Si usas un PIN para bloquear tu Android eres 100% vulnerable
La seguridad es un tema que nos preocupa a todos. Las empresas se han esmerado mucho en hacer que nuestros dispositivos móviles sean cada vez más y más herméticos, permitiéndonos alejar nuestra privacidad de ojos ajenos mediante contraseñas, patrones, PINs, huellas dactilares, iris y escáner facial. Sin embargo, estas medidas no son perfectas y distan mucho de garantizar una total seguridad, y un reciente estudio así lo demuestra. Si eres de los que usan un PIN, sigue leyendo, porque no estás protegido.
Un estudio llevado a cabo por la Nanyang Technological University (NTU) de Singapur ha descubierto una nueva y enorme brecha de seguridad que los hackers pueden explotar para adivinar tu PIN. ¿Cómo? Usando los sensores que casi todos los dispositivos Android tienen: acelerómetro, giroscopio, magnetómetro, sensor de proximidad, barómetro y sensor de luz ambiental.
Con la información obtenida de estos seis diferentes sensores y una suerte de algoritmos de machine learning y deep learning los investigadores de la NTU han conseguido desbloquear cualquier smartphone Android protegido con un PIN con un 99,5% de tasa de acierto, o lo que es lo mismo, en solo tres intentos, suficiente para que el dispositivo no se bloquee. Y eso probando solo con los 50 números PIN más comunes.
Hasta hoy, los mejores resultados en crackeo de smartphones habían sido de un 74% de precisión con los 50 PIN más usados, pero la técnica desarrollada por la NTU se puede usar para adivinar y funcionar en todas y cada una de las 10.000 posibles combinaciones que se pueden hacer con cuatro dígitos. El estudio, liderado por el Dr. Shivam Bhasin, Senior Research Scientist de los Laboratorios Temasek de la NTU, usó los datos obtenidos de los sensores mencionados antes para adivinar qué números habían sido pulsados por el usuario, basándose en la inclinación del teléfono y cuánta luz fue bloqueada por los dedos al pulsar dichos botones.
Cuando sujetas tu teléfono e introduces el PIN, la forma en la que el teléfono se mueve cuando presionas 1, 5 o 9 es diferente. Así, al presionar el botón 1 con tu pulgar derecho bloqueas más luz que cuando pulsas el botón 9 - Dr. Bhasin, investigador del proyecto.
El algoritmo de clasificación que han desarrollado fue entrenado con datos obtenidos de tres personas que introdujeron un conjunto de 70 códigos PIN de cuatro dígitos de forma aleatoria, a la vez que recolectaban información de los sensores. Los algoritmos otorgaron una importancia determinada a cada sensor dependiendo de cuán sensible era según el número que se pulsaba, lo que ayudaba a eliminar falsos positivos y a aumentar la tasa de acierto.
No es la primera vez que nos encontramos con vulnerabilidades en los sensores. Hace poco se descubrió que usando información de acceso público cruzada con los datos de los sensores de nuestro smartphone se nos podía geolocalizar con muchísima facilidad. Tanto esa investigación como esta concluye que es necesario que las aplicaciones pidan permiso para acceder a dichos componentes.
Finalmente, el Dr. Bashin afirma que los usuarios que tengan un PIN deben procurar que sea de más de cuatro dígitos en la medida de lo posible o que usen otros métodos de autenticación, como las contraseñas, huellas dactilares o reconocimiento facial. Lo que está claro es que parece que no estamos tan seguros como creemos, y es que algo tan sencillo como la luz que tapa nuestro pulgar al pulsar un botón puede revelar nuestra contraseña y proporcionar acceso a todos nuestros datos.
Fuente: Israel Homeland Security Home
Para estar siempre al día con lo último en tecnología, suscríbete a nuestro canal oficial y verificado de Andro4all en WhatsApp.