El término hardening hace referencia al proceso de asegurar lo más posible la resistencia o “dureza” de un sistema ante eventuales vectores de vulnerabilidad o ataques. Está íntimamente relacionado con el proceso de gestión y administración del sistema.

En entregas anteriores he abordado aspectos generales relacionados con ciberseguridad, buscando una comprensión lógica pero accesible de los temas que atañen esta área para todas aquellas personas que utilicen sistemas computacionales de cualquier clase. En esta entrega abordaré de manera más puntual el proceso práctico de endurecer el sistema operativo Android, buscando la implementación de los conceptos anteriormente documentados.

El término autenticación hace referencia al proceso de verificación de la identidad del usuario de un sistema. Ya sea el sistema computacional, de acceso físico a un área restringida o de cualquier otra índole, la autenticación o verificación de la identidad del usuario es un factor determinante de la seguridad de la información.

La privacidad de la información en un dispositivo tan íntimo como el teléfono inteligente es algo crucial. En Costa Rica vulnerar la privacidad de una persona en sus medios digitales tiene una pena de hasta tres años de cárcel. Sin embargo es necesario que el usuario conozca las normas necesarias para asegurar su propia privacidad, siendo estas normas las siguientes:

Establecer una contraseña de acceso.

Establecer una contraseña de acceso es el primer paso para asegurar la privacidad de un dispositivo Android. A pesar de que para muchas personas el teléfono inteligente es una parte más de su cuerpo y nunca se separan de él, en la medida de lo posible, también es cierto que no podemos tener certeza total de que nunca se llegara a separar así sea de forma momentánea de su dispositivo.

En Android existen al menos cinco formas distintas de pantalla de bloqueo:

 

  1. Deslizar (Sin seguridad).
  2. Patrón (Seguridad media).
  3. PIN (Seguridad media alta).
  4. Contraseña (Seguridad alta).
  5. Ninguno (Sin seguridad).

Algunos teléfonos inteligentes que cuentan con sensores biométricos para huellas digitales presentan una sexta opción:

  1. Huella digital.

Deslizar.

Esta no es una opción de seguridad. No representa ningún nivel de seguridad para el dispositivo, pero representa una forma rápida de acceder al dispositivo para cualquier persona que tenga el dispositivo en las manos. Esta medida de bloqueo de pantalla no se recomienda en lo absoluto ya que no agrega ninguna seguridad al dispositivo.

Ninguno

Esta tampoco es una opción de seguridad para el dispositivo. Simplemente define que al encender la pantalla del dispositivo se tendría acceso instantáneamente a todos los contenidos y aplicaciones del dispositivo. Sólo es un método de bloqueo de pantalla y no es recomendable ya que no aporta ninguna seguridad para el dispositivo haciéndolo vulnerable para cualquiera que lo tenga en su poder.

Patrón de seguridad.

El patrón de seguridad si es un sistema de bloqueo de pantalla que representa cierto nivel de seguridad para el dispositivo. Es una metodología relativamente rápida para bloquear el teléfono con alguna medida de seguridad y poder desbloquearlo de forma relativamente rápida.

Sin embargo esta medida no es para nada segura, existen varias maneras de vulnerar este sistema de autenticación, como por ejemplo mirar el patrón de grasa que exista sobre la pantalla o mirar el patrón de rayones sobre el protector de la pantalla para conocer cuál es el patrón de bloqueo, sin contar el hecho de que un atacante hábil puede aprender nuestro patrón de seguridad con solo vernos ingresarlo un par de veces, tanto desde una vista que le permita el acceso a la pantalla y al patrón como una vista desde atrás del dispositivo, algo como leer los labios de alguien.

Además de estas formas simples para burlar este sistema de autenticación existen vulnerabilidades en ciertas versiones de Android que permiten romper el patron despues de ciertos intentos y con ciertas combinaciones de patrones específicas.

PIN de seguridad

El PIN (Personal Identification Number, por sus siglas en inglés) Es una especie de contraseña que podemos definir para acceder a un dispositivo Android. Un pin tiene ciertas ventajas sobre otros sistemas de autenticación, al ser una secuencia numérica simple es muy fácil de recordar y de ingresar en el sistema para autenticarse rápidamente.

A pesar de que esta medida de seguridad está catalogada como de media-alta seguridad es importante conocer los contras. Por un lado, un atacante puede llegar a predecir nuestro PIN observando la dirección en la que el usuario mueve los dedos sobre la pantalla, observando directamente los números que el usuario ingresa en el teclado virtual o las manchas que habitualmente dejan los dedos directamente sobre la pantalla. Adicionalmente tiene el mismo problema que tienen todas las contraseñas, debe ser recordada y lo más sano es que sean cambiadas periódicamente para que sigan siendo seguras o relativamente seguras.

Contraseña

Proteger el dispositivo inteligente con una contraseña es la opción más recomendable, ya que la secuencia puede ser tan compleja como el usuario decida. Sin embargo, es importante tener en cuenta que las contraseñas pueden llegar a ser tan sólidas o tan débiles como el usuario las defina.

Algunas recomendaciones para utilizar una contraseña para el dispositivo móvil son las siguientes:

  1. Usar contraseñas alfanuméricas (usar números y letras)
  2. Utilizar caracteres especiales.
  3. Usar letras mayúsculas y minúsculas.
  4. Utilizar un mínimo de ocho caracteres.

Y sobre todo recordar cambiar la contraseña como mínimo una vez al mes.

Todas estas medidas hacen que el uso de contraseñas seguras sea un verdadero dolor de cabeza para muchos, sin embargo, es de todas estas opciones la que parece más acertada, dando un rango menor de posibilidades de ser vulnerada.

En este sentido es muy importante revisar la información que el usuario está brindando a través de las redes sociales, ya que en algunos casos es posible conocer o cambiar una contraseña con las preguntas de seguridad. Cuestiones como el nombre de la mascota, escuela primaria, colegio, universidad y nombre de familiares, así como año de nacimiento y fecha de cumpleaños son datos que pueden llegar a comprometer la integridad de las contraseñas del usuario en algún momento.

El uso de datos biométricos como la huella digital

El uso de datos biométricos se ha puesto de moda en los últimos cinco años. Este sistema permite asegurar la autenticación del uso del dispositivo con información que solamente porta el usuario que ha registrado previamente sus datos biométricos en el dispositivo. Esta alternativa es rápida y segura ya que es necesaria la presencia del usuario registrado para acceder al dispositivo. Sin embargo, en algunos casos esta alternativa tiene sus desventajas. El ingreso de los datos biométricos en un dispositivo móvil puede llegar a comprometer la información única de un usuario si la base de datos del dispositivo llega a ser vulnerada, llegando a perder para siempre un elemento de identificación con el que solo el propio usuario cuenta.

Sin embargo, aún con esta desventaja, el uso de información biométrica es en todos los casos el sistema más seguro que puede usarse para proteger un dispositivo móvil, siempre que se pueda acompañar también por una contraseña fuerte o un PIN robusto que se cambie cada cierto tiempo.

El problema se presenta en aquellos dispositivos que no cuentan con comprobación biométrica de reconocimiento de usuario. Pero en aquellos dispositivos que cuenten con este sistema es altamente recomendable implementarlo ya que la autenticación es muy rápida y conveniente.

Los pasos para configurar el bloqueo de la pantalla en dispositivos Android son:

  1. Ir a la configuración del dispositivo
  2. Seleccionar pantalla de bloqueo
  3. En la sección Seguridad de la pantalla, seleccione bloqueo de pantalla.
  4. Seleccione la forma de bloqueo de pantalla que resulte más conveniente para usted.

Configurar el bloqueo automático.

Configurar el dispositivo para que se bloquee automáticamente es crucial ya que no en todas las circunstancias se puede estar seguro que se estará cerca del dispositivo siempre. Esta opción permite al dispositivo bloquearse automáticamente para evitar que usuarios no autorizados ingresen al contenido del mismo ni a las cuentas que en este estén configuradas.

Un posible atacante puede llegar a tener acceso al dispositivo, aunque este cuente con seguridad de bloqueo biométrico por huella digital si logra acceder al mismo antes de que la pantalla se bloquee automáticamente. Algunos dispositivos Android incluyen esta característica por defecto para ahorrar batería en periodos de inactividad.

Para activar el bloqueo automático siga los siguientes pasos:

  1. Vaya a la configuración del dispositivo.
  2. Seleccione pantalla de bloqueo.
  3. Seleccione la opción Bloquear automáticamente.
  4. Seleccione el periodo de tiempo en el cual el dispositivo se bloqueará automáticamente.

Es recomendable seleccionar un periodo de tiempo entre treinta segundos a cinco minutos para que la pantalla se bloquee automáticamente.

Deshabilitar el muestreo de letras al escribir las contraseñas.

Esta es una característica que permite al usuario agregar un nivel de protección adicional a sus contraseñas en contra de miradas curiosas y atacantes que puedan estar observando detenidamente al usuario. Para ocultar los caracteres al escribir contraseñas siga los siguientes pasos:

 

  1. Vaya a la configuración del dispositivo
  2. Seleccione el elemento llamado Seguridad.
  3. Busque la sección de contraseñas.
  4. Busque la opción que indica hacer visible las contraseñas.
  5. Desmarque la casilla.

Esta característica se desarrolla con la intención de facilitar al usuario la escritura de contraseñas, permitiéndole darse cuenta de si ha cometido un error durante la escritura de la misma. Sin embargo, esta característica puede ser una debilidad en la seguridad del dispositivo tanto para la autenticación para el uso del mismo como para el uso de otros sistemas que requieran de autenticación por medio de contraseñas como sitios web para plataformas bancarias o cuentas personales de otra índole privada.

Es muy importante recordar los criterios básicos del sentido común, jamás debe darse el número de identificación, número de tarjetas de crédito o débito, códigos de seguridad, responder preguntas secretas de verificación de identidad o escribir contraseñas en lugares públicos donde pueden ser interceptadas por cualquiera.

Eliminar datos ante ataques de fuerza bruta para desbloquear el dispositivo.

Android no provee una opción por defecto para eliminar los datos del teléfono ante intentos de ataques de fuerza bruta para desbloquear el dispositivo. Para hacer la aclaración, un ataque de fuerza bruta es cualquier intento de conseguir una contraseña sobre cualquier sistema realizando varios intentos con distintas contraseñas hasta conseguir el acceso deseado.

En días pasados se ha presentado el caso del atentado de San Bernardino en el que tras ser abatido uno de los sospechosos las fuerzas de seguridad estadounidenses intentan acceder al teléfono móvil del sospechoso. El teléfono de dicho elemento era un iPhone, por lo que se desató un conflicto ideológico entre privacidad de la información y la responsabilidad moral, ética y legal de Apple para desbloquear el dispositivo y permitirle al FBI el acceso a la información que en este se encontraba.

Sin embargo, es posible instalar en el dispositivo alguna aplicación, como por ejemplo Locker de Zygote Labs para eliminar los datos del teléfono ante intentos de fuerza bruta para desbloquearlo.

Este tipo de aplicaciones funciona en caso de que el dispositivo se encuentre en un área sin señal donde sea imposible acceder mediante aplicaciones de administración remota de la seguridad del teléfono.

Conozca al autor
Jherom Chacón Vega Ing Ingeniero en sistemas y Docente. Analista de sistemas y desarrollador de software. Geek, maker y tecnólogo apasionado.

Sobre El Autor

Ingeniero en sistemas y Docente. Analista de sistemas y desarrollador de software. Geek, maker y tecnólogo apasionado.

Artículos Relacionados