Monthly Archives: February 2011

Protección en los smartphones. Móvil perdido/robado ?

Inspirado un poco por algunos artículos recientemente leidos y por la inquietud de concientizar a la gente de los peligros que implica el utilizar dispositivos “smartphones” y las redes sociales sin la seguridad adecuada, escribo este post para mostrar algunos ejemplos de lo que podría suceder en sucesos desafortunados donde nuestros dispositivos fueran utilizados con otros fines, digamos, maliciosos y algunas formas de evitar catástrofes en este sentido.

Comenzaré con una simple pregunta. Qué pasaría si, por alguna razón, perdieran su smartphone ?

Conozco a infinidad de personas que han estado bajo esa situación ya sea porque les robaron su maleta o bolsa y se encontraba ahí dentro, o porque lo dejaron olvidado en algún lugar o se les cayó en algún transporte, etc. Después del pánico inmediato al darte cuenta de eso viene la preocupación y en lo primero que normalmente piensa uno es “Mis contactos!!!” y lo pensamos porque la gran mayoría de la gente no respalda sus contactos en algún otro medio y únicamente los deja en el móvil porque es lo más “a la mano” que tiene para anotar. Pues les diré algo: “el hecho de no haber respaldado sus contactos es lo último por lo que deberían de preocuparse si perdieron su smartphone o fue robado”.

Supongamos que su smartphone cae en manos de algún delincuente por alguna de las razones citadas previamente. Supongamos que es un delincuente curioso y quiere conocer un poco de su víctima. De primer instancia tomará el celular y, si está encendido, bastará con oprimir alguna tecla para que se ilumine la pantalla y pueda ver la pantalla de home desde la cuál se puede visualizar si hay algún mensaje de texto en espera de ser leído, algún correo electrónico en la bandeja de entrada y, en el caso de las redes sociales, si existe algún DM, reply o mensaje esperando a ser leído.

Hoy en día la usabilidad de estos dispositivos ha sido muy bien implementada y no se requieren amplios conocimientos o conocimientos técnicos para poder manejar, a nivel de usuario, estos equipos por lo que facilmente cualquier persona puede acceder a las aplicaciones instaladas en el dispositivo.
Al ser un dispositivo móvil al cual accedemos en muchas ocasiones durante el día casi siempre dejamos las aplicaciones con la opción de “recordar contraseña” activa para no tener que estar escribiendo las credenciales cada que queramos ver información por medio de esa aplicación. Esto provoca que cualquier persona que inicie la aplicación podrá acceder al contenido incluyendo, mensajes, actualizaciones, modificacion de cuenta y credenciales y más.

Otro punto importante es la cantidad de datos personales que contiene nuestro dispositivo móvil: los mensajes de texto, los correos electrónicos descargados, imágenes, archivos, contactos, etc. La mayor parte de esta información no se almacena directamente en la memoria del dispositivo sino en una memoria extraíble (comúnmente mini o micro SD), es decir, ni siquiera necesitamos el equipo para acceder a esos datos. Con el simple hecho de desmontar la memoria del dispositivo e introducirla en una computadora podremos acceder a toda esa información, normalmente, sin ningún “candado”, “password” o barrera que impida que sea leía por cualquier persona.

Con estos sencillos pasos, sin ningún tipo de seguridad, una persona podría tener en sus manos información de:

  • Todos los SMS enviados y recibidos desde y hacia nuestro dispositivo
  • Todas las imágenes capturadas con las cámaras de nuestro equipo
  • Todos los correos electrónicos descargados al equipo para visualización junto con sus archivos adjuntos
  • Los contactos almacenados en la libreta de direcciones y toda la información de cada entrada
  • Acceder a las cuentas configuradas en el dispositovo y a los datos de cada servicio por ejemplo, en el caso de facebook acceder a los mensajes, amigos, actualizar status, etc; en el caso de Twitter: generar post, los replies que nos han enviado, los DMs recibidos y enviados; en el caso de 4square: acceder a los lugares donde han estado y la cantidad de acompañantes con los que estuvieron
  • En el caso de otros servicios la información básica a la que alguien podría acceder es al perfil de la persona incluyendo la modificación de los datos
  • El historial de llamadas y, por supuesto, la o las personas con quien más se comunican quien, usualmente, es una persona cercana
  • Poder suplantar la identidad de la víctima al poder realizar llamadas, enviar mensajes, e-mails, postear, públicar y enviar información como si se tratara de la persona correcta pudiendo así engañar y/o estafar a personas cercanas a nosotros.
  • Podría enlistar unas cuantas cosas más pero con esto será suficiente para tratar el siguiente punto: “la técnicas de protección de esa información”

    Para mitigar el daño que puede causar el perder un smartphone y todos los datos dentro del dispositivo mencionaré algunas sencillas técnicas:

    Activar la contraseña de desbloqueo.Esta opción obliga a que, si el equipo se encuentra apagado o en modo standby, introduzcamos una contraseña para poder acceder a las aplicaciones, configuraciones y datos almacenados en él.Esto forzará al delincuente a pasar algunas horas de su tiempo intentando “adivinar” o “romper” (si cuenta con el equipo y conocimientos adecuados) la contraseña y así acceder a la información. Cabe destacar que solo ayudará a impedir parcialmente el acceso a los datos almacenados en el dispositivo y no los datos que se encuentren en la memoria extraíble.

    Almacenar la información de contactos y mensajes en la memoria del teléfono y no la memoria extraíbleSi bien a muchos no nos gusta esta opción porque la memoria del teléfono usualmente es ocupada para la instalación de aplicaciones y configuraciones, es muy recomendable, por seguridad, almacenar esos datos en el teléfono ya que así evitaremos que con el simple hecho de extraer la memoria externa puedan acceder a este tipo de datos.

    Eliminar remotamente la información en la memoria del dispositivo y la memoria extraíble.Existen programas precisamente creados para esto. Aquí podrán encontrar una lista de algunos de ellos para diferentes sistemas operativos de smartphones. Solo añadiría tres excelente aplicaciones. En primero lugar Lookout disponible para Windows Mobile, Blackberry y Android; en segundo lugar WaveSecure de McAfee mismos OS +SymbianOS y para Windows Phone 7 existen los servicios de Skydrive. Estas aplicaciones/servicios tiene extraordinarias funcionalidades para proteger nuestro equipo de virus, robos o pérdidas.

    Cifrar la información de nuestro equipo y tarjeta extraíbleTambién existen aplicaciones para este fin: SecuBox, SD Card Store Optimizer. Estas aplicaciones permiten cifrar los datos, configuraciones y aplicaciones de nuestro equipo y memoria extraíble permitiéndonos establecer una contraseña para descifrar los datos y hacerlos legibles. Así, aunque se extraiga la memoria externa del equipo y se inserte en una computadora no se podrá acceder a la información sensible ya que dicha información estará cifrada.

    Cambiar todas las contraseñas de las cuentas de servicios que teníamos configuradas en el smartphonePara evitar la suplantación de nuestra identidad en esos servicios o sistemas es recomendable realizar esta acción lo antes posible. Si bien, el cambiar la contraseña, no evita el acceso inmediato a nuestra información desde el equipo pero, con un poco de suerte, se terminará la batería, o apagarán el teléfono para no recibir llamadas buscándolo. Posteriormente, cuando se encienda el equipo las aplicaciones tendrán que re-autenticarse en los servicios y se encontrarán con que la contraseña almacenada en el equipo y “recordada” por la aplicación ya no es la misma con la cuál pueden acceder al servicio web llámese e-mail, exchange, twitter/facebook/4square/buzz, dropbox, o cualquier otro servicio que hayan configurado desde su móvil.

    Desactivar la tarjeta SIM y no almacenar datos sensibles en ellaLas tarjetas SIM (Subscriber Identity Module) son chips portátiles que utilizan los smartphones, o casi cualquier otro celular en el mundo, para poder recibir llamadas por medio del operador contratado. Las tarjetas SIM contienen información como el número telefónico pero pocos saben que puede contener practicamente cualquier otro tipo de información. Algunos equipos permiten guardar contactos y mensajes en la tarjeta SIM por lo tanto hay que evitar almacenar información confidencial o importante en esa tarjeta ya que desde los smartphones no tenemos tanto control de la información almacenada en ellos como lo tenemos con las tarjetas extraíbles y no podemos cifrar esa información de manera sencilla.Existen lectores de SIM con los cuales se pueden obtener facilmente información de las tarjetas por lo que es muy importante reportar inmediatamente el robo del equipo para que el operador desasocie la información contenida en el SIM con la victima.

    Estos fueron solo algunos consejos para asegurar sus equipos y preocuparse considerablemente menos por la información contenida en el smartphone perdido.

    Si tienen algún otro los invito a complementar este post con algún comentario.