Los smartphones hoy en día compiten por definir cuál puede proteger mejor tus secretos. Cifran tus datos, almacenan claves digitales para desbloquearse a través de hardware especializado, e incluso ofrecen biometría sofisticada de huellas dactilares y “huellas faciales”. Pero varios millones de teléfonos inteligentes permanecen absurdamente vulnerables a un ataque sin empleo de tecnología: dar una mirada furtiva al teléfono de alguien mientras lo desbloquea. Un nuevo estudio ha cuantificado cuánto facilita el trabajo a cualquier husmeador que mire por detrás del hombro un patrón de desbloqueo al estilo Android (a diferencia de un PIN de seis dígitos o un desbloqueo biométrico).

Investigadores de seguridad de la Academia Naval de los Estados Unidos y de la Universidad de Maryland en el Condado de Baltimore publicaron esta semana un estudio que muestra que un observador casual puede memorizar y reproducir un patrón de desbloqueo de Android con relativa facilidad. En sus pruebas, encontraron que los patrones de desbloqueo de Android de seis puntos pueden ser reproducidos por aproximadamente dos de cada tres observadores que lo ven llevarse a cabo, a cinco o seis pies de distancia después haberlo visto una sola vez. Detectar un PIN de seis dígitos del tipo utilizado en la mayoría de los iPhones, por otro lado, resultó sorprendentemente difícil: solo uno de cada diez observadores en el estudio pudo reproducirlo después de una sola mirada.

Esa disparidad es en parte debido a lo fácil que es memorizar un patrón de desbloqueo de Android para los cerebros humanos, dice Adam Aviv, profesor de la Academia Naval. "Los patrones son fáciles de memorizar, pero es lo mismo que pedirle a la gente que recuerde un glifo", dice Aviv, quien junto con sus colaboradores presentará en diciembre un artículo en la Conferencia Anual de Aplicaciones de Seguridad Informática en Puerto Rico. "Los patrones son definitivamente menos seguros que los PIN."

En sus pruebas, los investigadores reclutaron a 1,173 sujetos de la plataforma de crowdsourcing Mechanical Turk de Amazon para que vieran videos cuidadosamente controlados de desbloqueos en línea y les pidieron a los sujetos que intentaran adivinar el PIN y los patrones de desbloqueo después de ver al propietario del teléfono desbloquearlo con los PIN usados comúnmente o patrones desde cinco ángulos y distancias diferentes, promediando esas variables. También repitieron la prueba de video con 91 personas en forma presencial, solo para corroborar sus resultados en línea. Encontraron que alrededor del 64 por ciento de los sujetos de la prueba en línea podía reproducir un patrón de seis puntos después de verlo una sola vez, y el 80 por ciento después de dos veces. Solo el 11 por ciento pudo identificar un PIN de seis dígitos después de verlo una sola vez, y un 27 por ciento después de dos.

Para los usuarios de Android sienten apego al desbloqueo por patrón, el estudio encontró un punto de consuelo. Desactivar las líneas de "retroalimentación" que traza la trayectoria de tu dedo a medida lo desplazas por el patrón ayudó significativamente a reducir una intromisión potencial. Solo el 35 por ciento de los sujetos de prueba en línea podía identificar un patrón sin esas líneas. "Si estás usando un patrón y te gusta, desactivar esas líneas de retroalimentación te dará cierta protección", dice Aviv. Para ello, ve a Configuración > Bloquear pantalla y seguridad > Configuración de bloqueo y desactiva la opción Hacer patrón visible. (Las diferentes versiones y fabricantes de teléfonos Android requerirán pasos ligeramente diferentes.)

Hay bastantes razones más para no confiar en que un patrón mantenga tus secretos resguardados. Un estudio anterior (en el que la Academia Naval de Aviv también trabajó) encontró que la aleatoriedad de un patrón de desbloqueo es apenas equivalente a un código PIN de solo tres dígitos. Los investigadores han demostrado que pueden hacer a los patrones enormemente visibles con el software de reconocimiento de imágenes automatizado, basado en video grabado a decenas de metros de distancia, e incluso obtenerlos de forma bastante fiable de los rastros de manchas sobre la pantalla de un teléfono. Pero el estudio más reciente presenta evidencia de la vulnerabilidad del mecanismo de seguridad del método de ataque más sencillo y manual.

Por supuesto, el debate entre el PIN y patrón no es tan relevante como lo fue hace algunos. Hoy en día muchos usuarios de Android y la mayoría de los usuarios de iPhone desbloquean sus teléfonos con una huella digital, y pronto lo harán con reconocimiento facial. Sin embargo, los teléfonos inteligentes aun recurren con frecuencia a los PIN y patrones, cuando, por ejemplo, el teléfono se enciende por primera vez, o cuando un lector biométrico falla. Una gran cantidad de usuarios conscientes de la seguridad desactivan los medios biométricos para evitar ataques de falsificación o ser forzados a desbloquear sus teléfonos ante las autoridades; la Quinta Enmienda protege a veces a los estadounidenses que se niegan a ceder su PIN, pero no sus dedos o cara.

El estudio sobre intromisión de la Academia Naval e investigadores de Maryland demuestra cuán vulnerables son los PIN y especialmente los patrones a la forma menos tecnológica de hackeo que existe. La lección: Si usas un patrón, cambialo a un PIN de seis dígitos, o al menos desactiva las líneas de retroalimentación del patrón. Puede ser menos conveniente, pero el riesgo está latente por detrás de tu hombro con cada desbloqueo.

Artículos relacionados:

• 10 consejos para mantener nuestra seguridad en el celular
• Leyes de protección de datos personales en el mundo y la protección de datos biométricos Parte 1
• Password-Fu: Guía fácil para contraseñas realmente seguras