Si utilizas un código PIN para mantener seguro tu iPhone, deberías saber que de seguro tiene bien poco. Al menos, si está cerca de un GrayKey, un dispositivo diseñado específicamente para ‘cargarse’ la seguridad de los teléfonos inteligentes de Apple. Básicamente, lo que hace es evitar que entre en funcionamiento el sistema de protección contra ataques de fuerza bruta. Es decir, evitar que iOS ‘paralice’ los intentos de introducción de código PIN cada un determinado número de fallos. Y así, un iPhone se puede hackear en 6 minutos.
Ahora ya sabemos cuánto tiempo tarda un GrayKey en encontrar el código PIN válido de cualquier iPhone. En el caso de un dispositivo protegido por un código de 4 dígitos, el tiempo necesario es de tan solo 6.5 minutos de media, mientras que en el peor de los casos demorará hasta 13 minutos. Si el PIN es de 6 dígitos, sin embargo, tardará 11.1 horas de media y, si se demora al máximo, tan solo 22.2 horas. Con –hipotéticos- códigos de 8 ó 10 dígitos es cuando empieza a extenderse la cosa: requeriría 46 días encontrar el primero, y 4,629 días ‘adivinar’ un código con 10 dígitos.
Guide to iOS estimated passcode cracking times (assumes random decimal passcode + an exploit that breaks SEP throttling):— Matthew Green (@matthew_d_green) April 16, 2018
4 digits: ~13min worst (~6.5avg)
6 digits: ~22.2hrs worst (~11.1avg)
8 digits: ~92.5days worst (~46avg)
10 digits: ~9259days worst (~4629avg)
La forma más segura de proteger tu iPhone no es un código PIN numérico, sino una contraseña alfanumérica
Aunque tengas Touch ID o Face ID, su seguridad sirve de absolutamente nada si la alternativa es un código de cuatro o seis dígitos, como se puede ver en los datos anteriores. La clave está en usar un método más complejo que resista en mayor medida, o durante más tiempo, a un ataque de fuerza bruta como los que puede ejecutar este dispositivo. Los iPhone nos dan la opción de configurar un PIN de 4 ó 6 dígitos por defecto, o bien un código personalizado, o como última opción una contraseña alfanumérica. Esto es lo que deberíamos elegir.
De esta manera un GrayKey requerirá mucho más tiempo para encontrar la combinación correcta, de tal modo que no sea interesante atacarlo, porque tendría que estar años intentando combinaciones. Saltándose el sistema de bloqueo de intentos fallidos, encontrar un código de cuatro o seis dígitos, para una máquina de este tipo, es realmente sencillo y apenas lleva algunos minutos.