Asegurando tu Android: ¡Qué nadie lo use sin tu permiso!

  • Published on
    20-Aug-2015

  • View
    244

  • Download
    1

Embed Size (px)

Transcript

  1. 1. CURSO: ASEGURANDO TU SMARTPHONE O TABLETANDROIDMDULO 2QUE NADIE USE TU MVILOFICINA DE SEGURIDAD DEL INTERNAUTA NOVIEMBRE 2012
  2. 2. Copyright 2010 Instituto Nacional de Tecnologas de la comunicacin (INTECO)El presente documento est bajo la licencia Creative Commons Reconocimiento-No comercial-Compartir Igual versin2.5 Espaa.Usted es libre de:-copiar, distribuir y comunicar pblicamente la obra-hacer obras derivadasBajo las condiciones siguientes:-Reconocimiento. Debe reconocer los crditos de la obra de la manera especificada por el autor o el licenciador (pero no de una manera que sugiera que tiene su apoyo o apoyan el uso que hace de su obra).-No comercial. No puede utilizar esta obra para fines comerciales.-Compartir bajo la misma licencia. Si altera o transforma esta obra, o genera una obra derivada, slo puede distribuir la obra generada bajo una licencia idntica a sta.Al reutilizar o distribuir la obra, tiene que dejar bien claro los trminos de la licencia de esta obra.Alguna de estas condiciones puede no aplicarse si se obtiene el permiso del titular de los derechos de autorNada en esta licencia menoscaba o restringe los derechos morales del autor.Esto es un resumen legible por humanos del texto legal (la licencia completa) disponible en:http://creativecommons.org/licenses/by-nc-sa/2.5/es/El presente documento cumple con las condiciones de accesibilidad del formato PDF (Portable Document Format).Se trata de un documento estructurado y etiquetado, provisto de alternativas a todo elemento no textual, marcado deidioma y orden de lectura adecuado.Para ampliar informacin sobre la construccin de documentos PDF accesibles puede consultar la gua disponible en laseccin Accesibilidad > Formacin > Manuales y Guas de la pgina http://www.inteco.es.Asegurando tu Android: Que nadie use tu mvil2
  3. 3. NDICE 1.INTRODUCCIN4 2.QU NADIE LLAME SIN MI PERMISO!5 2.1. Cmo funciona el pin de la SIM? 6 2.2. Cmo se cambia el pin de la SIM?7 3.QU NADIE PUEDA VER LO QUE HAY DENTRO! 9 3.1. Patrn de desbloqueo10 3.2. PIN de bloqueo11 3.3. Contrasea13 4.QU PASA SI OLVIDAMOS EL PATRN, PIN DE BLOQUEO O CONTRASEA? 15 4.1. Patrn15 4.2. PIN de bloqueo y contrasea 16 5.CUENTA DE CORREO ASOCIADA AL DISPOSITIVO 17 5.1. Qu pasa si olvidamos la contrasea de la cuenta Google asociada aldispositivo17Asegurando tu smartphone o tablet Android. Que nadie use tu mvil.3
  4. 4. 1. INTRODUCCINEn este mdulo veremos las medidas de seguridad que incorpora Android para evitar que un tercerocon acceso fsico al dispositivo pueda usarlo sin tu permiso.El acceso fsico al dispositivo podra ocurrir bajo las siguientes situaciones:Prdida o robo del dispositivoDejar el dispositivo al alcance de otros y sin vigilanciaLos riesgos principales de que un tercero tenga acceso fsico al dispositivo sin tu consentimiento son: Uso ilegtimo y robo de identidad. Contempla el uso de las funcionalidades de llamadas telefnicas, SMS (mensajes de texto), MMS (mensajes multimedia), mensajera instantnea (Whatsapp, viber), etc. Esto implica que se podran enviar y recibir comunicaciones como si se fuera el propietario legtimo del dispositivo, catalogndose esta situacin como un posible robo de identidad Acceso a informacin sensible y posible perdida. Quien accede al dispositivo puede leer, modificar y/o eliminar la informacin que hay en l almacenada como fotografas, vdeo, notas y cualquier otro tipo de ficheros (ya sean personales o profesionales). Acceso a servicios personales. Si por comodidad se han almacenado las credenciales (usuario/contrasea) de servicios web (Facebook, Gmail, Dropbox, banca online, etc.) en el dispositivo (en el navegador con la opcin recordar o en aplicaciones especificas) sera posible acceder a ellos y operar como el legitimo propietario. Situacin que tambin podra desembocar en un robo de identidad. Imaginad que os secuestran vuestro perfil en Twitter!.Proteger el dispositivo contra este tipo de situaciones es la primera tarea que debemos abordar, paraello vamos a enumerar las posibilidades bsicas que nos ofrece este sistema.Asegurando tu Android: Que nadie use tu mvil 4
  5. 5. 2. QU NADIE LLAME SIN MI PERMISO!NOTA: A lo largo de este mdulo haremos referencia a tres valores pin distintos: pin de la tarjeta SIM Para evitar comunicaciones mviles a travs de la operadora pin de respaldo del Patrn Para desbloquear el mvil si hemos olvidado el patrn enAndroid 4 o posteriores pin de Bloqueo Para bloquear el dispositivo y que no se pueda usar sin conocer esenmeroCada vez que se use el concepto PIN se identificar de forma explcita para no confundir allector, aunque en ocasiones pueda resultar redundante.La tarjeta SIM (Subscriber Identity Module o mdulo de identidad del suscriptor) es una tarjeta quenos proporciona nuestro operador de telefona, que lleva asociada nuestra lnea telefnica mvil, y esla que permite que el dispositivo pueda hacer y recibir llamadas, as como tener lnea de datos(acceso a Internet mvil).Esta tarjeta, en resumen, nos permite telefonear y acceder a Internet desde el mvil. Y esto tiene 2aspectos a considerar:El econmico. El gasto de la lnea telefnica y de la lnea de datos realizados con nuestra tarjeta SIMse cargaran a la cuenta bancaria que tengamos asociada, o se descontar del saldo de la tarjetaprepago.La identidad del propietario. Las llamadas, mensajes y navegacin, as como cualquier otra actividadque se realice con nuestra tarjeta SIM (sea desde el dispositivo que sea) quedar asociada a nuestrapersona.Por ejemplo si alguien cometiera un delito (como entrar en un ordenador utilizando nuestra conexin),la polica determinara que la conexin desde la cual se cometi el delito estaba asignada a nuestratarjeta SIM, y aunque se pudiera demostrar nuestra inocencia, podramos vernos en una situacincuanto menos incmoda. Para prevenir el uso del dispositivo para llamadas, SMS y comunicaciones a travs de la operadora, la opcin ms simple y necesaria es establecer el bloqueo de la tarjeta mediante un cdigo pin ( Nmero de Identificacin Personal).Asegurando tu Android: Que nadie use tu mvil 5
  6. 6. 2.1. CMO FUNCIONA EL PIN DE LA SIM?El funcionamiento del pin de la SIM es muy simple:Al encender el dispositivo, si tenemos la tarjeta SIM introducida, solicita el nmero pin de la SIMIlustracin 1. Solicitud del pin de la SIMSi el pin de la SIM que introducimos es correcto se permiten comunicaciones a travs de la operadora(llamadas, mensajes y navegar por Internet), aparece en la pantalla el nombre del operador al que seha conectado el dispositivo.Si se introduce el pin de la SIM 3 veces mal, la tarjeta se bloquea. Para desbloquearlo habra queintroducir el cdigo PUK (Personal Unlocking Key o cdigo de desbloqueo personal), que nos dieronjunto con el pin de la SIM inicial de la tarjeta.Las operadoras de telefona entregan las tarjetas SIM asociadas a un pin, aunque como veremos acontinuacin es posible modificarlo por ejemplo, para recordarlo mejor- y anularlo.El cdigo PUK no se puede modificar al ser el nico mtodo del que dispone la operadora paradesbloquear una SIM bloqueada.Si se intenta acceder a un mvil que tiene tarjeta SIM y no introducimosel pin correcto, no podremos acceder al contenido del dispositivo,pero si extraemos la tarjeta SIM, ste arrancar con todas lasfuncionalidades de las que dispone (excepto comunicaciones mviles)y se podr acceder a la informacin que almacena.Para bloquear las comunicaciones mviles de forma que solicite el pin, tenemos que apagar eldispositivo y volverlo a encender.Asegurando tu Android: Que nadie use tu mvil6
  7. 7. 2.2. CMO SE CAMBIA EL PIN DE LA SIM?Para gestionar el pin (establecerlo, quitarlo o modificarlo), se hace desde:Aplicaciones Ajustes Seguridad Bloqueo de tarjeta SIMIlustracin 2. Acceso a la opcin de Bloqueo de tarjeta SIMSi est marcada la opcin Bloquear tarjeta SIM es necesario introducir el pin de la SIM cuando seinicie el telfono para poder llamar y conectarse a Internet mvil. Si desbloqueamos la SIM, nos pideel pin actual para confirmar la opcin.Ilustracin 3. Desbloqueo del pin de la tarjeta SIMAsegurando tu Android: Que nadie use tu mvil 7
  8. 8. Podemos modificar el pin de la tarjeta SIM desde la pantalla de Desbloqueo de tarjeta SIM (Ilustracin1) Ilustracin 4. Modificacin del pin de la tarjeta SIMAsegurando tu Android: Que nadie use tu mvil8
  9. 9. 3. QU NADIE PUEDA VER LO QUE HAY DENTRO!Por defecto, los dispositivos Android vienen sin un sistema de bloqueo activado, as que si queremosevitar que alguien acceda al contenido del dispositivo (fotos, vdeos, documentos, notas, contraseas,etc.), hemos de activar alguno de los sistemas de proteccin que nos ofrece para tal fin.Es cierto que si encendemos un telfono con tarjeta SIM, hasta que no introduzcamos el pin correctono nos dejar usarlo excepto efectuar llamadas de emergencia, pero si quitan la tarjeta SIM, se podriniciar y ver lo que hay almacenado en la memoria del telfono y en la tarjeta MicroSD (salvo en elcaso de que la informacin almacena est cifrada).En Android hay tres mtodos diferentes que se pueden emplear para bloquear el uso del telfono (elde la SIM no lo consideramos adecuado para esto), y son el patrn de desbloqueo, el pin y lacontrasea.Para establecer, consultar y modificar el sistema de bloqueo, accedemos a: Aplicaciones Ajustes Bloqueo de pantalla Tipo de Bloqueo Ilustracin 5. Mostrando el tipo de bloqueo establecido.En la primera opcin muestra: Ninguno.Asegurando tu Android: Que nadie use tu mvil9
  10. 10. 3.1. PATRN DE DESBLOQUEOEl patrn de bloqueo es una forma de proteccin del acceso a las funciones del dispositivo (exceptollamadas de emergencia) basado en una matriz de puntos de 3x3, en la cual se configura un dibujobasado en el orden en que vamos pasando el dedo por los puntos de la matriz. Por ejemplo: Ilustracin 6. Patrn de desbloqueoEn este caso el trazo comienza en el punto superior derecho y finaliza en el central.Para establecer el patrn de desbloqueo accedemos a: Aplicaciones Ajustes Bloqueo de pantalla Tipo de bloqueo PatrnIlustracin 7. Establecer un patrn de desbloqueoHay que introducir el patrn de desbloqueo (al menos hay que pasar por 4 puntos) dos veces (paraasegurarnos) y hacer tap en Confirmar,Asegurando tu Android: Que nadie use tu mvil10
  11. 11. Ilustracin 8. Establecimiento de bloqueo de pantalla mediante pina continuacin, pide el pin de respaldo, que es un nmero que debemos usar en el caso de queolvidemos el patrn de desbloqueo.En Android 4, si introducimos 5 veces mal el patrn, nos obliga a esperar 30 segundos para continuarintentndolo. Es una medida de seguridad extra para proteger el dispositivo ante ataques de fuerzabruta que van probando todas las posibles combinaciones hasta acertar. . Hay que sealar que enversiones anteriores de Android no hay posibilidad de incluir el pin del patrn.3.2. PIN DE BLOQUEOLa segunda forma de proteger el acceso a las funcionalidades y datos del dispositivo es mediante elpin de Bloqueo, que es una secuencia numrica (de al menos 4 dgitos) que protege el acceso aldispositivo. Ilustracin 9. Solicitud de pin de BloqueoAsegurando tu Android: Que nadie use tu mvil 11
  12. 12. La fortaleza de este mtodo se basa en la cantidad/calidad de dgitos que utilicemos. Cuantos ms,mejor, pero ojo con los pines como: 1234, el DNI, matricula, fechas de nacimiento, y aniversarios, queson las primeras que probara alguien que quisiera entrar a nuestro dispositivo sin nuestro permiso.NOTA: Dependiendo de la versin del sistema operativo, es posible introducir nicamente pines de 4dgitos o pines con ms. Cuanto ms largo ms seguro.Si introducimos el pin mal 5 veces hemos de esperar 30 segundos para seguir intentndolo.Para configurar el pin de bloqueo, accedemos a: Aplicaciones Ajustes Bloqueo de Pantalla Tipo de bloqueo PINIlustracin 10. Activando el pin de BloqueoSe ha de introducir el pin (al menos 4 valores numricos) dos veces (para asegurarnos de quecoinciden) y hacer tap en Aceptar. En la pantalla Bloqueo de pantalla, en la opcin Tipo debloqueo aparecer como Protegida con pin. Ilustracin 11. Establecimiento de bloqueo de pantalla mediante pinAsegurando tu Android: Que nadie use tu mvil 12
  13. 13. 3.3. CONTRASEAEl tercer mtodo es utilizar una contrasea, en la cual podemos usar letras, caracteres especiales ynmeros. El funcionamiento es idntico al pin, pero incluyendo ms tipos de caracteres.Este mtodo es ms fuerte que los anteriores, ya que mientras que para cada dgito hay 10posibilidades, para cada carcter de la contrasea puede haber ms de 100.Ilustracin 12. Comparativa de la fortaleza de la contrasea numrica y de caracteresAl igual que en los mtodos anteriores, si introducimos la contrasea mal 5 veces, nos obliga aesperar 30 segundos, as que se descartan los ataques probando todas las posibilidades.Para configurar la contrasea de bloqueo:Aplicaciones Ajustes Bloqueo de Pantalla Tipo de bloqueo ContraseaIlustracin 13. Acceso al Tipo de bloqueo por ContraseaAsegurando tu Android: Que nadie use tu mvil 13
  14. 14. Se ha de introducir la contrasea (al menos 4 caracteres) dos veces (para asegurarnos de quecoinciden) y hacer tap en Aceptar. En la pantalla Bloqueo de pantalla, en la opcin Tipo debloqueo aparecer como Protegida con contrasea.Ilustracin 14. Establecimiento de bloqueo de pantalla mediante ContraseaAsegurando tu Android: Que nadie use tu mvil 14
  15. 15. 4. QU PASA SI OLVIDAMOS EL PATRN, PIN DE BLOQUEO O CONTRASEA?Si establecemos una proteccin frente al acceso a las funciones del dispositivo, y olvidamos esaproteccin (aunque raro, puede pasar, de hecho pasa a menudo), hay que conocer la forma deproceder para solucionar este problema.4.1. PATRNSi olvidamos el patrn de desbloqueo y habamos fijado un pin para el patrn, en la parte inferioraparecer el texto Has olvidado el patrn?Ilustracin 15. Acceso a la opcin para restaurar el acceso si hemos olvidado el patrnSi hacemos tap en dicho texto, podremos recuperar el acceso de dos formas distintas:Cuenta de Google. Introducimos la cuenta de Gmail asociada (sin la extensin .gmail.com) y lacontrasea para desbloquear el dispositivo. Ilustracin 16. Desbloqueo de la cuenta mediante el uso de la cuentas de usuario de Gmail asociadaPIN del patrn. Si lo introducimos desbloquear el dispositivo.Asegurando tu Android: Que nadie use tu mvil 15
  16. 16. Ilustracin 17. Desbloqueo de la cuenta mediante el uso del pin de respaldo del particinEn ambos casos, el sistema nos lleva a la ventana de Bloqueo de pantalla desactivando el mismo. Ilustracin 18. Pantalla que indica que se ha desbloqueado el patrn4.2. PIN DE BLOQUEO Y CONTRASEASi olvidamos el pin que se utiliz para el bloqueo (no el del patrn), la nica forma de desbloquear elterminal es mediante el Hard-Reset que consiste en la restauracin del dispositivo a los valores defbrica, perdiendo los datos que hayamos introducido en el dispositivo que no estn respaldados poruna copia de seguridad (Mdulo 4).En funcin del fabricante del dispositivo, esta accin se puede hacer desde el software de conexin alPC, en el cas...