iOS Content & Privacy Restrictions: Cómo fortificar tu iPhone contra un ataque de robo de Passcode

Se dice que se produce un Ataque de Rubber-Hose en criptografía cuando la clave que protege la seguridad de un sistema es sacada con coacción, extorsión o violencia. Es decir, cuando se saca el passcode del iPhone a una persona a punta de arma blanca, a puñetazos o con la extorsión de hacer daño de alguna manera a esa persona.

Para evitar estos ataques se ha desarrollado toda una industria de sistemas de autenticación basados en hábitos o habilidades aprendidas que no pueden ser robados vía “puñetazos en la nariz“, como son la firma manuscrita biométrica que usamos hace años en SmartID, la resolución de un cubo de Rubik – como hicimos nosotros con Rubika -, o tocar la guitarra al Guitar Hero. Al final, si no hay una contraseña que quitar mejor que mejor. 

Figura 2: Presentación de Rubika en OpenExpo Europe 2019

El caso de los terminales iPhone, con la protección de AppleID, ha generado que estos ataques de “Rubber-Hose” se hayan extendido, haciendo que los ladrones soliciten el Passcode del terminal iPhone para poder controlar todo lo que hay en el terminal. Y por eso Apple ha ido metiendo más y más protecciones para que el auténtico dueño del terminal pueda fortificar su dispositivo contra robos de passcode.

Figura 3: Libro de Hacking iOS:iPhone & iPad (2ª Edicón) en 0xWord de Chema Alonso, Ioseba Palop, Pablo González y Alejandro Ramos entre otros.

Por ejemplo, para que una persona pueda ver solo lo que tú quieres cuando le dejas “un momento” el iPhone, creo el “Acceso Guiado”, y para evitar que las “Hidden Photos” puedan ser localizadas, permite ocultar la carpeta en el carrete de photos, y proteger su acceso, ahora, con FaceID. O la opción de utilizar la Mesh Networks de Apple para poder localizar el tu iPhone apagado en modo “Lost”.

Pero hay muchas más cosas que ya puedes proteger en iPhone gracias a las opciones de “Content & Privacy Restrictions” en iOS, que permiten poder una segunda contraseña para activar y desactivar lo que se puede hacer y lo que no se puede hacer, incluso, con el conocimiento del passcode. 

Estas “Content & Privacy Restrictions” están pensadas como un Control Parental o de seguridad extra, especialmente para que un tutor legal controle lo que la persona que utiliza el terminal puede realizar o no realizar sobre él. 

Así, si un menor, o una persona mayor, o alguien con algún problema de asistencia, está siendo tutorizado por su tutor, su padre o su asistente, éste podrá restringir funciones en el terminal con una nueva Contraseña de Restricciones o Screen Time Passcode. Esto se hace desde la opción de “Settings -> Screen Time -> Setup Screen Time Passcode“. 

Cuando vayas a configurar este “Screen Time Passcode” la primera vez, te pedirá que te autentique con tu AppleID, porque si tuvieras algún problema, podrías recuperar este código desde tu cuenta de Apple usando la web. Y porque esta cuenta puede ser un AppleID totalmente distinto al que está configurado en el terminal iOS. 

Hay que tener en cuenta que este AppleID debe ser el del tutor legal del iPhone, o el que cuida ese terminal remotamente. Pero también puede ser tu AppleID para tener otra segunda contraseña de protección de opciones en tu dispositivo.

Entre otras cosas se puede restringir el contenido que se puede utilizar, las apps que están disponibles, o si se puede cambiar o no la opción de configuración de la cuenta de AppleID. Así, si alguien roba el passcode del terminal, o lo conoce por cualquier medio – incluso un ataque de Rubber-Hose -, cuando vaya a utilizar en el futuro el terminal verá que está restringido.

Entre otras cosas, se puede restringir el acceso a la Wallet de pagos del terminal, o el cambio de la cuenta de Apple ID, o el contenido que se puede visualizar en el dispositivo. Por supuesto, la gracia es tú puedes gestionar esas dos contraseñas – El Passcode y el Código de Restricción – y si en una situación de emergencia te vieras obligado a dar el Passcode o lo perdieras por un robo de “Shoulder Surffing“, tendrías aún un bastión de seguridad con la Contraseña de Restricciones.

Así que, si quieres fortificar un poco más tu terminal iPhone, basta con que te vayas a la opción de “Screen Time Passcode“, configures una “Contraseña de Restricciones”, y luego en las opciones de “Content & Privacy Restriccitions” decidas qué vas a meter dentro de ese bastión de seguridad para el que hacer falta un segundo código de acceso.

Así, con el Passcode, el FaceID – que también podría robarse vía ataque Rubber-Hose – y la Contraseña de Restricciones, puedes dejar un terminal iOS (iPhone & iPad) mucho más fortificado para cualquier situación no deseada.

Por supuesto, esta es  una opción perfecta para evitar problemas con menores, padres y personas con necesidad de asistencia, pero hemos visto que puedes usarlo también para tener un terminal bastionado por capas, aplicando seguridad perimetral al terminal con el Passcode & FaceID, protegiendo las apps con seguridad individualizada por app – como en el caso de la Hidden Folder – y usando este “Screen Time Password” como una segunda password para cosas más delicadas en el core del sistema iOS.

¡Saludos Malignos!