://creativecommons.org/licenses/by-nc-sa/2.5/es/ El presente documento cumple con las condiciones de accesibilidad del formato PDF (Portable Document Format). Se trata de un documento estructurado y etiquetado, provisto de alternativas a todo elemento no textual, marcado de idioma y orden de lectura adecuado.
Para ampliar información sobre la construcción de documentos PDF accesibles puede consultar la guía disponible en la sección Accesibilidad > Formación > Manuales y Guías de la página http://www.inteco.es.
Asegurando tu smartphone o tablet Android. Que nadie use tu móvil. 3
ÍNDICE
1. INTRODUCCIÓN 4
2. ¡QUÉ NADIE LLAME SIN MI PERMISO! 5
2.1. ¿Cómo funciona el pin de la SIM? 6
2.2. ¿Cómo se cambia el pin de la SIM? 7
3. ¡QUÉ NADIE PUEDA VER LO QUE HAY DENTRO! 9
3.1. Patrón de desbloqueo 10
3.2. PIN de bloqueo 11
3.3. Contraseña 13
4. ¿QUÉ PASA SI OLVIDAMOS EL PATRÓN, PIN DE BLOQUEO O CONTRASEÑA? 15
4.1. Patrón 15
4.2. PIN de bloqueo y contraseña 16
5. CUENTA DE CORREO ASOCIADA AL DISPOSITIVO 17
5.1. Qué pasa si olvidamos la contraseña de la cuenta Google asociada al
dispositivo 17
Asegurando tu Android: Que nadie use tu móvil 4
1. INTRODUCCIÓN
En este módulo veremos las medidas de seguridad que incorpora Android para evitar que un tercero
con acceso físico al dispositivo pueda usarlo sin tu permiso.
El acceso físico al dispositivo podría ocurrir bajo las siguientes situaciones:
Pérdida o robo del dispositivo
Dejar el dispositivo al alcance de otros y sin vigilancia
Los riesgos principales de que un tercero tenga acceso físico al dispositivo sin tu consentimiento son:
Uso ilegítimo y robo de identidad. Contempla el uso de las funcionalidades de
llamadas telefónicas, SMS (mensajes de texto), MMS (mensajes multimedia),
mensajería instantánea (Whatsapp, viber), etc.
Esto implica que se podrían enviar y recibir comunicaciones como si se fuera el
propietario legítimo del dispositivo, catalogándose esta situación como un posible
«robo de identidad»
Acceso a información sensible y posible perdida. Quien accede al dispositivo
puede leer, modificar y/o eliminar la información que hay en él almacenada como
fotografías, vídeo, notas y cualquier otro tipo de ficheros (ya sean personales o
profesionales).
Acceso a servicios personales. Si por comodidad se han almacenado las
credenciales (usuario/contraseña) de servicios web (Facebook, Gmail, Dropbox,
banca online, etc.) en el dispositivo (en el navegador con la opción «recordar» o en
aplicaciones especificas) sería posible acceder a ellos y operar como el legitimo
propietario. Situación que también podría desembocar en un robo de identidad.
¡Imaginad que os secuestran vuestro perfil en Twitter!.
Proteger el dispositivo contra este tipo de situaciones es la primera tarea que debemos abordar, para
ello vamos a enumerar las posibilidades básicas que nos ofrece este sistema.
Asegurando tu Android: Que nadie use tu móvil 5
2. ¡QUÉ NADIE LLAME SIN MI PERMISO!
La tarjeta SIM (Subscriber Identity Module o módulo de identidad del suscriptor) es una tarjeta que
nos proporciona nuestro operador de telefonía, que lleva asociada nuestra línea telefónica móvil, y es
la que permite que el dispositivo pueda hacer y recibir llamadas, así como tener línea de datos
(acceso a Internet móvil).
Esta tarjeta, en resumen, nos permite telefonear y acceder a Internet desde el móvil. Y esto tiene 2
aspectos a considerar:
El económico. El gasto de la línea telefónica y de la línea de datos realizados con nuestra tarjeta SIM
se cargaran a la cuenta bancaria que tengamos asociada, o se descontará del saldo de la tarjeta
prepago.
La identidad del propietario. Las llamadas, mensajes y navegación, así como cualquier otra actividad
que se realice con nuestra tarjeta SIM (sea desde el dispositivo que sea) quedará asociada a nuestra
persona.
Por ejemplo si alguien cometiera un delito (como entrar en un ordenador utilizando nuestra conexión),
la policía determinaría que la conexión desde la cual se cometió el delito estaba asignada a nuestra
tarjeta SIM, y aunque se pudiera demostrar nuestra inocencia, podríamos vernos en una situación
cuanto menos incómoda.
Para prevenir el uso del dispositivo para llamadas, SMS y
comunicaciones a través de la operadora, la opción más
simple y necesaria es establecer el bloqueo de la tarjeta
mediante un código pin ( Número de Identificación Personal).
NOTA: A lo largo de este módulo haremos referencia a tres valores pin distintos:
pin de la tarjeta SIM – Para evitar comunicaciones móviles a través de la operadora
pin de respaldo del Patrón – Para desbloquear el móvil si hemos olvidado el patrón en
Android 4 o posteriores
pin de Bloqueo – Para bloquear el dispositivo y que no se pueda usar sin conocer ese
número
Cada vez que se use el concepto PIN se identificará de forma explícita para no confundir al
lector, aunque en ocasiones pueda resultar redundante.
Asegurando tu Android: Que nadie use tu móvil 6
2.1. ¿CÓMO FUNCIONA EL PIN DE LA SIM?
El funcionamiento del pin de la SIM es muy simple:
Al encender el dispositivo, si tenemos la tarjeta SIM introducida, solicita el número pin de la SIM
Ilustración 1. Solicitud del pin de la SIM
Si el pin de la SIM que introducimos es correcto se permiten comunicaciones a través de la operadora
(llamadas, mensajes y navegar por Internet), aparece en la pantalla el nombre del operador al que se
ha conectado el dispositivo.
Si se introduce el pin de la SIM 3 veces mal, la tarjeta se bloquea. Para desbloquearlo habría que
introducir el código PUK (Personal Unlocking Key o código de desbloqueo personal), que nos dieron
junto con el pin de la SIM inicial de la tarjeta.
Las operadoras de telefonía entregan las tarjetas SIM asociadas a un pin, aunque como veremos a
continuación es posible modificarlo –por ejemplo, para recordarlo mejor- y anularlo.
El código PUK no se puede modificar al ser el único método del que dispone la operadora para
desbloquear una SIM bloqueada.
Si se intenta acceder a un móvil que tiene tarjeta SIM y no introducimos
el pin correcto, no podremos acceder al contenido del dispositivo,
pero si extraemos la tarjeta SIM, éste arrancará con todas las
funcionalidades de las que dispone (excepto comunicaciones móviles)
y se podrá acceder a la información que almacena.
Para bloquear las comunicaciones móviles de forma que solicite el pin, tenemos que apagar el
dispositivo y volverlo a encender.
Asegurando tu Android: Que nadie use tu móvil 7
2.2. ¿CÓMO SE CAMBIA EL PIN DE LA SIM?
Para gestionar el pin (establecerlo, quitarlo o modificarlo), se hace desde:
Aplicaciones Ajustes Seguridad Bloqueo de tarjeta SIM
Ilustración 2. Acceso a la opción de Bloqueo de tarjeta SIM
Si está marcada la opción «Bloquear tarjeta SIM» es necesario introducir el pin de la SIM cuando se
inicie el teléfono para poder llamar y conectarse a Internet móvil. Si desbloqueamos la SIM, nos pide
el pin actual para confirmar la opción.
Ilustración 3. Desbloqueo del pin de la tarjeta SIM
Asegurando tu Android: Que nadie use tu móvil 8
Podemos modificar el pin de la tarjeta SIM desde la pantalla de Desbloqueo de tarjeta SIM (Ilustración
1)
Ilustración 4. Modificación del pin de la tarjeta SIM
Asegurando tu Android: Que nadie use tu móvil 9
3. ¡QUÉ NADIE PUEDA VER LO QUE HAY DENTRO!
Por defecto, los dispositivos Android vienen sin un sistema de bloqueo activado, así que si queremos
evitar que alguien acceda al contenido del dispositivo (fotos, vídeos, documentos, notas, contraseñas,
etc.), hemos de activar alguno de los sistemas de protección que nos ofrece para tal fin.
Es cierto que si encendemos un teléfono con tarjeta SIM, hasta que no introduzcamos el pin correcto
no nos dejará usarlo excepto efectuar llamadas de emergencia, pero si quitan la tarjeta SIM, se podrá
iniciar y ver lo que hay almacenado en la memoria del teléfono y en la tarjeta MicroSD (salvo en el
caso de que la información almacena esté cifrada).
En Android hay tres métodos diferentes que se pueden emplear para bloquear el uso del teléfono (el
de la SIM no lo consideramos adecuado para esto), y son el patrón de desbloqueo, el pin y la
contraseña.
Para establecer, consultar y modificar el sistema de bloqueo, accedemos a:
Aplicaciones Ajustes Bloqueo de pantalla Tipo de Bloqueo
Ilustración 5. Mostrando el tipo de bloqueo establecido.
En la primera opción muestra: Ninguno.
Asegurando tu Android: Que nadie use tu móvil 10
3.1. PATRÓN DE DESBLOQUEO
El patrón de bloqueo es una forma de protección del acceso a las funciones del dispositivo (excepto
llamadas de emergencia) basado en una matriz de puntos de 3x3, en la cual se configura un dibujo
basado en el orden en que vamos pasando el dedo por los puntos de la matriz. Por ejemplo:
Ilustración 6. Patrón de desbloqueo
En este caso el trazo comienza en el punto superior derecho y finaliza en el central.
Para establecer el patrón de desbloqueo accedemos a:
Aplicaciones Ajustes Bloqueo de pantalla Tipo de bloqueo Patrón
Ilustración 7. Establecer un patrón de desbloqueo
Hay que introducir el patrón de desbloqueo (al menos hay que pasar por 4 puntos) dos veces (para
asegurarnos) y hacer «tap» en «Confirmar»,
Asegurando tu Android: Que nadie use tu móvil 11
Ilustración 8. Establecimiento de bloqueo de pantalla mediante pin
a continuación, pide el pin de respaldo, que es un número que debemos usar en el caso de que
olvidemos el patrón de desbloqueo.
En Android 4, si introducimos 5 veces mal el patrón, nos obliga a esperar 30 segundos para continuar
intentándolo. Es una medida de seguridad extra para proteger el dispositivo ante ataques de fuerza
bruta que van probando todas las posibles combinaciones hasta acertar. . Hay que señalar que en
versiones anteriores de Android no hay posibilidad de incluir el pin del patrón.
3.2. PIN DE BLOQUEO
La segunda forma de proteger el acceso a las funcionalidades y datos del dispositivo es mediante el
pin de Bloqueo, que es una secuencia numérica (de al menos 4 dígitos) que protege el acceso al
dispositivo.
Ilustración 9. Solicitud de pin de Bloqueo
Asegurando tu Android: Que nadie use tu móvil 12
La fortaleza de este método se basa en la cantidad/calidad de dígitos que utilicemos. Cuantos más,
mejor, pero ojo con los pines como: 1234, el DNI, matricula, fechas de nacimiento, y aniversarios, que
son las primeras que probaría alguien que quisiera entrar a nuestro dispositivo sin nuestro permiso.
NOTA: Dependiendo de la versión del sistema operativo, es posible introducir únicamente pines de 4
dígitos o pines con más. Cuanto más largo más seguro.
Si introducimos el pin mal 5 veces hemos de esperar 30 segundos para seguir intentándolo.
Para configurar el pin de bloqueo, accedemos a:
Aplicaciones Ajustes Bloqueo de Pantalla Tipo de bloqueo PIN
Ilustración 10. Activando el pin de Bloqueo
Se ha de introducir el pin (al menos 4 valores numéricos) dos veces (para asegurarnos de que
coinciden) y hacer «tap» en «Aceptar». En la pantalla «Bloqueo de pantalla», en la opción «Tipo de
bloqueo» aparecerá como «Protegida con pin».
Ilustración 11. Establecimiento de bloqueo de pantalla mediante pin
Asegurando tu Android: Que nadie use tu móvil 13
3.3. CONTRASEÑA
El tercer método es utilizar una contraseña, en la cual podemos usar letras, caracteres especiales y
números. El funcionamiento es idéntico al pin, pero incluyendo más tipos de caracteres.
Este método es más fuerte que los anteriores, ya que mientras que para cada dígito hay 10
posibilidades, para cada carácter de la contraseña puede haber más de 100.
Ilustración 12. Comparativa de la fortaleza de la contraseña numérica y de caracteres
Al igual que en los métodos anteriores, si introducimos la contraseña mal 5 veces, nos obliga a
esperar 30 segundos, así que se descartan los ataques probando todas las posibilidades.
Para configurar la contraseña de bloqueo:
Aplicaciones Ajustes Bloqueo de Pantalla Tipo de bloqueo Contraseña
Ilustración 13. Acceso al Tipo de bloqueo por Contraseña
Asegurando tu Android: Que nadie use tu móvil 14
Se ha de introducir la contraseña (al menos 4 caracteres) dos veces (para asegurarnos de que
coinciden) y hacer «tap» en «Aceptar». En la pantalla «Bloqueo de pantalla», en la opción «Tipo de
bloqueo» aparecerá como «Protegida con contraseña».
Ilustración 14. Establecimiento de bloqueo de pantalla mediante Contraseña
Asegurando tu Android: Que nadie use tu móvil 15
4. ¿QUÉ PASA SI OLVIDAMOS EL PATRÓN, PIN DE BLOQUEO O
CONTRASEÑA?
Si establecemos una protección frente al acceso a las funciones del dispositivo, y olvidamos esa
protección (aunque raro, puede pasar, de hecho pasa a menudo), hay que conocer la forma de
proceder para solucionar este problema.
4.1. PATRÓN
Si olvidamos el patrón de desbloqueo y habíamos fijado un pin para el patrón, en la parte inferior
aparecerá el texto «¿Has olvidado el patrón?»
Ilustración 15. Acceso a la opción para restaurar el acceso si hemos olvidado el patrón
Si hacemos «tap» en dicho texto, podremos recuperar el acceso de dos formas distintas:
Cuenta de Google. Introducimos la cuenta de Gmail asociada (sin la extensión .gmail.com) y la
contraseña para desbloquear el dispositivo.
Ilustración 16. Desbloqueo de la cuenta mediante el uso de la cuentas de usuario de Gmail asociada
PIN del patrón. Si lo introducimos desbloqueará el dispositivo.
Asegurando tu Android: Que nadie use tu móvil 16
Ilustración 17. Desbloqueo de la cuenta mediante el uso del pin de respaldo del partición
En ambos casos, el sistema nos lleva a la ventana de «Bloqueo de pantalla» desactivando el mismo.
Ilustración 18. Pantalla que indica que se ha desbloqueado el patrón
4.2. PIN DE BLOQUEO Y CONTRASEÑA
Si olvidamos el pin que se utilizó para el bloqueo (no el del patrón), la única forma de desbloquear el
terminal es mediante el «Hard-Reset» que consiste en la restauración del dispositivo a los valores de
fábrica, perdiendo los datos que hayamos introducido en el dispositivo que no estén respaldados por
una copia de seguridad (Módulo 4).
En función del fabricante del dispositivo, esta acción se puede hacer desde el software de conexión al
PC, en el caso de poder acceder al dispositivo desde el ordenador, o mediante una combinación de
teclas cuando lo encendemos (por ejemplo encendido+inicio), por lo que para cada dispositivo
debemos documentarnos en las páginas web del correspondiente fabricante.
Asegurando tu Android: Que nadie use tu móvil 17
5. CUENTA DE CORREO ASOCIADA AL DISPOSITIVO
Los dispositivos Android, permiten asociar una cuenta de Gmail al dispositivo. Esto aporta una serie
de ventajas muy importantes, como son:
Sincronización de contactos del teléfono con los de la cuenta de Gmail, de forma que
siempre que estén sincronizados, tendremos una copia de los contactos del móvil en la
cuenta de Gmail.
Gestionar aplicaciones de Google Play, de forma que desde un PC logueados con nuestra
cuenta de Google para el dispositivo, podemos instalar aplicaciones, comprobar si son
compatibles con nuestra versión de sistema y ver las que hemos instalado.
Gestionar otros servicios Google como Maps (personalizados), servicios como Drive, etc.
Deshabilitar el patrón de bloqueo (desde la versión 4.0), conociendo la cuenta y la contraseña.
5.1. QUÉ PASA SI OLVIDAMOS LA CONTRASEÑA DE LA CUENTA
GOOGLE ASOCIADA AL DISPOSITIVO
Los dispositivos Android pueden asociar una cuenta de Google (Gmail) con el dispositivo móvil. Esto
tiene la gran ventaja de que los contactos se pueden gestionar desde esa cuenta, y siempre estarán
respaldados (si la cuenta está sincronizada con el dispositivo), además de almacenar que
aplicaciones hay instaladas, y permitir restaurar el equipo en algunos casos de pérdida de
credenciales.
Si hemos olvidado la contraseña de esa cuenta, podemos reinicializarla desde la página de registro
de Gmail mediante alguno de los métodos establecidos para este fin:
Responder a mi pregunta de seguridad
Recibir un enlace de restablecimiento de contraseña en mi dirección de correo electrónico
de recuperación
Recibir un código de verificación en mi teléfono
Puedes ver en detalle cada uno de estos métodos en «Cómo recuperar una cuenta
secuestrada: Google» de la Oficina de Seguridad del Internauta.
En caso de no haber facilitado un teléfono (que podamos usar, si es el nuestro y está bloqueado no
vale, a menos que saquemos la SIM y la pongamos en otro teléfono), ni haber especificado un correo
alternativo, o si no nos acordamos de los datos que dimos, el proceso es más delicado y requerirá
ponerse en contacto con Google y seguir sus indicaciones.