Calvin Wankhede / Autoridad de Android
Desde códigos de autenticación de dos factores hasta conversaciones y fotos, nuestros teléfonos contienen una gran cantidad de datos confidenciales en estos días. Dependemos de los PIN y la biometría para la seguridad diaria, pero me estremezco al pensar qué pasaría si esos datos cayeran en las manos equivocadas. Y aunque hoy en día Android es lo suficientemente seguro contra ataques remotos y malware, ¿qué pasa si me veo obligado a desbloquear mi teléfono y entregárselo? GrapheneOS, la bifurcación de Android centrada en la privacidad, ofrece una solución poco común a esta hipótesis: la capacidad de establecer un PIN de coacción o una contraseña secundaria que borre su dispositivo y no deje rastro de su presencia.
Hace un tiempo que tengo un PIN de coacción configurado en mi teléfono. Si bien no es algo que espero necesitar alguna vez, saber que está ahí me da tranquilidad. Y aunque no creo que Google agregue una característica tan extrema como esta a Android, definitivamente puedo ver un caso de uso para una implementación menos extrema. He aquí por qué.
Calvin Wankhede / Autoridad de Android
La mayoría de los dispositivos te bloquearán después de demasiados intentos fallidos de desbloqueo. Pero eso no significa que sus datos estén seguros: ¿qué pasa si se ve obligado a revelar su contraseña o el atacante adivina su PIN? Aquí es donde el PIN de coacción de GrapheneOS cambia la dinámica: le permite establecer un PIN o contraseña alternativa que activa instantáneamente un restablecimiento de fábrica silencioso e irreversible en segundo plano.
El PIN de coacción no le brinda una segunda oportunidad y se activará en cualquier lugar donde lo ingrese: en la pantalla de bloqueo, mientras habilita las opciones de desarrollador o incluso mientras desbloquea una aplicación que solicita autenticación. Y a diferencia de un restablecimiento de fábrica normal, un PIN de coacción borrará todas las claves de cifrado y también la partición eSIM de su teléfono. Esto hace imposible que un atacante acceda a mis datos con solo tener posesión física de su dispositivo y conocer el PIN.
Creo que la verdadera fortaleza del PIN de coacción de GrapheneOS radica en su sutileza. No hay mensajes de confirmación, ni anuncios, ni señales obvias de que la eliminación fue intencional de su parte. Por supuesto, GrapheneOS ya no es un sistema operativo marginal en estos días; incluso ha atraído la ira de las autoridades en algunas jurisdicciones. En otras palabras, un atacante profesional podría ser consciente de la existencia de un PIN de coacción. Pero si puede ingresarlo lo suficientemente rápido, logrará el efecto deseado: no se podrán extraer datos de su teléfono.
Por qué uso un PIN de coacción
Mishaal Rahman / Autoridad de Android
Lea también:Cómo activar el Pin 2024 de ebtedge.com: Selección de PIN de EBT
UI de pantalla de entrada de PIN de pantalla de bloqueo antigua versus nueva en Android
La idea de un PIN de coacción parece sacada de una película de espías, pero ¿es realmente necesario? Es cierto que la función sólo es útil en escenarios marginales en los que sabría sobre un riesgo inminente para los datos de mi teléfono.
Tomemos como ejemplo el atraco. Si un atacante lo obligó a desbloquear su teléfono antes de huir con él, podría ingresar su PIN de coacción. Proporcionar un PIN de coacción podría significar la diferencia entre perder un dispositivo de $1,000 y que sus cuentas bancarias se vacíen o le roben su identidad.
Un PIN de coacción es útil para todos, no sólo para aquellos que tienen algo que ocultar.
Incluso si no estás obligado a divulgar el PIN tú mismo, leí una sugerencia interesante en el foro de GrapheneOS: ¿qué pasa si estableces una secuencia extremadamente simple u obvia como tu PIN de coacción? Un atacante aficionado seguramente probará PIN como 1234 o 0000 cuando consiga su dispositivo, y eso será suficiente para borrar el sistema para siempre, sin ninguna acción de su parte. Incluso podrías pegar una nota con el PIN de coacción en la parte posterior de tu dispositivo y animarlos a ingresarlo.
Luego está el elefante en la habitación: usar un PIN de coacción si espera tener problemas con las autoridades. Este es un tema turbio dado que borrar sus datos podría considerarse obstrucción o incluso destrucción de evidencia. Por lo que podrías meterte en más problemas de los necesarios, si no tuvieras nada que ocultar. Creo que este último es un argumento de mala fe, ya que ignora la amenaza potencial y tangible de extralimitación. Aún así, no sé si usaría mi PIN de coacción si alguna vez la policía me pidiera que desbloqueara mi teléfono. Pero para los disidentes y activistas del gobierno, estoy seguro de que la función puede ser invaluable si saben que alguien hostil está llamando a su puerta.
Lo que Android podría aprender del PIN de coacción de Graphene
Andy Walker / Autoridad de Android
Una de las mayores ventajas de Android es su sólido soporte para múltiples usuarios. Esta función me parece especialmente útil en tabletas, ya que normalmente son dispositivos compartidos. Cada usuario de un hogar puede iniciar sesión en su propio perfil, con su propio conjunto de aplicaciones y datos. Pero acceder a ese perfil actualmente requiere varios toques en la mayoría de los dispositivos Android. Incluso en la tableta Pixel, debes seleccionar un perfil específico antes de ingresar el PIN de desbloqueo para ese usuario. Pero ¿y si ese no fuera el caso?
GrapheneOS puede reconocer cuándo ingresas un PIN de coacción para activar un borrado, entonces, ¿por qué detenerte ahí? Imagínese si Android pudiera iniciar sesión en un perfil de usuario diferente según el PIN que ingresó. En una situación en la que se vea obligado a desbloquear su teléfono, puede ingresar el PIN señuelo. Esto abriría una versión aparentemente funcional pero fuertemente protegida de su teléfono, ocultando sus aplicaciones bancarias, mensajes privados o cuentas de trabajo. Creo que está a caballo entre entregarlo todo y la opción nuclear del grafeno de borrar el dispositivo por completo.
Es posible que Android nunca adopte el PIN de coacción, pero ¿qué pasa con un señuelo?
Por supuesto, necesitará más que este nivel de negación plausible si se mete en algún problema grave. Pero en los puntos de control de los aeropuertos donde se le puede pedir que ceda el acceso a su dispositivo, un PIN señuelo podría ser suficiente para evitar el escrutinio. O si necesita un perfil polizón para archivos y datos que no necesariamente desea en su perfil principal, un PIN secundario podría llevarlo allí.
La postura de la comunidad GrapheneOS sobre los PIN señuelo es que redirigir a un perfil secundario no es tan seguro como activar un reinicio completo del dispositivo, que es la implementación actual del PIN de coacción. Para un proyecto que se toma en serio la seguridad, simplemente iniciar sesión en un perfil diferente es sólo una medida a medias.
¿Google alguna vez adoptará una función como el PIN de coacción de GrapheneOS? Es poco probable, pero en el lado positivo, el modo de bloqueo integrado de Android es un paso en la dirección correcta. En Estados Unidos, los tribunales han dictaminado que se le puede obligar a proporcionar una huella digital, pero no una contraseña. Al desactivar la biometría, el modo Lockdown de Android proporciona cierta protección contra la coerción legal. Si eso no es suficiente para usted, GrapheneOS podría ser la respuesta.
Gracias por ser parte de nuestra comunidad. Lea nuestra Política de comentarios antes de publicar.
