CURSO: ASEGURANDO TU SMARTPHONE O TABLET ANDROID

MDULO 2 QUE NADIE USE TU MVIL

OFICINA DE SEGURIDAD DEL INTERNAUTA

NOVIEMBRE 2012

Copyright 2010 Instituto Nacional de Tecnologas de la comunicacin (INTECO)

El presente documento est bajo la licencia Creative Commons Reconocimiento-No comercial-Compartir Igual versin 2.5 Espaa. Usted es libre de: copiar, distribuir y comunicar pblicamente la obra hacer obras derivadas Bajo las condiciones siguientes: Reconocimiento. Debe reconocer los crditos de la obra de la manera especificada por el autor o el licenciador (pero no de una manera que sugiera que tiene su apoyo o apoyan el uso que hace de su obra). No comercial. No puede utilizar esta obra para fines comerciales. Compartir bajo la misma licencia. Si altera o transforma esta obra, o genera una obra derivada, slo puede distribuir la obra generada bajo una licencia idntica a sta. Al reutilizar o distribuir la obra, tiene que dejar bien claro los trminos de la licencia de esta obra. Alguna de estas condiciones puede no aplicarse si se obtiene el permiso del titular de los derechos de autor Nada en esta licencia menoscaba o restringe los derechos morales del autor. Esto es un resumen legible por humanos del texto legal (la licencia completa) disponible en: http://creativecommons.org/licenses/by-nc-sa/2.5/es/ El presente documento cumple con las condiciones de accesibilidad del formato PDF (Portable Document Format). Se trata de un documento estructurado y etiquetado, provisto de alternativas a todo elemento no textual, marcado de idioma y orden de lectura adecuado. Para ampliar informacin sobre la construccin de documentos PDF accesibles puede consultar la gua disponible en la seccin Accesibilidad > Formacin > Manuales y Guas de la pgina http://www.inteco.es.

Asegurando tu Android: Que nadie use tu mvil

NDICE
1. 2. INTRODUCCIN QU NADIE LLAME SIN MI PERMISO! 2.1. 2.2. 3. Cmo funciona el pin de la SIM? Cmo se cambia el pin de la SIM? 4 5 6 7 9 10 11 13 15 15 16 17

QU NADIE PUEDA VER LO QUE HAY DENTRO! 3.1. 3.2. 3.3. Patrn de desbloqueo PIN de bloqueo Contrasea

4.

QU PASA SI OLVIDAMOS EL PATRN, PIN DE BLOQUEO O CONTRASEA? 4.1. 4.2. Patrn PIN de bloqueo y contrasea

5.

CUENTA DE CORREO ASOCIADA AL DISPOSITIVO 5.1.

Qu pasa si olvidamos la contrasea de la cuenta Google asociada al dispositivo 17

Asegurando tu smartphone o tablet Android. Que nadie use tu mvil.

1.

INTRODUCCIN

En este mdulo veremos las medidas de seguridad que incorpora Android para evitar que un tercero con acceso fsico al dispositivo pueda usarlo sin tu permiso. El acceso fsico al dispositivo podra ocurrir bajo las siguientes situaciones: Prdida o robo del dispositivo Dejar el dispositivo al alcance de otros y sin vigilancia Los riesgos principales de que un tercero tenga acceso fsico al dispositivo sin tu consentimiento son:

Uso ilegtimo y robo de identidad. Contempla el uso de las funcionalidades de llamadas telefnicas, SMS (mensajes de texto), MMS (mensajes multimedia), mensajera instantnea (Whatsapp, viber), etc. Esto implica que se podran enviar y recibir comunicaciones como si se fuera el propietario legtimo del dispositivo, catalogndose esta situacin como un posible robo de identidad

Acceso a informacin sensible y posible perdida. Quien accede al dispositivo puede leer, modificar y/o eliminar la informacin que hay en l almacenada como fotografas, vdeo, notas y cualquier otro tipo de ficheros (ya sean personales o profesionales). Acceso a servicios personales. Si por comodidad se han almacenado las credenciales (usuario/contrasea) de servicios web (Facebook, Gmail, Dropbox, banca online, etc.) en el dispositivo (en el navegador con la opcin recordar o en aplicaciones especificas) sera posible acceder a ellos y operar como el legitimo propietario. Situacin que tambin podra desembocar en un robo de identidad. Imaginad que os secuestran vuestro perfil en Twitter!.

Proteger el dispositivo contra este tipo de situaciones es la primera tarea que debemos abordar, para ello vamos a enumerar las posibilidades bsicas que nos ofrece este sistema.

Asegurando tu Android: Que nadie use tu mvil

2.

QU NADIE LLAME SIN MI PERMISO!

NOTA: A lo largo de este mdulo haremos referencia a tres valores pin distintos: pin de la tarjeta SIM Para evitar comunicaciones mviles a travs de la operadora pin de respaldo del Patrn Para desbloquear el mvil si hemos olvidado el patrn en Android 4 o posteriores pin de Bloqueo Para bloquear el dispositivo y que no se pueda usar sin conocer ese nmero Cada vez que se use el concepto PIN se identificar de forma explcita para no confundir al lector, aunque en ocasiones pueda resultar redundante.

La tarjeta SIM (Subscriber Identity Module o mdulo de identidad del suscriptor) es una tarjeta que nos proporciona nuestro operador de telefona, que lleva asociada nuestra lnea telefnica mvil, y es la que permite que el dispositivo pueda hacer y recibir llamadas, as como tener lnea de datos (acceso a Internet mvil). Esta tarjeta, en resumen, nos permite telefonear y acceder a Internet desde el mvil. Y esto tiene 2 aspectos a considerar: El econmico. El gasto de la lnea telefnica y de la lnea de datos realizados con nuestra tarjeta SIM se cargaran a la cuenta bancaria que tengamos asociada, o se descontar del saldo de la tarjeta prepago. La identidad del propietario. Las llamadas, mensajes y navegacin, as como cualquier otra actividad que se realice con nuestra tarjeta SIM (sea desde el dispositivo que sea) quedar asociada a nuestra persona. Por ejemplo si alguien cometiera un delito (como entrar en un ordenador utilizando nuestra conexin), la polica determinara que la conexin desde la cual se cometi el delito estaba asignada a nuestra tarjeta SIM, y aunque se pudiera demostrar nuestra inocencia, podramos vernos en una situacin cuanto menos incmoda.

Para prevenir el uso del dispositivo para llamadas, SMS y comunicaciones a travs de la operadora, la opcin ms simple y necesaria es establecer el bloqueo de la tarjeta mediante un cdigo pin ( Nmero de Identificacin Personal).

Asegurando tu Android: Que nadie use tu mvil

2.1.

CMO FUNCIONA EL PIN DE LA SIM?

El funcionamiento del pin de la SIM es muy simple: Al encender el dispositivo, si tenemos la tarjeta SIM introducida, solicita el nmero pin de la SIM

Ilustracin 1. Solicitud del pin de la SIM

Si el pin de la SIM que introducimos es correcto se permiten comunicaciones a travs de la operadora (llamadas, mensajes y navegar por Internet), aparece en la pantalla el nombre del operador al que se ha conectado el dispositivo. Si se introduce el pin de la SIM 3 veces mal, la tarjeta se bloquea. Para desbloquearlo habra que introducir el cdigo PUK (Personal Unlocking Key o cdigo de desbloqueo personal), que nos dieron junto con el pin de la SIM inicial de la tarjeta. Las operadoras de telefona entregan las tarjetas SIM asociadas a un pin, aunque como veremos a continuacin es posible modificarlo por ejemplo, para recordarlo mejor- y anularlo. El cdigo PUK no se puede modificar al ser el nico mtodo del que dispone la operadora para desbloquear una SIM bloqueada.

Si se intenta acceder a un mvil que tiene tarjeta SIM y no introducimos el pin correcto, no podremos acceder al contenido del dispositivo, pero si extraemos la tarjeta SIM, ste arrancar con todas las funcionalidades de las que dispone (excepto comunicaciones mviles) y se podr acceder a la informacin que almacena.

Para bloquear las comunicaciones mviles de forma que solicite el pin, tenemos que apagar el dispositivo y volverlo a encender.

Asegurando tu Android: Que nadie use tu mvil

2.2.

CMO SE CAMBIA EL PIN DE LA SIM?

Para gestionar el pin (establecerlo, quitarlo o modificarlo), se hace desde:

Aplicaciones Ajustes Seguridad Bloqueo de tarjeta SIM

Ilustracin 2. Acceso a la opcin de Bloqueo de tarjeta SIM

Si est marcada la opcin Bloquear tarjeta SIM es necesario introducir el pin de la SIM cuando se inicie el telfono para poder llamar y conectarse a Internet mvil. Si desbloqueamos la SIM, nos pide el pin actual para confirmar la opcin.

Ilustracin 3. Desbloqueo del pin de la tarjeta SIM

Asegurando tu Android: Que nadie use tu mvil

Podemos modificar el pin de la tarjeta SIM desde la pantalla de Desbloqueo de tarjeta SIM (Ilustracin 1)

Ilustracin 4. Modificacin del pin de la tarjeta SIM

Asegurando tu Android: Que nadie use tu mvil

3.

QU NADIE PUEDA VER LO QUE HAY DENTRO!

Por defecto, los dispositivos Android vienen sin un sistema de bloqueo activado, as que si queremos evitar que alguien acceda al contenido del dispositivo (fotos, vdeos, documentos, notas, contraseas, etc.), hemos de activar alguno de los sistemas de proteccin que nos ofrece para tal fin. Es cierto que si encendemos un telfono con tarjeta SIM, hasta que no introduzcamos el pin correcto no nos dejar usarlo excepto efectuar llamadas de emergencia, pero si quitan la tarjeta SIM, se podr iniciar y ver lo que hay almacenado en la memoria del telfono y en la tarjeta MicroSD (salvo en el caso de que la informacin almacena est cifrada). En Android hay tres mtodos diferentes que se pueden emplear para bloquear el uso del telfono (el de la SIM no lo consideramos adecuado para esto), y son el patrn de desbloqueo, el pin y la contrasea. Para establecer, consultar y modificar el sistema de bloqueo, accedemos a:

Aplicaciones Ajustes Bloqueo de pantalla Tipo de Bloqueo

Ilustracin 5. Mostrando el tipo de bloqueo establecido.

En la primera opcin muestra: Ninguno.

Asegurando tu Android: Que nadie use tu mvil

3.1.

PATRN DE DESBLOQUEO

El patrn de bloqueo es una forma de proteccin del acceso a las funciones del dispositivo (excepto llamadas de emergencia) basado en una matriz de puntos de 3x3, en la cual se configura un dibujo basado en el orden en que vamos pasando el dedo por los puntos de la matriz. Por ejemplo:

Ilustracin 6. Patrn de desbloqueo

En este caso el trazo comienza en el punto superior derecho y finaliza en el central. Para establecer el patrn de desbloqueo accedemos a: Aplicaciones Ajustes Bloqueo de pantalla Tipo de bloqueo Patrn

Ilustracin 7. Establecer un patrn de desbloqueo

Hay que introducir el patrn de desbloqueo (al menos hay que pasar por 4 puntos) dos veces (para asegurarnos) y hacer tap en Confirmar,

Asegurando tu Android: Que nadie use tu mvil

10

Ilustracin 8. Establecimiento de bloqueo de pantalla mediante pin

a continuacin, pide el pin de respaldo, que es un nmero que debemos usar en el caso de que olvidemos el patrn de desbloqueo. En Android 4, si introducimos 5 veces mal el patrn, nos obliga a esperar 30 segundos para continuar intentndolo. Es una medida de seguridad extra para proteger el dispositivo ante ataques de fuerza bruta que van probando todas las posibles combinaciones hasta acertar. . Hay que sealar que en versiones anteriores de Android no hay posibilidad de incluir el pin del patrn.

3.2.

PIN DE BLOQUEO

La segunda forma de proteger el acceso a las funcionalidades y datos del dispositivo es mediante el pin de Bloqueo, que es una secuencia numrica (de al menos 4 dgitos) que protege el acceso al dispositivo.

Ilustracin 9. Solicitud de pin de Bloqueo

Asegurando tu Android: Que nadie use tu mvil

11

La fortaleza de este mtodo se basa en la cantidad/calidad de dgitos que utilicemos. Cuantos ms, mejor, pero ojo con los pines como: 1234, el DNI, matricula, fechas de nacimiento, y aniversarios, que son las primeras que probara alguien que quisiera entrar a nuestro dispositivo sin nuestro permiso. NOTA: Dependiendo de la versin del sistema operativo, es posible introducir nicamente pines de 4 dgitos o pines con ms. Cuanto ms largo ms seguro. Si introducimos el pin mal 5 veces hemos de esperar 30 segundos para seguir intentndolo. Para configurar el pin de bloqueo, accedemos a: Aplicaciones Ajustes Bloqueo de Pantalla Tipo de bloqueo PIN

Ilustracin 10. Activando el pin de Bloqueo

Se ha de introducir el pin (al menos 4 valores numricos) dos veces (para asegurarnos de que coinciden) y hacer tap en Aceptar. En la pantalla Bloqueo de pantalla, en la opcin Tipo de bloqueo aparecer como Protegida con pin.

Ilustracin 11. Establecimiento de bloqueo de pantalla mediante pin

Asegurando tu Android: Que nadie use tu mvil

12

3.3.

CONTRASEA

El tercer mtodo es utilizar una contrasea, en la cual podemos usar letras, caracteres especiales y nmeros. El funcionamiento es idntico al pin, pero incluyendo ms tipos de caracteres. Este mtodo es ms fuerte que los anteriores, ya que mientras que para cada dgito hay 10 posibilidades, para cada carcter de la contrasea puede haber ms de 100.

Ilustracin 12. Comparativa de la fortaleza de la contrasea numrica y de caracteres

Al igual que en los mtodos anteriores, si introducimos la contrasea mal 5 veces, nos obliga a esperar 30 segundos, as que se descartan los ataques probando todas las posibilidades. Para configurar la contrasea de bloqueo: Aplicaciones Ajustes Bloqueo de Pantalla Tipo de bloqueo Contrasea

Ilustracin 13. Acceso al Tipo de bloqueo por Contrasea

Asegurando tu Android: Que nadie use tu mvil

13

Se ha de introducir la contrasea (al menos 4 caracteres) dos veces (para asegurarnos de que coinciden) y hacer tap en Aceptar. En la pantalla Bloqueo de pantalla, en la opcin Tipo de bloqueo aparecer como Protegida con contrasea.

Ilustracin 14. Establecimiento de bloqueo de pantalla mediante Contrasea

Asegurando tu Android: Que nadie use tu mvil

14

4.

QU PASA SI OLVIDAMOS EL PATRN, PIN DE BLOQUEO O CONTRASEA?

Si establecemos una proteccin frente al acceso a las funciones del dispositivo, y olvidamos esa proteccin (aunque raro, puede pasar, de hecho pasa a menudo), hay que conocer la forma de proceder para solucionar este problema.

4.1.

PATRN

Si olvidamos el patrn de desbloqueo y habamos fijado un pin para el patrn, en la parte inferior aparecer el texto Has olvidado el patrn?

Ilustracin 15. Acceso a la opcin para restaurar el acceso si hemos olvidado el patrn

Si hacemos tap en dicho texto, podremos recuperar el acceso de dos formas distintas: Cuenta de Google. Introducimos la cuenta de Gmail asociada (sin la extensin .gmail.com) y la contrasea para desbloquear el dispositivo.

Ilustracin 16. Desbloqueo de la cuenta mediante el uso de la cuentas de usuario de Gmail asociada

PIN del patrn. Si lo introducimos desbloquear el dispositivo.

Asegurando tu Android: Que nadie use tu mvil

15

Ilustracin 17. Desbloqueo de la cuenta mediante el uso del pin de respaldo del particin

En ambos casos, el sistema nos lleva a la ventana de Bloqueo de pantalla desactivando el mismo.

Ilustracin 18. Pantalla que indica que se ha desbloqueado el patrn

4.2.

PIN DE BLOQUEO Y CONTRASEA

Si olvidamos el pin que se utiliz para el bloqueo (no el del patrn), la nica forma de desbloquear el terminal es mediante el Hard-Reset que consiste en la restauracin del dispositivo a los valores de fbrica, perdiendo los datos que hayamos introducido en el dispositivo que no estn respaldados por una copia de seguridad (Mdulo 4). En funcin del fabricante del dispositivo, esta accin se puede hacer desde el software de conexin al PC, en el caso de poder acceder al dispositivo desde el ordenador, o mediante una combinacin de teclas cuando lo encendemos (por ejemplo encendido+inicio), por lo que para cada dispositivo debemos documentarnos en las pginas web del correspondiente fabricante.

Asegurando tu Android: Que nadie use tu mvil

16

5.

CUENTA DE CORREO ASOCIADA AL DISPOSITIVO

Los dispositivos Android, permiten asociar una cuenta de Gmail al dispositivo. Esto aporta una serie de ventajas muy importantes, como son:

Sincronizacin de contactos del telfono con los de la cuenta de Gmail, de forma que siempre que estn sincronizados, tendremos una copia de los contactos del mvil en la cuenta de Gmail. Gestionar aplicaciones de Google Play, de forma que desde un PC logueados con nuestra cuenta de Google para el dispositivo, podemos instalar aplicaciones, comprobar si son compatibles con nuestra versin de sistema y ver las que hemos instalado. Gestionar otros servicios Google como Maps (personalizados), servicios como Drive, etc.
Deshabilitar el patrn de bloqueo (desde la versin 4.0), conociendo la cuenta y la contrasea.

5.1.

QU PASA SI OLVIDAMOS LA CONTRASEA DE LA CUENTA GOOGLE ASOCIADA AL DISPOSITIVO

Los dispositivos Android pueden asociar una cuenta de Google (Gmail) con el dispositivo mvil. Esto tiene la gran ventaja de que los contactos se pueden gestionar desde esa cuenta, y siempre estarn respaldados (si la cuenta est sincronizada con el dispositivo), adems de almacenar que aplicaciones hay instaladas, y permitir restaurar el equipo en algunos casos de prdida de credenciales. Si hemos olvidado la contrasea de esa cuenta, podemos reinicializarla desde la pgina de registro de Gmail mediante alguno de los mtodos establecidos para este fin:

Responder a mi pregunta de seguridad Recibir un enlace de restablecimiento de contrasea en mi direccin de correo electrnico de recuperacin Recibir un cdigo de verificacin en mi telfono Puedes ver en detalle cada uno de estos mtodos en Cmo recuperar una cuenta secuestrada: Google de la Oficina de Seguridad del Internauta.
En caso de no haber facilitado un telfono (que podamos usar, si es el nuestro y est bloqueado no vale, a menos que saquemos la SIM y la pongamos en otro telfono), ni haber especificado un correo alternativo, o si no nos acordamos de los datos que dimos, el proceso es ms delicado y requerir ponerse en contacto con Google y seguir sus indicaciones.

Asegurando tu Android: Que nadie use tu mvil

17

Ilustracin 19. Resumen de mtodos para evitar que usen tu dispositivo Android sin tu permiso.

Asegurando tu Android: Que nadie use tu mvil

18