El pasado 13 de diciembre Cali fue sede de la inducción a los gobernantes electos que se posicionarán el próximo año, reunión a la que asistió el presidente Gustavo Petro. Durante la clausura del evento, Petro hizo un llamado al Ministerio de las TIC para integrar una función que destruya los celulares en caso de robo. 

Petro explicó: “hay programas que tiene el mismo celular que se vende. Que, una vez denunciado su hurto, se autodestruye irreversiblemente. No físicamente, programáticamente.” Mauricio Lizcano, ministro de las TIC, afirmó que la propuesta del presidente es totalmente viable. Incluso, no es necesario crear una aplicación o función nueva. 

Te puede interesar: SIC ordena retirar ocho modelos de celulares Motorola del mercado ¿cuáles son los teléfonos afectados?

Lizcano habló entonces de Kill Switch, un software respaldado por un switch que, al presionarlo, desconecta el programa o dispositivo con el que esté vinculado en este caso, los celulares. No es como que el celular vaya a explotar en caso de oprimir el botón, sino que quedará obsoleto en cuanto a funciones operativas, en pocas palabras: inservible. 

“Eso quitaría el estímulo en un gran porcentaje, porque igual quedan partes físicas que se pueden vender, pero el estímulo de robarse un celular porque se va a vender de nuevo para que vuelva a ejercer operación se puede quitar perfectamente”, enfatizó Petro durante su intervención en el seminario realizado en Cali.

Este software llegaría en forma de app que, se espera, puedan descargar los usuarios a través de las tiendas de aplicaciones autorizadas y/o como una app preinstalada en los nuevos teléfonos. Sin embargo, esto hace parte aún de iniciativas que se están gestando. Habrá que esperar si esta propuesta pasa el umbral y se pone en marcha para el próximo año.

Imagen: Kindel Media vía Pexels

Es así como están llamados a ser el nuevo medio de pago, y por lo tanto cada vez más vemos la llegada de diferentes servicios de pagos móviles, como es el caso de Aval Pay. Sin embargo, una de las preocupaciones al implementar nuevas tecnologías tiene que ver con la seguridad de las transacciones a través de medios de pagos no tradicionales. A continuación, presentamos algunas razones y medidas para hacer que los pagos móviles sean más seguros que los pagos con tarjeta.

La ‘tokenización’ en los pagos móviles

Usar el celular para hacer pagos móviles es más seguro que usar la tarjeta de crédito o débito, debido al proceso de tokenización. Este proceso asegura que en ningún momento se conozca los datos de la tarjeta de crédito o débito del usuario durante determinada transacción. Para esto, la aplicación debe conocer de antemano los datos de estas tarjetas y haberlos almacenado de manera segura.

Gracias a la tokenización, a la hora de hacer un pago, nunca se hará uso de datos o números sensibles del usuario, y en cambio se generará un número aleatorio, que se vencerá en tres minutos si no es usado, para una única transacción. De esta forma, se protege la identidad del usuario y sus datos no quedan expuestos. Esto previene la clonación de las tarjetas de crédito y disminuye el riesgo de robo de identidad.

La seguridad de los smartphones

A diferencia de una tarjeta de crédito, que si es robada puede ser usada por cualquier persona antes de que esta sea bloqueada, los smartphones tienen mayores medidas de seguridad, que deben ser configuradas previamente por los usuarios.

En primer lugar, es importante que el smartphone tenga configurado un método de bloqueo como un código PIN, un patrón de desbloqueo o una huella digital, si es compatible con esta tecnología. Además, muchos de los sistemas tienen algo conocido como bloqueo y desactivación remota o ‘kill switch’, que hace que el equipo quede completamente inservible si este es robado. De esta forma, si el celular es hurtado, la persona que tiene en su poder el equipo no podrá acceder a ninguno de los datos dentro del equipo.

Adicionalmente, es importante que el usuarios utilice la red de datos de su equipo o una red Wi-Fi segura (es decir, no abierta ni pública) a la hora de hacer cualquier transacción, no solo de pagos, sino de consultas en establecimientos bancarios, correo electrónico, entre otros.

En los pagos móviles no hay riesgo de clonación

Los datos almacenados dentro de aplicaciones de pagos móviles como Aval Pay están cifrados y por lo tanto es imposible para un tercero acceder a ellos. Además, durante la transacción, gracias al proceso de tokenización y a que en ningún momento hay contacto con el lector de banda magnética del datáfono del establecimiento de comercio, no será posible hacer una clonación de la tarjeta.

Si se siguen todas las medidas básicas de seguridad antes mencionadas, los usuarios verán que los pagos móviles serán su mejor herramienta para adquirir bienes y servicios de manera segura y confiable. Desde ya pueden descargar Aval Pay desde la Google Play Store o la App Store de Apple.

Imagen: frescomovie (vía Shutterstock).

Un reporte de 9to5mac deja de manifiesto que la seguridad del Apple Watch en caso de robo es muy inferior a la de los iPhone, iPad o iPod Touch. El medio descubrió que es muy fácil reiniciar un reloj sin necesidad de introducir algún Passcode o contraseña, lo que le permitiría a un ladrón borrar su contenido rápidamente y revenderlo con impunidad.

El método, como lo pueden ver en este video, solo requiere de dos toques y no exige alguna autenticación para ser usado. La única condición es ejecutarlo cuando el reloj esté adosado a un cargador.

Los dispositivos móviles de Apple, hasta ahora, se habían caracterizado por tener una de las mejores herramientas contra el robo: se pueden bloquear remotamente, y su restablecimiento solo es posible si el usuario introduce su contraseña o Passcode. Ese modelo, en líneas generales, fue imitado por otros fabricantes y, aunque depende de que el equipo se conecte a una red de datos, tiene el mérito de que disminuye en buena medida la posibilidad de revender un iPhone robado. Por eso sorprende que Apple no hubiera implementado algo parecido en su reloj.

En la práctica, eso significa que los relojes de Apple se pueden robar y dejar como nuevos. Y con precios de reventa que superan los 500 dólares en eBay, el Apple Watch se está convirtiendo en un gran negocio para los ladrones. La empresa de la manzana podría solucionar esto con una actualización, pero hasta ahora no se ha pronunciado al respecto.

Imagen: ENTER.CO.

Ocurrió con los IMEI, con las protecciones anticopia del software y los discos, incluso con la seguridad de las cuentas bancarias y las tarjetas de crédito. Es posible que estas protecciones sirvan mientras los criminales descubren cómo romperlas. Pero cuando eso ocurre, no hay vuelta atrás.

Que se pueda ir a prisión por vulnerarlas tampoco parece disuadir a los ladrones. Cambiar un IMEI para evitar que un equipo sea detectado por la ‘lista negra’ es delito y da al menos seis años de cárcel, pero se sigue haciendo a la luz del día.

A pesar de esto, hay ideas serias para intentar atajar el robo de celulares. La solución ideal, al menos para los legisladores del estado de California –como reporta Tom’s Hardware–, es un bloqueo del celular que tiene tres características: al activarse, debe hacer que el dispositivo no pueda ser usado nuevamente; debe persistir aun cuando se haga un ‘hard reset’ o un reinicio total del equipo; y solo debe poder ser levantado por el usuario legítimo del dispositivo.

Tal bloqueo será obligatorio para los equipos que se vendan en ese estado desde junio de este año. Se espera que, en la práctica, esto haga que la mayoría de celulares que se vendan en el mundo tengan una herramienta que cumpla con esas condiciones: tiene poco sentido implementarlas solo en un mercado tan específico, y de hecho muchos fabricantes ya tienen sus propios ‘kill switches’.

Hay dos tipos de herramientas de este tipo: las basadas en software y las basadas en hardware. Son esfuerzos loables, pero ninguno de ellos está cerca de ser una solución definitiva.

El mensaje que no llega

Las soluciones de software se basan en dos premisas: ayudar a localizar el equipo e impedir el robo de información. La mayoría de las soluciones que preinstalan los fabricantes permiten ubicarlo en un mapa o bloquearlo remotamente desde un sitio web. Apple tiene algo así desde el sitio web de iCloud, igual que Sony con MyXperia y Samsung con una opción llamada Dive. De hecho, todos los equipos con Android 5.1 tendrán una opción parecida.

Estas opciones, sin embargo, parecen mejor pensadas para cuando el celular se pierde: un ladrón puede neutralizarlas fácilmente. Si se desconecta el equipo de la red celular y del Wi-Fi –sacándole la SIM, activando el ‘modo avión’ o poniéndolo dentro de una nevera– antes de que el usuario las active, los bloqueos no van a funcionar. Si el delincuente logra hacerle un reinicio completo en ese lapso, el equipo va a quedar desbloqueado y listo para que le cambien el IMEI.

Los usuarios pueden retrasar un poco este proceso poniéndole una clave de acceso, o usando opciones como la que ofrece Samsung, que pide que el usuario acceda a su cuenta del fabricante cada vez que se reinicia el equipo. Pero casi siempre es posible hacerle un ‘hard reset’ a un celular sin encenderlo –y eso que no estamos hablando de ‘hackeos’ u otros atajos informáticos, que quizás podrían permitir saltarse estas medidas–.

Basta poner el celular en ‘modo avión’. O en una nevera

Por eso, algunos se rinden a la hora de recuperar los equipos. “Más que hablar de proteger el dispositivo, debemos enfocarnos en la protección de la información y los datos que están guardados en ellos. Los equipos se pueden reemplazar, la información muchas veces no”, aseguró a ENTER.CO Sebastián Brenner, especialista en ciberseguridad de Symantec en Latinoamérica.

Las soluciones para móviles ofrecidas por empresas de seguridad no solo tienen las usuales opciones de ubicación y bloqueo remoto, sino también se enfocan en intentar evitar las fugas y las pérdidas de información. La de Symantec, por ejemplo, ofrece respaldo de los contactos y otros datos, y la de Kaspersky respalda la información del equipo y permite usarlo como ‘espía’, activando la cámara y el micrófono.

Como nos dijo Dmitry Bestuzhev, director del grupo de investigación y análisis de Kaspersky Latinoamérica, “si los criminales supieran que la mayoría de personas usan software de protección de datos y rastreo del equipo, perderían el ánimo”. Esa, al menos, es la esperanza –y el argumento de ventas– de estas firmas de seguridad.

Pero al final, el problema es el mismo. Muchas de esas opciones dependen de que el celular esté conectado a la red de datos. Además, concentrarse en proteger la información no ayuda a solucionar el problema principal: robar celulares es buen negocio.

Este celular no se autodestruirá

Quizás estas herramientas hagan que ‘rehabilitar’ un celular robado sea un poco más difícil. Pero parece claro que no se puede confiar en una solución basada solo en software: al final, con un cambio de chips el celular queda como nuevo. Como le dijo a Fortune Robert Siciliano, experto de seguridad de McAfee, “cualquiera que sea el ‘kill switch’ que se implemente, será ‘hackeable’ y convertido en algo inútil por cualquier persona malintencionada”.

Muchos fantasean con que un celular reportado como robado le explote en las manos al ladrón. Así, dicen, no solo pierde valor en el mercado negro, sino también se castiga físicamente a los criminales: de nuevo, justicia callejera.

¿Hay que explicar por qué es mala idea? Sería un inmenso problema de seguridad pública que todo el mundo tuviera una bomba en el bolsillo. Puede activarse por accidente, o por un tercero malintencionado para herir el dueño legítimo del equipo, o incluso usarse como un arma.

Pero, si dejamos de lado el factor venganza, la idea detrás de esto es la misma que está detrás de la ‘lista negra’: los celulares robados deberían quedar inservibles. Los problemas de las bases de datos sugieren que la solución es buscar una manera en la que el hardware se autodestruya si el equipo es robado.

¿Celulares bomba? No, gracias

El problema es que esto no se puede hacer sin romper una de las condiciones que exponíamos arriba. Una medida así supone que el usuario está dispuesto a perder su celular si se lo roban; impone una especie de ‘si no es para mí, no es para nadie’. En Colombia, la cosa quizás ya funcione así, pero en otros países la posibilidad de recuperar un equipo robado es más alta. En Estados Unidos, por ejemplo, se recuperan más de la mitad, según Consumer Reports.

Esa es la principal razón por la que, por ahora, los celulares no tendrán un botón de autodestrucción: esa opción no tiene sentido en los principales mercados, donde la gente puede recuperar su celular más fácilmente. Quedan, entonces, las soluciones intermedias, que combinan lo que funciona en los dos mundos.

Qualcomm, el principal fabricante de chips para celulares en el mundo está apostando por una de ellas: un ‘kill switch’ verificado por medio del hardware del teléfono. Ellos dicen que “eso hace que los potenciales ataques (tanto el bloqueo malicioso de equipos como el desbloqueo de equipos robados) sea menos posible”.

La herramienta, según Qualcomm, puede desactivar los chips del equipo hasta que llegue una orden de desbloqueo, y funciona incluso si se intentan cambiar componentes internos del celular robado. El problema es que la herramienta solo está en los contados equipos de gama alta que tienen el chipset Snapdragon 810; el más reciente, poderoso y costoso SoC de la compañía –y criticado por sus problemas de sobrecalentamiento, lo que habría hecho que Samsung no lo incluyera en el S6 y que otros fabricantes consideren otras opciones–. Pero si desbloquear un celular robado es difícil y costoso, hurtarlo ya no es tan buen negocio. Quizás ese sea el camino para una mejor solución.

O quizás no. Probablemente, debamos aprender a vivir con el problema. Como nos dijo Bestuzhev, “para acabar con el robo, los fabricantes deberían hacer que el costo del dispositivo sea el más bajo posible”. Y eso no va a pasar.

Imágenes: captura de pantalla y Aniwhite (vía Shutterstock).

SafeSwitch podría ser mucho más útil que las soluciones de software actuales, debido a que estaría basada en el hardware. El sistema se puede activar desde el inicio del teléfono, antes que el firmware y el software, y permitiría asignar una contraseña de manera remota, borrar y recuperar los datos, así como localizar o bloquear un dispositivo perdido o robado. Adicionalmente, de acuerdo con la compañía, esta vez los smartphones si quedarían inservibles para ser reactivados.

Por el momento Qualcomm no ha anunciado a qué otros procesadores llegará SafeSwitch, pero suponemos que toda la nueva gama debería tenerlo. Por el momento, el único smartphone con Snapdragon 810 es el LG G Flex 2, que todavía no ha llegado al mercado.

Por ahora no hay más información de cómo funcionará la plataforma de Qualcomm, pero el anuncio es una gran noticia para la industria: el robo de celulares es uno de los grandes problemas que tenemos los usuarios de smartphones.

Imagen: Pavel Ignatov (vía Shutterstock).

Nueva York no es la única; en San Francisco los robos han bajado un 38% y en Londres un 24%. Eric Schneiderman, vocero del departamento de justicia de la gran manzana, entregó las cifras, cuya reducción coincide con la presentación del sistema que permite a los usuarios de iPhone desactivar de forma remota sus celulares.

Por desgracia, el efecto ha rebotado de forma negativa en otros desarrolladores, o al menos en sus clientes. El informe también señala que el robo de dispositivos Samsung se ha incrementado. Para Schneiderman esa información sugiere que “los criminales han aprendido a tener como objetivo celulares sin un sistema de desactivación remota”.

Según señala BBC, Google y Microsoft ya tienen planes de implementar la misma tecnología en sus sistemas operativos.

Imagen: Janitors (vía: Flickr).

A mediados de la semana pasada la noticia más sonora alrededor de Android fue el ataque de una aplicación de malware llamada DroiDream, el más extendido en la corta historia de la plataforma móvil de Google, que se descubrió en 58 aplicaciones y alcanzó a afectar a cerca de 260.000 usuarios de teléfonos móviles, aunque se cree que no alcanzó a haber robos de información personal. El propósito de DroiDream era construir una botnet. Con esto, los dispositivos infectados de virus serían controlados remotamente, especialmente, para aquellos ataques con objetivos de envío de mensajes con spam.

Un par de días después, Google respondió con algunas medidas para no perder la confianza en su Android Market como principal alternativa frente a la App Store de Apple, tales como eliminar las aplicaciones de su tienda y la expulsión de la comunidad de desarrolladores a los autores del malware.

Además, una más drástica: que destruiría de forma remota las aplicaciones maliciosas instaladas en los móviles, sin necesidad de que los usuarios hagan nada para ‘limpiar’ sus equipos. Algo que ya está operando y para lo que Google solo necesita que los dueños de teléfonos con Android los mantengan prendidos y con una conexión estable a Internet.

Los usuarios de Android que hayan descargado alguna aplicación con malware solo se darán cuenta del cambio cuando quieran ejecutarla y no la encuentren, o cuando reciban, en el curso de los 3 días siguientes al borrado remoto, una notificación por parte de Google en la que se les explique la situación.

Al denominado ‘kill switch’ –o ‘interruptor de la muerte’– se suma que Google ha reparado las vulnerabilidades que estas aplicaciones estaban aprovechando del Android Market y del sistema operativo.

En su Google Mobile Blog, la compañía explicó detalles de la situación y agregó: “Estamos agregando una serie de medidas para ayudar a prevenir que se distribuyan a través del Android Market otras aplicaciones maliciosas que aprovechen vulnerabilidades, y estamos trabajando con nuestros socios para proporcionar la solución para los problemas de seguridad subyacentes”.

La buena noticia de esto: Google seguirá trabajando por incrementar la seguridad de Android y su tienda de aplicaciones. La mala: que los cambios grandes de seguridad llegarán después del ‘parche’ inicial, probablemente con una nueva versión del sistema operativo, y si algo no ha caracterizado a Android –y a sus aliados, los fabricantes de teléfonos– es la agilidad y la disponibilidad de las actualizaciones.

Estas son algunas de las aplicaciones con malware (si usted instaló alguna de ellas en su dispositivo Android, probablemente en estos momentos ya Google la debe haber eliminado):

• Falling Down
• Super Guitar Solo
• Super History Eraser
• Photo Editor
• Super Ringtone Maker
• Super Sex Positions
• Hot Sexy Videos
• Chess
• 下坠滚球_Falldown
• Hilton Sex Sound
• Screaming Sexy Japanese Girls
• Falling Ball Dodge
• Scientific Calculator
• Dice Roller
• 躲避弹球
• Advanced Currency Converter
• APP Uninstaller
• 几何战机_PewPew
• Funny Paint
• Spider Man
• 蜘蛛侠

El ‘botón de la muerte’, nada nuevo.

La función denominada ‘kill switch’ estaba reservada para casos excepcionales, y el de este fin de semana fue uno de ellos. Sin embargo, se estrenó mucho antes: a mediados de 2010 se usó para eliminar un par de aplicaciones engañosas, que no alcanzaban a ser malware pero que no hacían lo que prometían. Justamente habían sido creadas para probar qué tan vulnerable era la tienda de Android ante software engañoso y malware. Un vocero de Google dijo en su momento que “esperamos no tener que utilizarla. Sabemos que tenemos esta capacidad para actuar en nombre de los usuarios si es necesario”. Y fue necesario antes de lo que se habría querido.

Para fortuna de Google, el ‘kill switch’ no ha sido mal recibido por la crítica. Tal vez porque esa batalla entre las firmas que deben defender la seguridad de sus plataformas y las de sus usuarios, y quienes se rasgaban las vestiduras ante el poder del dueño de una plataforma de borrar lo que está incluido en los dispositivos ya la debieron dar otros. En 2008, cuando un desarrollador descubrió en iOS una línea de código que indicaba su existencia, Steve Jobs dio la cara ante los medios y señaló que el ‘kill switch’ era una precaución, en lugar de una función que sería usada de manera rutinaria. “Ojalá no tengamos que presionar el botón, pero sería irresponsable no tener un botón para presionar de ser necesario”, dijo.

También Amazon debió soportar fuertes críticas cuando eliminó algunos libros ‘pirateados’ de los Kindles de algunos de sus usuarios, y fue tildado de ‘Gran Hermano’ y de asumir medidas orwellianas. Microsoft, igualmente, tiene un ‘kill switch’ para casos extremos en su plataforma Windows Phone 7.

¿Quién debe tener el poder de apagar sectores de Internet? Según el reciente Índice de Seguridad de Unisys (ingés), el 61% de los estadounidenses apoya una ley que le da a Barack Obama o al presidente de turno el poder de apagar sectores de Internet como medida ante un ataque cibernético.

Los resultados del estudio muestran que el público está más consciente de los ataques del terrorismo después del gusano Stuxnet que atacó a Irán y el atentado fallido a Times Square en Nueva York.

La ley, propuesta por el senador Joseph Lieberman (inglés), le daría al gobierno la potestad para usar el ‘Kill Switch’, una herramienta que apagaría sectores de Internet sin tener en cuenta los daños generados, en caso de un ataque contra Estados Unidos.

“Una mayoría de la población estadounidense está dispuesta a otorgarle la autoridad al presidente para cortar el acceso a Internet y, de este modo, proteger tanto los bienes de Estados Unidos como a los ciudadanos, lo cual sugiere que el público está tomando la guerra cibernética muy en serio”, dice en el informe Patricia Titus, vicepresidente y directora de seguridad de Unisys.

“Nuestra encuesta muestra que el público estadounidense reconoce el peligro de un ataque cibernético y desea que el gobierno federal adopte un rol activo para extender la defensa cibernética de la nación. Dependerá de los funcionarios de todas las ramas del gobierno federal responder a esta llamada y ponerse en acción de manera moderada y bien planificada”, agrega.

La iniciativa no ha caído muy bien en el sector privado. Para poder cortar el acceso a Internet es necesario que muchas empresas privadas cedan control de sus operaciones el gobierno. Sin embargo, Joseph Lieberman ha defendido su proyecto de ley mencionado que la seguridad económica y nacional son la prioridad.