Asegurando tu Android: ¡Qué nadie lo use sin tu permiso!

CURSO: ASEGURANDO TU

SMARTPHONE O TABLET

ANDROID

MÓDULO 2

QUE NADIE USE TU MÓVIL

OFICINA DE SEGURIDAD DEL INTERNAUTA

NOVIEMBRE 2012

Asegurando tu Android: Que nadie use tu móvil 2

Copyright © 2010 Instituto Nacional de Tecnologías de la comunicación (INTECO)

El presente documento está bajo la licencia Creative Commons Reconocimiento-No comercial-Compartir Igual versión 2.5 España. Usted es libre de: - copiar, distribuir y comunicar públicamente la obra - hacer obras derivadas Bajo las condiciones siguientes: - Reconocimiento. Debe reconocer los créditos de la obra de la manera especificada por el autor o el licenciador

(pero no de una manera que sugiera que tiene su apoyo o apoyan el uso que hace de su obra). - No comercial. No puede utilizar esta obra para fines comerciales. - Compartir bajo la misma licencia. Si altera o transforma esta obra, o genera una obra derivada, sólo puede

distribuir la obra generada bajo una licencia idéntica a ésta. Al reutilizar o distribuir la obra, tiene que dejar bien claro los términos de la licencia de esta obra. Alguna de estas condiciones puede no aplicarse si se obtiene el permiso del titular de los derechos de autor Nada en esta licencia menoscaba o restringe los derechos morales del autor. Esto es un resumen legible por humanos del texto legal (la licencia completa) disponible en: http://creativecommons.org/licenses/by-nc-sa/2.5/es/ El presente documento cumple con las condiciones de accesibilidad del formato PDF (Portable Document Format). Se trata de un documento estructurado y etiquetado, provisto de alternativas a todo elemento no textual, marcado de idioma y orden de lectura adecuado.

Para ampliar información sobre la construcción de documentos PDF accesibles puede consultar la guía disponible en la sección Accesibilidad > Formación > Manuales y Guías de la página http://www.inteco.es.

http://creativecommons.org/licenses/by-nc-sa/2.5/es/

http://www.inteco.es/Accesibilidad/Formacion_6/Manuales_y_Guias

http://www.inteco.es/

Asegurando tu smartphone o tablet Android. Que nadie use tu móvil. 3

ÍNDICE

1. INTRODUCCIÓN 4

2. ¡QUÉ NADIE LLAME SIN MI PERMISO! 5

2.1. ¿Cómo funciona el pin de la SIM? 6

2.2. ¿Cómo se cambia el pin de la SIM? 7

3. ¡QUÉ NADIE PUEDA VER LO QUE HAY DENTRO! 9

3.1. Patrón de desbloqueo 10

3.2. PIN de bloqueo 11

3.3. Contraseña 13

4. ¿QUÉ PASA SI OLVIDAMOS EL PATRÓN, PIN DE BLOQUEO O CONTRASEÑA? 15

4.1. Patrón 15

4.2. PIN de bloqueo y contraseña 16

5. CUENTA DE CORREO ASOCIADA AL DISPOSITIVO 17

5.1. Qué pasa si olvidamos la contraseña de la cuenta Google asociada al

dispositivo 17


1. INTRODUCCIÓN

En este módulo veremos las medidas de seguridad que incorpora Android para evitar que un tercero

con acceso físico al dispositivo pueda usarlo sin tu permiso.

El acceso físico al dispositivo podría ocurrir bajo las siguientes situaciones:

Pérdida o robo del dispositivo

Dejar el dispositivo al alcance de otros y sin vigilancia

Los riesgos principales de que un tercero tenga acceso físico al dispositivo sin tu consentimiento son:

Uso ilegítimo y robo de identidad. Contempla el uso de las funcionalidades de

llamadas telefónicas, SMS (mensajes de texto), MMS (mensajes multimedia),

mensajería instantánea (Whatsapp, viber), etc.

Esto implica que se podrían enviar y recibir comunicaciones como si se fuera el

propietario legítimo del dispositivo, catalogándose esta situación como un posible

«robo de identidad»

Acceso a información sensible y posible perdida. Quien accede al dispositivo

puede leer, modificar y/o eliminar la información que hay en él almacenada como

fotografías, vídeo, notas y cualquier otro tipo de ficheros (ya sean personales o

profesionales).

Acceso a servicios personales. Si por comodidad se han almacenado las

credenciales (usuario/contraseña) de servicios web (Facebook, Gmail, Dropbox,

banca online, etc.) en el dispositivo (en el navegador con la opción «recordar» o en

aplicaciones especificas) sería posible acceder a ellos y operar como el legitimo

propietario. Situación que también podría desembocar en un robo de identidad.

¡Imaginad que os secuestran vuestro perfil en Twitter!.

Proteger el dispositivo contra este tipo de situaciones es la primera tarea que debemos abordar, para

ello vamos a enumerar las posibilidades básicas que nos ofrece este sistema.


2. ¡QUÉ NADIE LLAME SIN MI PERMISO!

La tarjeta SIM (Subscriber Identity Module o módulo de identidad del suscriptor) es una tarjeta que

nos proporciona nuestro operador de telefonía, que lleva asociada nuestra línea telefónica móvil, y es

la que permite que el dispositivo pueda hacer y recibir llamadas, así como tener línea de datos

(acceso a Internet móvil).

Esta tarjeta, en resumen, nos permite telefonear y acceder a Internet desde el móvil. Y esto tiene 2

aspectos a considerar:

El económico. El gasto de la línea telefónica y de la línea de datos realizados con nuestra tarjeta SIM

se cargaran a la cuenta bancaria que tengamos asociada, o se descontará del saldo de la tarjeta

prepago.

La identidad del propietario. Las llamadas, mensajes y navegación, así como cualquier otra actividad

que se realice con nuestra tarjeta SIM (sea desde el dispositivo que sea) quedará asociada a nuestra

persona.

Por ejemplo si alguien cometiera un delito (como entrar en un ordenador utilizando nuestra conexión),

la policía determinaría que la conexión desde la cual se cometió el delito estaba asignada a nuestra

tarjeta SIM, y aunque se pudiera demostrar nuestra inocencia, podríamos vernos en una situación

cuanto menos incómoda.

Para prevenir el uso del dispositivo para llamadas, SMS y

comunicaciones a través de la operadora, la opción más

simple y necesaria es establecer el bloqueo de la tarjeta

mediante un código pin ( Número de Identificación Personal).

NOTA: A lo largo de este módulo haremos referencia a tres valores pin distintos:

pin de la tarjeta SIM – Para evitar comunicaciones móviles a través de la operadora

pin de respaldo del Patrón – Para desbloquear el móvil si hemos olvidado el patrón en

Android 4 o posteriores

pin de Bloqueo – Para bloquear el dispositivo y que no se pueda usar sin conocer ese

número

Cada vez que se use el concepto PIN se identificará de forma explícita para no confundir al

lector, aunque en ocasiones pueda resultar redundante.


2.1. ¿CÓMO FUNCIONA EL PIN DE LA SIM?

El funcionamiento del pin de la SIM es muy simple:

Al encender el dispositivo, si tenemos la tarjeta SIM introducida, solicita el número pin de la SIM

Ilustración 1. Solicitud del pin de la SIM

Si el pin de la SIM que introducimos es correcto se permiten comunicaciones a través de la operadora

(llamadas, mensajes y navegar por Internet), aparece en la pantalla el nombre del operador al que se

ha conectado el dispositivo.

Si se introduce el pin de la SIM 3 veces mal, la tarjeta se bloquea. Para desbloquearlo habría que

introducir el código PUK (Personal Unlocking Key o código de desbloqueo personal), que nos dieron

junto con el pin de la SIM inicial de la tarjeta.

Las operadoras de telefonía entregan las tarjetas SIM asociadas a un pin, aunque como veremos a

continuación es posible modificarlo –por ejemplo, para recordarlo mejor- y anularlo.

El código PUK no se puede modificar al ser el único método del que dispone la operadora para

desbloquear una SIM bloqueada.

Si se intenta acceder a un móvil que tiene tarjeta SIM y no introducimos

el pin correcto, no podremos acceder al contenido del dispositivo,

pero si extraemos la tarjeta SIM, éste arrancará con todas las

funcionalidades de las que dispone (excepto comunicaciones móviles)

y se podrá acceder a la información que almacena.

Para bloquear las comunicaciones móviles de forma que solicite el pin, tenemos que apagar el

dispositivo y volverlo a encender.


2.2. ¿CÓMO SE CAMBIA EL PIN DE LA SIM?

Para gestionar el pin (establecerlo, quitarlo o modificarlo), se hace desde:

Aplicaciones Ajustes Seguridad Bloqueo de tarjeta SIM

Ilustración 2. Acceso a la opción de Bloqueo de tarjeta SIM

Si está marcada la opción «Bloquear tarjeta SIM» es necesario introducir el pin de la SIM cuando se

inicie el teléfono para poder llamar y conectarse a Internet móvil. Si desbloqueamos la SIM, nos pide

el pin actual para confirmar la opción.

Ilustración 3. Desbloqueo del pin de la tarjeta SIM


Podemos modificar el pin de la tarjeta SIM desde la pantalla de Desbloqueo de tarjeta SIM (Ilustración

1)

Ilustración 4. Modificación del pin de la tarjeta SIM


3. ¡QUÉ NADIE PUEDA VER LO QUE HAY DENTRO!

Por defecto, los dispositivos Android vienen sin un sistema de bloqueo activado, así que si queremos

evitar que alguien acceda al contenido del dispositivo (fotos, vídeos, documentos, notas, contraseñas,

etc.), hemos de activar alguno de los sistemas de protección que nos ofrece para tal fin.

Es cierto que si encendemos un teléfono con tarjeta SIM, hasta que no introduzcamos el pin correcto

no nos dejará usarlo excepto efectuar llamadas de emergencia, pero si quitan la tarjeta SIM, se podrá

iniciar y ver lo que hay almacenado en la memoria del teléfono y en la tarjeta MicroSD (salvo en el

caso de que la información almacena esté cifrada).

En Android hay tres métodos diferentes que se pueden emplear para bloquear el uso del teléfono (el

de la SIM no lo consideramos adecuado para esto), y son el patrón de desbloqueo, el pin y la

contraseña.

Para establecer, consultar y modificar el sistema de bloqueo, accedemos a:

Aplicaciones Ajustes Bloqueo de pantalla Tipo de Bloqueo

Ilustración 5. Mostrando el tipo de bloqueo establecido.

En la primera opción muestra: Ninguno.


3.1. PATRÓN DE DESBLOQUEO

El patrón de bloqueo es una forma de protección del acceso a las funciones del dispositivo (excepto

llamadas de emergencia) basado en una matriz de puntos de 3x3, en la cual se configura un dibujo

basado en el orden en que vamos pasando el dedo por los puntos de la matriz. Por ejemplo:

Ilustración 6. Patrón de desbloqueo

En este caso el trazo comienza en el punto superior derecho y finaliza en el central.

Para establecer el patrón de desbloqueo accedemos a:

Aplicaciones Ajustes Bloqueo de pantalla Tipo de bloqueo Patrón

Ilustración 7. Establecer un patrón de desbloqueo

Hay que introducir el patrón de desbloqueo (al menos hay que pasar por 4 puntos) dos veces (para

asegurarnos) y hacer «tap» en «Confirmar»,


Ilustración 8. Establecimiento de bloqueo de pantalla mediante pin

a continuación, pide el pin de respaldo, que es un número que debemos usar en el caso de que

olvidemos el patrón de desbloqueo.

En Android 4, si introducimos 5 veces mal el patrón, nos obliga a esperar 30 segundos para continuar

intentándolo. Es una medida de seguridad extra para proteger el dispositivo ante ataques de fuerza

bruta que van probando todas las posibles combinaciones hasta acertar. . Hay que señalar que en

versiones anteriores de Android no hay posibilidad de incluir el pin del patrón.

3.2. PIN DE BLOQUEO

La segunda forma de proteger el acceso a las funcionalidades y datos del dispositivo es mediante el

pin de Bloqueo, que es una secuencia numérica (de al menos 4 dígitos) que protege el acceso al

dispositivo.

Ilustración 9. Solicitud de pin de Bloqueo


La fortaleza de este método se basa en la cantidad/calidad de dígitos que utilicemos. Cuantos más,

mejor, pero ojo con los pines como: 1234, el DNI, matricula, fechas de nacimiento, y aniversarios, que

son las primeras que probaría alguien que quisiera entrar a nuestro dispositivo sin nuestro permiso.

NOTA: Dependiendo de la versión del sistema operativo, es posible introducir únicamente pines de 4

dígitos o pines con más. Cuanto más largo más seguro.

Si introducimos el pin mal 5 veces hemos de esperar 30 segundos para seguir intentándolo.

Para configurar el pin de bloqueo, accedemos a:

Aplicaciones Ajustes Bloqueo de Pantalla Tipo de bloqueo PIN

Ilustración 10. Activando el pin de Bloqueo

Se ha de introducir el pin (al menos 4 valores numéricos) dos veces (para asegurarnos de que

coinciden) y hacer «tap» en «Aceptar». En la pantalla «Bloqueo de pantalla», en la opción «Tipo de

bloqueo» aparecerá como «Protegida con pin».

Ilustración 11. Establecimiento de bloqueo de pantalla mediante pin


3.3. CONTRASEÑA

El tercer método es utilizar una contraseña, en la cual podemos usar letras, caracteres especiales y

números. El funcionamiento es idéntico al pin, pero incluyendo más tipos de caracteres.

Este método es más fuerte que los anteriores, ya que mientras que para cada dígito hay 10

posibilidades, para cada carácter de la contraseña puede haber más de 100.

Ilustración 12. Comparativa de la fortaleza de la contraseña numérica y de caracteres

Al igual que en los métodos anteriores, si introducimos la contraseña mal 5 veces, nos obliga a

esperar 30 segundos, así que se descartan los ataques probando todas las posibilidades.

Para configurar la contraseña de bloqueo:

Aplicaciones Ajustes Bloqueo de Pantalla Tipo de bloqueo Contraseña

Ilustración 13. Acceso al Tipo de bloqueo por Contraseña


Se ha de introducir la contraseña (al menos 4 caracteres) dos veces (para asegurarnos de que

coinciden) y hacer «tap» en «Aceptar». En la pantalla «Bloqueo de pantalla», en la opción «Tipo de

bloqueo» aparecerá como «Protegida con contraseña».

Ilustración 14. Establecimiento de bloqueo de pantalla mediante Contraseña


4. ¿QUÉ PASA SI OLVIDAMOS EL PATRÓN, PIN DE BLOQUEO O

CONTRASEÑA?

Si establecemos una protección frente al acceso a las funciones del dispositivo, y olvidamos esa

protección (aunque raro, puede pasar, de hecho pasa a menudo), hay que conocer la forma de

proceder para solucionar este problema.

4.1. PATRÓN

Si olvidamos el patrón de desbloqueo y habíamos fijado un pin para el patrón, en la parte inferior

aparecerá el texto «¿Has olvidado el patrón?»

Ilustración 15. Acceso a la opción para restaurar el acceso si hemos olvidado el patrón

Si hacemos «tap» en dicho texto, podremos recuperar el acceso de dos formas distintas:

Cuenta de Google. Introducimos la cuenta de Gmail asociada (sin la extensión .gmail.com) y la

contraseña para desbloquear el dispositivo.

Ilustración 16. Desbloqueo de la cuenta mediante el uso de la cuentas de usuario de Gmail asociada

PIN del patrón. Si lo introducimos desbloqueará el dispositivo.


Ilustración 17. Desbloqueo de la cuenta mediante el uso del pin de respaldo del partición

En ambos casos, el sistema nos lleva a la ventana de «Bloqueo de pantalla» desactivando el mismo.

Ilustración 18. Pantalla que indica que se ha desbloqueado el patrón

4.2. PIN DE BLOQUEO Y CONTRASEÑA

Si olvidamos el pin que se utilizó para el bloqueo (no el del patrón), la única forma de desbloquear el

terminal es mediante el «Hard-Reset» que consiste en la restauración del dispositivo a los valores de

fábrica, perdiendo los datos que hayamos introducido en el dispositivo que no estén respaldados por

una copia de seguridad (Módulo 4).

En función del fabricante del dispositivo, esta acción se puede hacer desde el software de conexión al

PC, en el caso de poder acceder al dispositivo desde el ordenador, o mediante una combinación de

teclas cuando lo encendemos (por ejemplo encendido+inicio), por lo que para cada dispositivo

debemos documentarnos en las páginas web del correspondiente fabricante.


5. CUENTA DE CORREO ASOCIADA AL DISPOSITIVO

Los dispositivos Android, permiten asociar una cuenta de Gmail al dispositivo. Esto aporta una serie

de ventajas muy importantes, como son:

Sincronización de contactos del teléfono con los de la cuenta de Gmail, de forma que

siempre que estén sincronizados, tendremos una copia de los contactos del móvil en la

cuenta de Gmail.

Gestionar aplicaciones de Google Play, de forma que desde un PC logueados con nuestra

cuenta de Google para el dispositivo, podemos instalar aplicaciones, comprobar si son

compatibles con nuestra versión de sistema y ver las que hemos instalado.

Gestionar otros servicios Google como Maps (personalizados), servicios como Drive, etc.

Deshabilitar el patrón de bloqueo (desde la versión 4.0), conociendo la cuenta y la contraseña.

5.1. QUÉ PASA SI OLVIDAMOS LA CONTRASEÑA DE LA CUENTA

GOOGLE ASOCIADA AL DISPOSITIVO

Los dispositivos Android pueden asociar una cuenta de Google (Gmail) con el dispositivo móvil. Esto

tiene la gran ventaja de que los contactos se pueden gestionar desde esa cuenta, y siempre estarán

respaldados (si la cuenta está sincronizada con el dispositivo), además de almacenar que

aplicaciones hay instaladas, y permitir restaurar el equipo en algunos casos de pérdida de

credenciales.

Si hemos olvidado la contraseña de esa cuenta, podemos reinicializarla desde la página de registro

de Gmail mediante alguno de los métodos establecidos para este fin:

Responder a mi pregunta de seguridad

Recibir un enlace de restablecimiento de contraseña en mi dirección de correo electrónico

de recuperación

Recibir un código de verificación en mi teléfono

Puedes ver en detalle cada uno de estos métodos en «Cómo recuperar una cuenta

secuestrada: Google» de la Oficina de Seguridad del Internauta.

En caso de no haber facilitado un teléfono (que podamos usar, si es el nuestro y está bloqueado no

vale, a menos que saquemos la SIM y la pongamos en otro teléfono), ni haber especificado un correo

alternativo, o si no nos acordamos de los datos que dimos, el proceso es más delicado y requerirá

ponerse en contacto con Google y seguir sus indicaciones.

https://www.osi.es/es/actualidad/blog/2012/03/09/como-recuperar-una-cuenta-secuestrada-ii-google

https://www.osi.es/es/actualidad/blog/2012/03/09/como-recuperar-una-cuenta-secuestrada-ii-google


Ilustración 19. Resumen de métodos para evitar que usen tu dispositivo Android sin tu permiso.

Asegurando tu Android: ¡Qué nadie lo use sin tu permiso!

Documents

Transcript of Asegurando tu Android: ¡Qué nadie lo use sin tu permiso!