Hoy en día todos tenemos un smartphone, es más, seguramente abusemos de su uso, pasando más tiempo frente a su pantalla del que debiéramos, y si nos paramos un minuto a pensar, es curioso como ese pequeño dispositivo ha terminado almacenando cantidades ingentes de datos de nuestras vidas. En nuestro teléfono inteligente tenemos de todo, un batiburrillo de información que en conjunto si lo analizamos fríamente es una auténtica bomba de relojería.
Haciendo un resumen rápido:
- Tenemos fotos y videos personales, que independientemente a que nos muestren en pelotas tipo el celebgate: https://es.wikipedia.org/wiki/Filtraci%C3%B3n_de_fotograf%C3%ADas_de_celebridades_de_2014 o se puedan categorizar para todos los públicos, son “personales” y lógicamente no es de recibo que cualquiera pueda acceder a ello.
- Tenemos el acceso a nuestro dinero, ya sea a través de la aplicación del banco, o la correspondiente a otros métodos de pago (paypal, apple o google pay…), incluso podemos tener nuestra billetera de moneda digital (bitcoin, ether…) o una aplicación de gestión de inversiones con acceso a nuestras acciones.
- Tenemos nuestros datos, y en esta categoría cabe de todo, tanto a nivel personal como profesional. Hablo de correo electrónico, datos de salud, compras, documentos descargados, acceso a repositorios de información como Google Drive, Dropbox, OneDrive…
- Tenemos nuestras contraseñas, ya sea en el navegador web de turno, a nivel de sistema, o a través de una app específica.
- Tenemos el acceso a nuestro hogar si está digitalizado, o a nuestro automóvil conectado, podemos desde el smartphone encender y apagar luces, acceder a la alarma del hogar e incluso poner en marcha el aspirador.
- Tenemos nuestra identidad, así por ejemplo con la app de “Mi Carpeta Ciudadana” es posible hacer decenas de trámites con la Administración Pública, la app “miDGT” de facto es igual que llevar el carnet de conducir encima, y con la app Cl@ve o el certificado digital verificamos nuestra identidad frente al Estado. Pero es que además el smartphone suele ser el dispositivo que actúa como doble factor de autenticación para todo, confirmando nuestra identidad y acceso a innumerables y heterogéneos servicios: banco, servicios en la nube, vpn, etc…
Por tanto, no sé a vosotros, pero a mi me parece que el smartphone se ha convertido en un elemento súper crítico, y de hecho lo incluí como protagonista en una charla que recientemente preparé para la C1b3rWall 2022-2023: https://c1b3rwallacademy.usal.es/2022-2023/, de la cuál os hablaré por aquí cuando sea publicada.
Sea como fuere, y centrándonos en el título del artículo, la facilidad para hackear un smartphone puede resultar pasmosa, y voy a poner 2 ejemplos bastante curiosos:
El primero es personal, hace unos años mi mujer tenía un smartphone de gama alta, el caso es que por increíble que parezca, notamos que nuestra hija, que entonces rondaría los 2 años, era capaz de desbloquear el móvil. Por ponerlo en contexto, no somos de dar el móvil a los niños, ni de abusar de aplicaciones infantiles ni dibujos, simplemente la situación típica era que el móvil estaba tirado en el sofá, bloqueado, la pequeña lo cogía, lo tenía unos segundos, y al ir a quitárselo de las manos estaba desbloqueado por arte de magia. Una teoría es que fuese superdotada y hubiese sido capaz de aprenderse un código complejo de desbloqueo a esa edad, sin embargo la realidad fue mucho menos compleja y conseguí verla un par de veces en directo. Con el móvil en la mano, rápidamente movía los deditos de una esquina, zas, zas, zas y voilá, desbloqueado. He de reconocer que intenté replicarlo sin éxito varias veces, no sé si eran sus dedos, su modo de presión o el estilo concreto de movimiento, pero a ella le funcionaba, y claro está, le hacía gracia, por lo que lo repetía. Sé que este probablemente no es un ejemplo muy serio, pero francamente, a mi me resultó increíble como una peque de 2 años dejó indefenso un smartphone que nos costó una pasta.
El segundo ejemplo seguro que os va a molar mucho más, es ni más ni menos que de Raúl Siles: https://www.linkedin.com/in/raulsiles/, un crack. Os invito a ver el video completo porque realmente merece la pena:
Y si no tenéis tiempo a visualizarlo entero (guardadlo como pendiente para más adelante), podéis dirigiros al minuto 29:30 de la charla, dónde Raúl hace un directo de cómo hackear un Google Pixel utilizando una vulnerabilidad encontrada por David Schulz en la pantalla de bloqueo de Android.
Lo anterior además hay que ponerlo en el contexto de cómo la mayoría de fabricantes tienen poco mimo con el tema de actualizaciones y parches en este tipo de dispositivos, es decir, ahora mismo tu smartphone seguramente tiene vulnerabilidades y agujeros de seguridad similares al del anterior video, que son de sobra conocidos, también por los malos, pero que el fabricante de turno no ha querido corregir, o que si termina corrigiendo será en plazos de tiempo poco tolerables.
Echemos un vistazo rápido al escenario actual, por un lado está Apple, que da hasta 7 años de actualizaciones y parece tomárselo en serio (aunque no es menos cierto que hay vulnerabilidades que tarda en corregir más de la cuenta), y por otro Android, en el que cada fabricante tiene su política de actualizaciones específica, pero dónde en general superar los 2 años de actualizaciones es rara avis, y eso además únicamente para la gama alta de smartphone.
Poniéndolo en contexto, puede que compres un android top de 1000 euros, y siendo optimistas tendrás 2-3 años de actualizaciones, pero eso contando que lo hubieras comprado nada más salir del mercado, en caso contrario es tiempo a descontar. Pero es que además, las actualizaciones de seguridad que recibas en ese tiempo, pueden que te lleguen además con meses de retraso.
Ante el panorama desalentador, crucemos los dedos porque salga adelante la propuesto de ley Europea que tiene el objetivo que los fabricantes de smartphone garanticen 3 años de actualizaciones del Sistema, y 5 años de actualizaciones de Seguridad, y sobre todo, que una vez salga y se solucione una vulnerabilidad, el parche correspondiente llegue a nuestro dispositivo en un plazo inferior a 2 meses.
