Desde códigos de autenticación de dos factores hasta conversaciones y fotos, nuestros teléfonos contienen una tonelada de datos confidenciales en estos días. Confiamos en alfileres y biometría para la seguridad diaria, pero me estremezco al pensar qué pasaría si esos datos aterrizaran en las manos equivocadas. Y aunque Android es lo suficientemente seguro contra ataques remotos y malware en estos días, ¿qué pasa si me veo obligado a desbloquear mi teléfono y entregarlo? Grapheneos, la desvío Android centrada en la privacidad, ofrece una opción rara para esto hipotético: la capacidad de establecer un pin de coacción o una contraseña secundaria que limpie su dispositivo y no deja vestigio de su presencia.

He tenido un pin de coacción configurado en mi teléfono por un tiempo. Si adecuadamente no es poco que espero carecer, memorizar que está ahí me da tranquilidad. Y aunque no creo que Google agregue una función tan extrema como esta para juntar Android, definitivamente puedo ver un caso de uso para una implementación menos extrema. He aquí por qué.

La mayoría de los dispositivos lo bloquearán posteriormente de demasiados intentos de desbloqueo fallidos. Pero eso no significa que sus datos sean seguros: ¿qué pasa si se ve obligado a renunciar a su contraseña o el atacante adivina su PIN? Aquí es donde el pin de coacción de Grapheneos voltea la dinámica: le permite establecer un pin o contraseña alternativa que desencadena instantáneamente un reinicio de factoría silencioso e irreversible en segundo plano.

El pin de coacción no le brinda una segunda oportunidad y se activará en cualquier empleo donde ingrese: en la pantalla de separación, mientras habilita las opciones del desarrollador, o incluso mientras desbloquea una aplicación que solicita la autenticación. Y a diferencia de un reinicio de factoría regular, un PIN con coacción borrará todas las claves de criptográfico y la partición ESIM de su teléfono asimismo. Esto hace que sea increíble para un atacante penetrar a mis datos simplemente teniendo posesión física de su dispositivo y conocimiento del PIN.

Creo que la verdadera fuerza del pin de coacción de Grapheneos se encuentra en su sutileza. No hay indicaciones de confirmación, no hay anuncios, y no hay signos obvios de que el timbre fuera intencional de su parte. Por supuesto, Grapheneos ya no es un sistema activo insignificante en estos días, incluso ha atraído la ira de la aplicación de la ley en algunas jurisdicciones. En otras palabras, un atacante profesional podría ser consciente de la existencia de un pin coacción. Pero si puede ingresarlo lo suficientemente rápido, logra su impresión previsto: no se pueden alzar datos de su teléfono.

La idea de un pin de coacción suena como poco de una película de espías, pero ¿es verdaderamente necesario? La característica es ciertamente útil en escenarios marginales en los que sabría sobre un peligro inminente para los datos de mi teléfono.

Tome asaltaciones, por ejemplo. Si un atacante te obligó a desbloquear tu teléfono ayer de que saliera con él, podrías ingresar a tu PIN con coacción. Proporcionar un pasador de coacción podría significar la diferencia entre perder un dispositivo de $ 1,000 y drenarse sus cuentas bancarias o robar su identidad.

Incluso si no se ve obligado a divulgar el PIN usted mismo, leo una sugerencia interesante en el Foro Grapheneos: ¿Qué pasa si establece una secuencia extremadamente simple o obvia como su pasador con coacción? Un atacante admirador está obligado a probar alfileres como 1234 o 0000 cuando obtenga su dispositivo, y eso será suficiente para borrar el sistema para siempre, sin ninguna movimiento de su parte. Incluso puede memorizar una nota con el pin de coacción en la parte posterior de su dispositivo y alentarlos a ingresarlo.

Luego está el elefante en la habitación, usando un pin español si calma meterse en problemas con la policía. Este es un tema turbio hexaedro que borrar sus datos podría contar como obstrucción o incluso destrucción de evidencia. Entonces podría meterse en más problemas de los necesarios, si no tuvieras nulo que esconder. Creo que este final es un argumento de mala fe, ya que ignora la amenaza potencial y tangible de extralimitación. Aún así, no sé si usaría mi PIN con coacción si alguna vez me pidiera que desbloquee mi teléfono. Pero para los disidentes y activistas del gobierno, estoy seguro de que la característica puede ser invaluable si sabe que algún hostil está llamando a su puerta.

Una de las mayores ventajas de Android son su robusto soporte para múltiples usuarios. Coincidencia esta característica especialmente útil en tabletas, ya que generalmente son dispositivos compartidos. Cada sucesor en un hogar puede iniciar sesión en su propio perfil, con su propio conjunto de aplicaciones y datos. Pero venir a ese perfil actualmente requiere múltiples grifos en la mayoría de los dispositivos Android. Incluso en la tableta de píxeles, debe distinguir un perfil específico ayer de ingresar el pin de desbloqueo para ese sucesor. Pero, ¿y si ese no fuera el caso?

Grapheneos puede investigar cuándo ingresa un pasador de coacción para activar una higienización, entonces, ¿por qué detenerse allí? Imagine si Android podría registrarlo en un perfil de sucesor diferente en función del PIN que ha ingresado. En una situación en la que te vea obligado a desbloquear tu teléfono, puedes ingresar al PIN de señuelo. Esto abriría una interpretación aparentemente pragmático pero muy arenosa de su teléfono, ocultando sus aplicaciones bancarias, mensajes privados o cuentas de trabajo. Creo que se extiende a horcajadas en la límite entre entregar todo y la opción nuclear de Graphene de estafar el dispositivo por completo.

Por supuesto, necesitará más que este nivel de traición plausible si tiene algún problema severo. Pero para los puntos de control del aeropuerto donde se le pedirá que renuncie al camino a su dispositivo, un pin de señuelo podría ser suficiente para evitar el indagación. O si necesita un perfil de Stowaway para archivos y datos que no necesariamente desea en su perfil principal, un PIN secundario podría llevarlo allí.

La postura de la comunidad de Grapheneos en los pines de señuelo es que la redireccionamiento a un perfil secundario no es tan segura como activar un restablecimiento de dispositivo completo, que es la implementación contemporáneo del pin de coacción. Para un esquema que toma en serio la seguridad, simplemente iniciar sesión en un perfil diferente es solo una media medida.

¿Google adoptará una característica como el pin de coacción de Grapheneos? Es poco probable, pero en el banda positivo, el modo de separación incorporado de Android es un paso en la dirección correcta. En los Estados Unidos, los tribunales han dictaminado que puede encontrarse obligado a proporcionar una huella digital, pero no una contraseña. Al deshabilitar la biometría, el modo de separación de Android proporciona cierta protección contra la coerción procesal. Si eso no es suficiente para usted, Grapheneos podría ser la respuesta.