Les dejo esta importante guía para que en el caso de que les roben el celular no accedan a todas sus cuentas.
Con un celular desbloqueado, el ladrón podría acceder tus sistemas de pago, whatsapp, sitios web, obtener créditos a tu nombre, hacer compras, etc, etc.
La guía es extensa, pero aunque solo completen los primeros 1, 2 o 3 puntos estarán disminuyendo el riesgo en gran medida.
El viernes me robaron el celular desbloqueado en Palermo. Gracias a que estaba preparado para este escenario, no pudieron hacer absolutamente nada con el mismo (ni formatearlo). Van un par de recomendaciones simples que les evitarán un dolor de cabeza si algún día les sucede
1 - Activar la "Protección contra robo" de Android. Esta funcionalidad bloquea el teléfono ante la detección de un movimiento repentino, como lo es el arrebato en la calle. Esta fue la primer barrera que me protegió a mi. Se bloqueó al toque.
2 - Lo primero que hace un criminal si el celular está bloqueado es sacar el chip del teléfono, ponerlo en otro y empezar a resetear el acceso a distintas plataformas para ingresar en tus cuentas (Mercadopago, bancos, fintechs, crypto, etc). Es por esto que vamos a ponerle PIN a la tarjeta SIM. Este PIN se va a solicitar cada vez que se reinicie el teléfono y cuando pongan el chip en otro dispositivo.
ATENCIÓN al activar el PIN de la SIM: todas las tarjetas SIM traen un pin por defecto que suele ser 1234. Cuando vayan a configurarlo, les va a pedir el pin por defecto. Si ponen 1234 y les da error, NO prueben otra vez porque lo pueden bloquear, llamen a su empresa de telefonía celular y pídanlo. Luego cuando lo activen, presten mucha atención porque es fácil confundirse cuando te pide el PIN viejo y cuando el nuevo.
Si guardaron la tarjeta original que les dieron cuando compraron el celular, ahí tienen el PUK (Personal Unlock Code) que les sirve para desbloquear la SIM si algún día meten 3 veces mal el PIN.
4 - Activar "Find my Android" o "Samsung smart things find" con la funcionalidad de búsqueda por red extendida, la cual permite encontrarlo aunque le apaguen el WIFI y el 4G, si hay otros celulares cerca. Habiliten el remote lock y remote wipe. Esto les va a permitir no sólo encontrar donde está, sino bloquearlo o borrarlo remotamente.
5 - Compartan su ubicación en tiempo real siempre con alguien de confianza.Recuerden de memoria el teléfono de esta persona. Les va a servir para llamarla en una emergencia.
6 -A partir de Android 16 va a ser posible ponerle PIN y huella a las apps. Cuando esté disponible habría que hacerlo con todas las que tengan información sensible: bancos, fintechs, crypto, email, apps de fotos, whatsapp, telegram, apps de notas, etc.
Una alternativa es poner estas apps que nos pueden poner en riesgo dentro de laCarpeta segura de nuestros celulares Samsung.
También muchas apps traen la funcionalidad del bloqueo dentro de la misma. Habilítenselo a todas.WhatsApp y MercadoLibre la tienen.
7 - Para ver cuantas apps o secciones tienen desprotegidas hagan el ejercicio de desbloquear el celular y ver todo lo que va a poder acceder el criminal sin hacer uso de biometría. Saquen todos los datos sensibles que no puedan proteger. No pongan contraseñas o PINs en las apps de notas ni se las envíen a si mismos por whatsapp.
8 - No tengan instaladas apps que no necesitan usar a diario. Si tenés un exchange de criptomonedas con fondos relevantes, no es necesario tenerlo instalado. Es un potencial dolor de cabeza.
9 - Una excelente idea es agarrar un celular viejo y duplicar el suyo. Guárdenlo seguro con batería llena, en su casa y apagado. Clave es tener en ese celular logeado: tu email, tu telegram, tu app de 2FA, tu password manager, etc. De esta forma vas a poder recuperar el acceso a todo muchísimo más rápido.
10 - Pónganle huella a Whatsapp y Telegram y que se los pida cada vez que lo abran. Además ponganle 2FA PIN a ambos, de esta forma no les van a poder robar las cuentas e impersonarlos.
11 - No tengan su número de celular como número de recuperación de ninguna cuenta, esto es MUY peligroso. Sáquenlo de todos los lugares donde puedan y tengan claro donde no lo pueden sacar. Dato: de Mercadopago se puede sacar.
12 - Armense un doc con el listado de teléfonos a los que tienen que llamar si esto les sucede: para dar de baja el chip, para bloquear bancos, etc. Haganse un listado de las cuentas más importantes que tienen para poder en ese momento ordenarse de forma clara y con prioridades y empezar a cerrar las sesiones abiertas en ese dispositivo de forma remota.
Estos puntos a tener en cuenta son los más básicos pero les van a permitir estar un 95% seguros. Hay más cosas que se pueden hacer y que siempre vemos con nuestros clientes, pero que para la mayoría no son necesarias.
Por otro lado, es importante tener unincident response plan (un documento) que nos guíe paso a paso en qué hacer exactamente luego de un incidente de este tipo). Estoy armando algo al respecto para hacer público.
Recuerden que lo primordial es estar super atentos y tratar de NO tener el celular desbloqueado en la calle, en mi caso estaba usando whatsapp y me regalé, fueron 3 segundos, en el momento ya no podés pensar y es tarde.
Escrito por Pablo Sabbatella, Sec & Blockchain Security researcher, más modificaciones por mi parte para mayor comprensión., adaptación a members y actualizado con las sugerencias de los comentarios.
Fuente original:
