Un estudio realizado por investigadores de Swarthmore College en Pensilvania, determinó que es posible obtener patrones y números PIN de bloqueo analizando la información que generan y almacenan determinados sensores de teléfonos inteligentes como el acelerómetro.

De acuerdo a la publicación, el acelerómetro de los teléfonos inteligentes almacena por lo general, datos relacionados a los movimientos en tres dimensiones: de lado a lado, hacia adelante y hacia atrás, y hacia arriba y hacia abajo. Con dicha información, los investigadores plantearon que es posible adivinar los patrones de bloqueo y números PIN utilizados para proteger los teléfonos inteligentes. Durante la prueba, la información registrada por el acelerómetro del dispositivo fue capturada, exportada y analizada para compararla con un “diccionario” previamente armado de toques y golpes. El resultado fue sorprendente, pues el programa desarrollado por los investigadores logró acertar tras cinco intentos, un 43% de los números PIN y un 73% de los patrones de bloqueo. Sin embargo, dichos porcentajes disminuyeron si la persona utilizaba el teléfono inteligente caminando o moviéndose de un lugar a otro. Esto porque los movimientos introducen “ruido”, por lo tanto, se dificulta la obtención de esta información.

En base a lo expresado por el Dr. Aviv, uno de los investigadores, la preocupación por parte de los profesionales de la seguridad informática con respecto a este tema está aumentando. El motivo es claro, los datos que registra el acelerómetro no son tratados con la misma rigurosidad de otros controles. En este sentido, los sensores tienen mayor libertad para obtener información que las aplicaciones instaladas en un smartphone.  Asimismo, el Dr. Aviv afirmó que un usuario no necesita otorgar permisos especiales para que un sensor pueda obtener información, incluso si los datos registrados en ese momento no tienen directa relación con la aplicación que se estaba utilizando.

Aunque esta investigación es una prueba de concepto, también es una posibilidad más que tienen los atacantes para poder vulnerar la seguridad del usuario y de ese modo, acceder a información confidencial. Si consideramos que a más del 58% de los usuarios en Latinoamérica le han robado su teléfono móvil, la necesidad de implementar una contraseña de bloqueo se hace imprescindible. Algunos smartphones permiten establecer varios métodos de bloqueo como los que se mencionan a continuación:

  • Bloqueo por patrón: consiste en unir una secuencia de puntos para formar una figura que sirve para desbloquear el teléfono. Tal como se descubrió en esta investigación, el uso de patrones de bloqueo no es recomendable debido a la facilidad con que se puede adivinar una secuencia:

Sistema de bloqueo por patrones

  • Desbloqueo facial: consiste en un registro fotográfico del usuario que se utiliza para desbloquear el teléfono. Aunque este sistema de protección es más rápido que estar ingresando una clave, el nivel de seguridad que otorga es inferior al de desbloqueo por número PIN o contraseña tal como lo informa Android al momento de activar esta característica:

  • PIN: (no confundir con el PIN de la tarjeta SIM o chip) se trata de un bloqueo que funciona a través de una contraseña numérica. Este método es más seguro que el desbloqueo facial o por patrones. Dependiendo del teléfono, la longitud puede ser mayor a cuatro dígitos:

Sistema de bloqueo por código PIN

  • Contraseña: es el método más seguro para bloquear un teléfono inteligente. A diferencia del PIN, el bloqueo por contraseña permite establecer claves alfanuméricas, lo que dificulta considerablemente que un tercero pueda vulnerar este sistema de protección:

Sistema de bloqueo por contraseña

Resumiendo las características de los métodos de protección disponibles, se debe comenzar por la premisa de que no establecer ningún tipo de bloqueo es la acción más insegura y peligrosa de todas, por lo tanto, tal situación debe evitarse siempre. Aunque implementar un código PIN de cuatro dígitos permite proteger el smartphone relativamente bien, una contraseña alfanumérica conformada por más de cuatro caracteres sigue siendo la opción más segura de todas. En contraposición, la ausencia de un sistema de protección, el bloqueo por patrón, y el sistema de reconocimiento facial deben ser evitados. Finalmente le recomendamos la lectura de la Guía de Seguridad para dispositivos móviles.

André Goujon
Especialista de Awareness & Research