Los patrones de seguridad no serían “tan seguros”
Una nueva investigación de la Academia Naval de los Estados Unidos y la Universidad de Maryland se propuso averiguarlo. El estudio, presentado en un paper titulado “Towards Baselines for Shoulder Surfing on Mobile Authentication”, evaluó qué método sería más seguro para protegerse de ataques “shoulder surfing”, es decir, cuando alguien te espía físicamente, generalmente desde atrás y por encima de tus hombros, para ver qué claves ingresas al acceder a tu sistema.
Su evidencia sugiere que, al menos cuando alguien esté cerca tuyo mirando sobre tu hombro, sería más seguro un código PIN. Así que si te preocupa que alguien esté mirando atentamente cuando estás a punto de desbloquear tu teléfono, ya sabes qué opción elegir.
Los espías que tienen solo una oportunidad para observar tu pantalla mientras la desbloqueas con un patrón lo adivinarán con éxito en el 64,2% de las ocaciones, porcentaje que aumenta a un alarmante 79,9% cuando pueden observar más de una vez.
Tu seguridad podría mejorar un poco eliminando las líneas de trazado que van siguiendo tu patrón en la pantalla: en ese escenario, los espías lograron adivinar el 35,3% de las veces observando una sola vez, y 52,1% observando varias veces.
En comparación, el uso de un PIN de seis dígitos reduce dramáticamente las chances de que un atacante determine cómo desbloquear tu smartphone Android: solo lo lograron en el 10,8% de los casos, y en el 26,5% cuando podían observar más de una vez.
En las pruebas, los observadores fueron capaces de determinar los patrones de desbloqueo de los usuarios desde distancias de hasta dos metros, desde una variedad de ángulos diferentes, incluso habiéndolos visto una sola vez.
nvestigaciones anteriores han determinado que la “aleatoriedad” de un patrón de desbloqueo es aproximadamente la misma que la de un PIN de tres dígitos – algo en lo que espero ninguno de nosotros confiaría.
La conclusión de los investigadores es que el PIN de seis dígitos (o más) es la defensa más segura contra los ataques shoulder surfing, y que si bien ambos tipos de patrones de desbloqueo son inseguros, aquellos sin líneas de trazado proveen mayor protección.
La longitud de la clave también es importante, ya que una combinación más larga es más difícil de seguir para un espía. Además, si el atacante puede ver muchas veces la autenticación, su probabilidad de acertar aumenta en gran medida.
Por otro lado, no es ninguna sorpresa que el estudio haya confirmado que los teléfonos con pantallas más grandes proveen menor seguridad, ya que dejan ver mucho más lo que está pasando.
Claro que todo esto no significa que cualquier PIN podría considerarse seguro; estudios anteriores han revelado los números de PIN más comunes y está claro que uno de seis dígitos como “123456” va a ser facilísimo de adivinar para un atacante.
Así como los cibercriminales han construido bases de datos con las contraseñas más comunes, también han aprendido los códigos PIN más comunes y los patrones de desbloqueo que más se usanpara proteger teléfonos (la forma de una “L” o un cuadrado, por ejemplo, o el hecho de que suelen comenzar de izquierda a derecha y de arriba hacia abajo).
Vale la pena tener en cuenta que si estás realmente preocupado por que alguien cerca tuyo mire por encima de tu hombro para espiar tu código PIN o patrón de desbloqueo tal vez sería mejor proteger tu dispositivo móvil con un control biométrico, como tu huella dactilar. La biometría no es imposible de vulnerar, pero en muchos casos será suficiente.
Y si lo que quieres es fortalecer al máximo tu teléfono, mejor elige una contraseña alfanumérica, que es la opción más robusta en Android. Aquí tienes un video que te enseña cómo elegir una contraseña segura y fácil de recordar: