• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
Asegurando tu Android: ¡Qué nadie lo use sin tu permiso!
 

Asegurando tu Android: ¡Qué nadie lo use sin tu permiso!

on

  • 346 views

Fuente: http://blog.segu-info.com.ar/

Fuente: http://blog.segu-info.com.ar/

Statistics

Views

Total Views
346
Views on SlideShare
261
Embed Views
85

Actions

Likes
0
Downloads
1
Comments
0

1 Embed 85

http://cdiaz1986.tumblr.com 85

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Asegurando tu Android: ¡Qué nadie lo use sin tu permiso! Asegurando tu Android: ¡Qué nadie lo use sin tu permiso! Document Transcript

    • CURSO: ASEGURANDO TU SMARTPHONE O TABLET ANDROID MÓDULO 2QUE NADIE USE TU MÓVILOFICINA DE SEGURIDAD DEL INTERNAUTA NOVIEMBRE 2012
    • Copyright © 2010 Instituto Nacional de Tecnologías de la comunicación (INTECO) El presente documento está bajo la licencia Creative Commons Reconocimiento-No comercial-Compartir Igual versión 2.5 España. Usted es libre de: - copiar, distribuir y comunicar públicamente la obra - hacer obras derivadas Bajo las condiciones siguientes: - Reconocimiento. Debe reconocer los créditos de la obra de la manera especificada por el autor o el licenciador (pero no de una manera que sugiera que tiene su apoyo o apoyan el uso que hace de su obra). - No comercial. No puede utilizar esta obra para fines comerciales. - Compartir bajo la misma licencia. Si altera o transforma esta obra, o genera una obra derivada, sólo puede distribuir la obra generada bajo una licencia idéntica a ésta. Al reutilizar o distribuir la obra, tiene que dejar bien claro los términos de la licencia de esta obra. Alguna de estas condiciones puede no aplicarse si se obtiene el permiso del titular de los derechos de autor Nada en esta licencia menoscaba o restringe los derechos morales del autor. Esto es un resumen legible por humanos del texto legal (la licencia completa) disponible en: http://creativecommons.org/licenses/by-nc-sa/2.5/es/ El presente documento cumple con las condiciones de accesibilidad del formato PDF (Portable Document Format). Se trata de un documento estructurado y etiquetado, provisto de alternativas a todo elemento no textual, marcado de idioma y orden de lectura adecuado. Para ampliar información sobre la construcción de documentos PDF accesibles puede consultar la guía disponible en la sección Accesibilidad > Formación > Manuales y Guías de la página http://www.inteco.es.Asegurando tu Android: Que nadie use tu móvil 2
    • ÍNDICE 1. INTRODUCCIÓN 4 2. ¡QUÉ NADIE LLAME SIN MI PERMISO! 5 2.1. ¿Cómo funciona el pin de la SIM? 6 2.2. ¿Cómo se cambia el pin de la SIM? 7 3. ¡QUÉ NADIE PUEDA VER LO QUE HAY DENTRO! 9 3.1. Patrón de desbloqueo 10 3.2. PIN de bloqueo 11 3.3. Contraseña 13 4. ¿QUÉ PASA SI OLVIDAMOS EL PATRÓN, PIN DE BLOQUEO O CONTRASEÑA? 15 4.1. Patrón 15 4.2. PIN de bloqueo y contraseña 16 5. CUENTA DE CORREO ASOCIADA AL DISPOSITIVO 17 5.1. Qué pasa si olvidamos la contraseña de la cuenta Google asociada al dispositivo 17Asegurando tu smartphone o tablet Android. Que nadie use tu móvil. 3
    • 1. INTRODUCCIÓNEn este módulo veremos las medidas de seguridad que incorpora Android para evitar que un tercerocon acceso físico al dispositivo pueda usarlo sin tu permiso.El acceso físico al dispositivo podría ocurrir bajo las siguientes situaciones:Pérdida o robo del dispositivoDejar el dispositivo al alcance de otros y sin vigilanciaLos riesgos principales de que un tercero tenga acceso físico al dispositivo sin tu consentimiento son:  Uso ilegítimo y robo de identidad. Contempla el uso de las funcionalidades de llamadas telefónicas, SMS (mensajes de texto), MMS (mensajes multimedia), mensajería instantánea (Whatsapp, viber), etc. Esto implica que se podrían enviar y recibir comunicaciones como si se fuera el propietario legítimo del dispositivo, catalogándose esta situación como un posible «robo de identidad»  Acceso a información sensible y posible perdida. Quien accede al dispositivo puede leer, modificar y/o eliminar la información que hay en él almacenada como fotografías, vídeo, notas y cualquier otro tipo de ficheros (ya sean personales o profesionales).  Acceso a servicios personales. Si por comodidad se han almacenado las credenciales (usuario/contraseña) de servicios web (Facebook, Gmail, Dropbox, banca online, etc.) en el dispositivo (en el navegador con la opción «recordar» o en aplicaciones especificas) sería posible acceder a ellos y operar como el legitimo propietario. Situación que también podría desembocar en un robo de identidad. ¡Imaginad que os secuestran vuestro perfil en Twitter!.Proteger el dispositivo contra este tipo de situaciones es la primera tarea que debemos abordar, paraello vamos a enumerar las posibilidades básicas que nos ofrece este sistema.Asegurando tu Android: Que nadie use tu móvil 4
    • 2. ¡QUÉ NADIE LLAME SIN MI PERMISO! NOTA: A lo largo de este módulo haremos referencia a tres valores pin distintos:  pin de la tarjeta SIM – Para evitar comunicaciones móviles a través de la operadora  pin de respaldo del Patrón – Para desbloquear el móvil si hemos olvidado el patrón en Android 4 o posteriores  pin de Bloqueo – Para bloquear el dispositivo y que no se pueda usar sin conocer ese número Cada vez que se use el concepto PIN se identificará de forma explícita para no confundir al lector, aunque en ocasiones pueda resultar redundante.La tarjeta SIM (Subscriber Identity Module o módulo de identidad del suscriptor) es una tarjeta quenos proporciona nuestro operador de telefonía, que lleva asociada nuestra línea telefónica móvil, y esla que permite que el dispositivo pueda hacer y recibir llamadas, así como tener línea de datos(acceso a Internet móvil).Esta tarjeta, en resumen, nos permite telefonear y acceder a Internet desde el móvil. Y esto tiene 2aspectos a considerar:El económico. El gasto de la línea telefónica y de la línea de datos realizados con nuestra tarjeta SIMse cargaran a la cuenta bancaria que tengamos asociada, o se descontará del saldo de la tarjetaprepago.La identidad del propietario. Las llamadas, mensajes y navegación, así como cualquier otra actividadque se realice con nuestra tarjeta SIM (sea desde el dispositivo que sea) quedará asociada a nuestrapersona.Por ejemplo si alguien cometiera un delito (como entrar en un ordenador utilizando nuestra conexión),la policía determinaría que la conexión desde la cual se cometió el delito estaba asignada a nuestratarjeta SIM, y aunque se pudiera demostrar nuestra inocencia, podríamos vernos en una situacióncuanto menos incómoda. Para prevenir el uso del dispositivo para llamadas, SMS y comunicaciones a través de la operadora, la opción más simple y necesaria es establecer el bloqueo de la tarjeta mediante un código pin ( Número de Identificación Personal).Asegurando tu Android: Que nadie use tu móvil 5
    • 2.1. ¿CÓMO FUNCIONA EL PIN DE LA SIM?El funcionamiento del pin de la SIM es muy simple:Al encender el dispositivo, si tenemos la tarjeta SIM introducida, solicita el número pin de la SIM Ilustración 1. Solicitud del pin de la SIMSi el pin de la SIM que introducimos es correcto se permiten comunicaciones a través de la operadora(llamadas, mensajes y navegar por Internet), aparece en la pantalla el nombre del operador al que seha conectado el dispositivo.Si se introduce el pin de la SIM 3 veces mal, la tarjeta se bloquea. Para desbloquearlo habría queintroducir el código PUK (Personal Unlocking Key o código de desbloqueo personal), que nos dieronjunto con el pin de la SIM inicial de la tarjeta.Las operadoras de telefonía entregan las tarjetas SIM asociadas a un pin, aunque como veremos acontinuación es posible modificarlo –por ejemplo, para recordarlo mejor- y anularlo.El código PUK no se puede modificar al ser el único método del que dispone la operadora paradesbloquear una SIM bloqueada. Si se intenta acceder a un móvil que tiene tarjeta SIM y no introducimos el pin correcto, no podremos acceder al contenido del dispositivo, pero si extraemos la tarjeta SIM, éste arrancará con todas las funcionalidades de las que dispone (excepto comunicaciones móviles) y se podrá acceder a la información que almacena.Para bloquear las comunicaciones móviles de forma que solicite el pin, tenemos que apagar eldispositivo y volverlo a encender.Asegurando tu Android: Que nadie use tu móvil 6
    • 2.2. ¿CÓMO SE CAMBIA EL PIN DE LA SIM?Para gestionar el pin (establecerlo, quitarlo o modificarlo), se hace desde: Aplicaciones  Ajustes  Seguridad  Bloqueo de tarjeta SIM Ilustración 2. Acceso a la opción de Bloqueo de tarjeta SIMSi está marcada la opción «Bloquear tarjeta SIM» es necesario introducir el pin de la SIM cuando seinicie el teléfono para poder llamar y conectarse a Internet móvil. Si desbloqueamos la SIM, nos pideel pin actual para confirmar la opción. Ilustración 3. Desbloqueo del pin de la tarjeta SIMAsegurando tu Android: Que nadie use tu móvil 7
    • Podemos modificar el pin de la tarjeta SIM desde la pantalla de Desbloqueo de tarjeta SIM (Ilustración1) Ilustración 4. Modificación del pin de la tarjeta SIMAsegurando tu Android: Que nadie use tu móvil 8
    • 3. ¡QUÉ NADIE PUEDA VER LO QUE HAY DENTRO!Por defecto, los dispositivos Android vienen sin un sistema de bloqueo activado, así que si queremosevitar que alguien acceda al contenido del dispositivo (fotos, vídeos, documentos, notas, contraseñas,etc.), hemos de activar alguno de los sistemas de protección que nos ofrece para tal fin.Es cierto que si encendemos un teléfono con tarjeta SIM, hasta que no introduzcamos el pin correctono nos dejará usarlo excepto efectuar llamadas de emergencia, pero si quitan la tarjeta SIM, se podráiniciar y ver lo que hay almacenado en la memoria del teléfono y en la tarjeta MicroSD (salvo en elcaso de que la información almacena esté cifrada).En Android hay tres métodos diferentes que se pueden emplear para bloquear el uso del teléfono (elde la SIM no lo consideramos adecuado para esto), y son el patrón de desbloqueo, el pin y lacontraseña.Para establecer, consultar y modificar el sistema de bloqueo, accedemos a: Aplicaciones  Ajustes  Bloqueo de pantalla  Tipo de Bloqueo Ilustración 5. Mostrando el tipo de bloqueo establecido.En la primera opción muestra: Ninguno.Asegurando tu Android: Que nadie use tu móvil 9
    • 3.1. PATRÓN DE DESBLOQUEOEl patrón de bloqueo es una forma de protección del acceso a las funciones del dispositivo (exceptollamadas de emergencia) basado en una matriz de puntos de 3x3, en la cual se configura un dibujobasado en el orden en que vamos pasando el dedo por los puntos de la matriz. Por ejemplo: Ilustración 6. Patrón de desbloqueoEn este caso el trazo comienza en el punto superior derecho y finaliza en el central.Para establecer el patrón de desbloqueo accedemos a: Aplicaciones  Ajustes  Bloqueo de pantalla  Tipo de bloqueo  Patrón Ilustración 7. Establecer un patrón de desbloqueoHay que introducir el patrón de desbloqueo (al menos hay que pasar por 4 puntos) dos veces (paraasegurarnos) y hacer «tap» en «Confirmar»,Asegurando tu Android: Que nadie use tu móvil 10
    • Ilustración 8. Establecimiento de bloqueo de pantalla mediante pina continuación, pide el pin de respaldo, que es un número que debemos usar en el caso de queolvidemos el patrón de desbloqueo.En Android 4, si introducimos 5 veces mal el patrón, nos obliga a esperar 30 segundos para continuarintentándolo. Es una medida de seguridad extra para proteger el dispositivo ante ataques de fuerzabruta que van probando todas las posibles combinaciones hasta acertar. . Hay que señalar que enversiones anteriores de Android no hay posibilidad de incluir el pin del patrón.3.2. PIN DE BLOQUEOLa segunda forma de proteger el acceso a las funcionalidades y datos del dispositivo es mediante elpin de Bloqueo, que es una secuencia numérica (de al menos 4 dígitos) que protege el acceso aldispositivo. Ilustración 9. Solicitud de pin de BloqueoAsegurando tu Android: Que nadie use tu móvil 11
    • La fortaleza de este método se basa en la cantidad/calidad de dígitos que utilicemos. Cuantos más,mejor, pero ojo con los pines como: 1234, el DNI, matricula, fechas de nacimiento, y aniversarios, queson las primeras que probaría alguien que quisiera entrar a nuestro dispositivo sin nuestro permiso.NOTA: Dependiendo de la versión del sistema operativo, es posible introducir únicamente pines de 4dígitos o pines con más. Cuanto más largo más seguro.Si introducimos el pin mal 5 veces hemos de esperar 30 segundos para seguir intentándolo.Para configurar el pin de bloqueo, accedemos a: Aplicaciones  Ajustes  Bloqueo de Pantalla  Tipo de bloqueo PIN Ilustración 10. Activando el pin de BloqueoSe ha de introducir el pin (al menos 4 valores numéricos) dos veces (para asegurarnos de quecoinciden) y hacer «tap» en «Aceptar». En la pantalla «Bloqueo de pantalla», en la opción «Tipo debloqueo» aparecerá como «Protegida con pin». Ilustración 11. Establecimiento de bloqueo de pantalla mediante pinAsegurando tu Android: Que nadie use tu móvil 12
    • 3.3. CONTRASEÑAEl tercer método es utilizar una contraseña, en la cual podemos usar letras, caracteres especiales ynúmeros. El funcionamiento es idéntico al pin, pero incluyendo más tipos de caracteres.Este método es más fuerte que los anteriores, ya que mientras que para cada dígito hay 10posibilidades, para cada carácter de la contraseña puede haber más de 100. Ilustración 12. Comparativa de la fortaleza de la contraseña numérica y de caracteresAl igual que en los métodos anteriores, si introducimos la contraseña mal 5 veces, nos obliga aesperar 30 segundos, así que se descartan los ataques probando todas las posibilidades.Para configurar la contraseña de bloqueo: Aplicaciones  Ajustes  Bloqueo de Pantalla  Tipo de bloqueo  Contraseña Ilustración 13. Acceso al Tipo de bloqueo por ContraseñaAsegurando tu Android: Que nadie use tu móvil 13
    • Se ha de introducir la contraseña (al menos 4 caracteres) dos veces (para asegurarnos de quecoinciden) y hacer «tap» en «Aceptar». En la pantalla «Bloqueo de pantalla», en la opción «Tipo debloqueo» aparecerá como «Protegida con contraseña». Ilustración 14. Establecimiento de bloqueo de pantalla mediante ContraseñaAsegurando tu Android: Que nadie use tu móvil 14
    • 4. ¿QUÉ PASA SI OLVIDAMOS EL PATRÓN, PIN DE BLOQUEO O CONTRASEÑA?Si establecemos una protección frente al acceso a las funciones del dispositivo, y olvidamos esaprotección (aunque raro, puede pasar, de hecho pasa a menudo), hay que conocer la forma deproceder para solucionar este problema.4.1. PATRÓNSi olvidamos el patrón de desbloqueo y habíamos fijado un pin para el patrón, en la parte inferioraparecerá el texto «¿Has olvidado el patrón?» Ilustración 15. Acceso a la opción para restaurar el acceso si hemos olvidado el patrónSi hacemos «tap» en dicho texto, podremos recuperar el acceso de dos formas distintas:Cuenta de Google. Introducimos la cuenta de Gmail asociada (sin la extensión .gmail.com) y lacontraseña para desbloquear el dispositivo. Ilustración 16. Desbloqueo de la cuenta mediante el uso de la cuentas de usuario de Gmail asociadaPIN del patrón. Si lo introducimos desbloqueará el dispositivo.Asegurando tu Android: Que nadie use tu móvil 15
    • Ilustración 17. Desbloqueo de la cuenta mediante el uso del pin de respaldo del particiónEn ambos casos, el sistema nos lleva a la ventana de «Bloqueo de pantalla» desactivando el mismo. Ilustración 18. Pantalla que indica que se ha desbloqueado el patrón4.2. PIN DE BLOQUEO Y CONTRASEÑASi olvidamos el pin que se utilizó para el bloqueo (no el del patrón), la única forma de desbloquear elterminal es mediante el «Hard-Reset» que consiste en la restauración del dispositivo a los valores defábrica, perdiendo los datos que hayamos introducido en el dispositivo que no estén respaldados poruna copia de seguridad (Módulo 4).En función del fabricante del dispositivo, esta acción se puede hacer desde el software de conexión alPC, en el caso de poder acceder al dispositivo desde el ordenador, o mediante una combinación deteclas cuando lo encendemos (por ejemplo encendido+inicio), por lo que para cada dispositivodebemos documentarnos en las páginas web del correspondiente fabricante.Asegurando tu Android: Que nadie use tu móvil 16
    • 5. CUENTA DE CORREO ASOCIADA AL DISPOSITIVOLos dispositivos Android, permiten asociar una cuenta de Gmail al dispositivo. Esto aporta una seriede ventajas muy importantes, como son:Sincronización de contactos del teléfono con los de la cuenta de Gmail, de forma quesiempre que estén sincronizados, tendremos una copia de los contactos del móvil en lacuenta de Gmail.Gestionar aplicaciones de Google Play, de forma que desde un PC logueados con nuestracuenta de Google para el dispositivo, podemos instalar aplicaciones, comprobar si soncompatibles con nuestra versión de sistema y ver las que hemos instalado.Gestionar otros servicios Google como Maps (personalizados), servicios como Drive, etc.Deshabilitar el patrón de bloqueo (desde la versión 4.0), conociendo la cuenta y la contraseña.5.1. QUÉ PASA SI OLVIDAMOS LA CONTRASEÑA DE LA CUENTA GOOGLE ASOCIADA AL DISPOSITIVOLos dispositivos Android pueden asociar una cuenta de Google (Gmail) con el dispositivo móvil. Estotiene la gran ventaja de que los contactos se pueden gestionar desde esa cuenta, y siempre estaránrespaldados (si la cuenta está sincronizada con el dispositivo), además de almacenar queaplicaciones hay instaladas, y permitir restaurar el equipo en algunos casos de pérdida decredenciales.Si hemos olvidado la contraseña de esa cuenta, podemos reinicializarla desde la página de registrode Gmail mediante alguno de los métodos establecidos para este fin:Responder a mi pregunta de seguridadRecibir un enlace de restablecimiento de contraseña en mi dirección de correo electrónicode recuperaciónRecibir un código de verificación en mi teléfonoPuedes ver en detalle cada uno de estos métodos en «Cómo recuperar una cuentasecuestrada: Google» de la Oficina de Seguridad del Internauta.En caso de no haber facilitado un teléfono (que podamos usar, si es el nuestro y está bloqueado novale, a menos que saquemos la SIM y la pongamos en otro teléfono), ni haber especificado un correoalternativo, o si no nos acordamos de los datos que dimos, el proceso es más delicado y requeriráponerse en contacto con Google y seguir sus indicaciones.Asegurando tu Android: Que nadie use tu móvil 17
    • Ilustración 19. Resumen de métodos para evitar que usen tu dispositivo Android sin tu permiso.Asegurando tu Android: Que nadie use tu móvil 18