{"id":27395,"date":"2024-05-29T23:00:12","date_gmt":"2024-05-30T05:00:12","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=27395"},"modified":"2024-05-29T23:00:12","modified_gmt":"2024-05-30T05:00:12","slug":"prevent-android-keylogging-and-ime-spying","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/prevent-android-keylogging-and-ime-spying\/27395\/","title":{"rendered":"\u00bfQu\u00e9 le dice el teclado de tu Android a los desconocidos?"},"content":{"rendered":"

\u201cLos piratas inform\u00e1ticos pueden espiar cada pulsaci\u00f3n de tecla de los tel\u00e9fonos inteligentes Honor, OPPO, Samsung, Vivo y Xiaomi a trav\u00e9s de Internet\u201d: titulares alarmantes como este han estado circulando en los medios de comunicaci\u00f3n durante las \u00faltimas semanas. Su origen fue un estudio bastante importante sobre las vulnerabilidades en el cifrado del tr\u00e1fico del teclado<\/a>. Los atacantes que pueden observar el tr\u00e1fico de red, por ejemplo, a trav\u00e9s de un enrutador dom\u00e9stico infectado<\/a>, pueden interceptar cada pulsaci\u00f3n de tecla y descubrir todas tus contrase\u00f1as y secretos. Pero no te apresures a cambiar tu Android por un iPhone todav\u00eda: esto solo afecta a la entrada del idioma chino mediante el sistema Pinyin, y solo si la funci\u00f3n de \u201cpredicci\u00f3n en la nube\u201d est\u00e1 activada. Sin embargo, pensamos que valdr\u00eda la pena investigar la situaci\u00f3n con otros idiomas y teclados de otros fabricantes.<\/p>\n

Por qu\u00e9 muchos teclados Pinyin son vulnerables a las escuchas<\/h2>\n

El sistema de escritura Pinyin<\/a>, tambi\u00e9n conocido como alfabeto fon\u00e9tico chino, ayuda a los usuarios a escribir palabras chinas usando diacr\u00edticos y el alfabeto latino. Es el sistema oficial de romanizaci\u00f3n del idioma chino, adoptado por la ONU entre otros. Dibujar caracteres chinos en un tel\u00e9fono inteligente es bastante inc\u00f3modo, por lo que el m\u00e9todo de entrada Pinyin es muy popular y lo utilizan m\u00e1s de mil\u00a0millones de personas, seg\u00fan algunas estimaciones. A diferencia de muchos otros idiomas, la predicci\u00f3n de palabras en chino, especialmente en Pinyin, es dif\u00edcil de implementar directamente en un tel\u00e9fono inteligente: es una tarea compleja desde el punto de vista inform\u00e1tico. Por eso, casi todos los teclados (o, para ser m\u00e1s exactos, m\u00e9todos de entrada [IME]) utilizan la \u201cpredicci\u00f3n en la nube\u201d, lo que significa que env\u00edan de forma instant\u00e1nea los caracteres Pinyin introducidos por el usuario a un servidor y reciben a cambio sugerencias de palabras completas. A veces se puede desactivar la funci\u00f3n \u201cnube\u201d, pero esto reduce la velocidad y la calidad de la entrada en chino.<\/p>\n

\"Para<\/a>

Para predecir el texto introducido en Pinyin, el teclado env\u00eda datos al servidor.<\/p><\/div>\n

Por supuesto, los desarrolladores del teclado pueden acceder a todos los caracteres que escribas gracias al sistema de \u201cpredicci\u00f3n en la nube\u201d. Y eso no es todo. El intercambio de datos car\u00e1cter por car\u00e1cter requiere un cifrado especial, que muchos desarrolladores no implementan correctamente. Como resultado, los intrusos pueden descifrar f\u00e1cilmente todas las pulsaciones de teclas y las predicciones correspondientes.<\/p>\n

Puedes encontrar detalles sobre cada uno de los errores que se detectaron en la fuente original<\/a>, pero en general, de los nueve teclados analizados, solo el IME Pinyin de los tel\u00e9fonos inteligentes Huawei hab\u00eda implementado correctamente el cifrado TLS y hab\u00eda resistido los ataques. Sin embargo, se descubri\u00f3 que los IME de Baidu, Honor, iFlytek, OPPO, Samsung, Tencent, Vivo y Xiaomi eran vulnerables en distintas medidas, y que el teclado Pinyin est\u00e1ndar de Honor (Baidu 3.1) y el Pinyin de QQ no se actualizaban incluso despu\u00e9s de que los investigadores se pusieran en contacto con los desarrolladores. Se recomienda a los usuarios de Pinyin que actualicen su IME a la \u00faltima versi\u00f3n y, si no hay actualizaciones disponibles, que descarguen otro IME Pinyin.<\/p>\n

\u00bfEnv\u00edan otros teclados pulsaciones de teclas?<\/h2>\n

No existe una necesidad t\u00e9cnica directa para ello. En la mayor\u00eda de los idiomas, las terminaciones de palabras y frases pueden predecirse de forma directa en el dispositivo, por lo que los teclados m\u00e1s populares no requieren la transferencia de datos car\u00e1cter por car\u00e1cter. No obstante, los datos sobre el texto introducido pueden enviarse al servidor para la sincronizaci\u00f3n del diccionario personal entre dispositivos, para el aprendizaje autom\u00e1tico o para otros fines no relacionados directamente con la funci\u00f3n principal del teclado, como el an\u00e1lisis publicitario.<\/p>\n

Ya sea que quieras que esos datos se almacenen en los servidores de Google y Microsoft, es una cuesti\u00f3n de elecci\u00f3n personal, pero es poco probable que alguien est\u00e9 interesado en compartirlos con personas desconocidas. Al menos uno de estos incidentes se hizo p\u00fablico en 2016: se descubri\u00f3 que el teclado SwiftKey predec\u00eda direcciones de correo electr\u00f3nico<\/a> y otras entradas personales del diccionario de otros usuarios. Despu\u00e9s del incidente, Microsoft desactiv\u00f3 temporalmente el servicio de sincronizaci\u00f3n, supuestamente para solucionar los errores. Si no quieres que tu diccionario personal se almacene en los servidores de Microsoft, no crees una cuenta de SwiftKey y, si ya tienes una, desact\u00edvala y elimina los datos almacenados en la nube siguiendo estas instrucciones<\/a>.<\/p>\n

No ha habido otros casos conocidos de filtraci\u00f3n de texto mecanografiado. Sin embargo, la investigaci\u00f3n ha demostrado que los teclados m\u00e1s populares supervisan activamente los metadatos mientras escribes. Por ejemplo, Gboard de Google y SwiftKey de Microsoft env\u00edan datos sobre cada palabra introducida<\/a>: idioma, longitud de la palabra, la hora exacta de entrada y la aplicaci\u00f3n en la que se introdujo la palabra. SwiftKey tambi\u00e9n env\u00eda estad\u00edsticas sobre el ahorro de esfuerzo: cu\u00e1ntas palabras se han escrito completas, cu\u00e1ntas se han predicho autom\u00e1ticamente y cu\u00e1ntas se han deslizado. Si tenemos en cuenta que ambos teclados env\u00edan a la \u201ccentral\u201d el ID publicitario \u00fanico del usuario, esto supone una gran oportunidad para la elaboraci\u00f3n de perfiles, por ejemplo, es posible determinar los usuarios que mantienen correspondencia entre s\u00ed en cualquier<\/strong> servicio de mensajer\u00eda instant\u00e1nea.<\/p>\n

Si creas una cuenta de SwiftKey y no desactivas la opci\u00f3n \u201cHelp Microsoft improve\u201d, entonces, seg\u00fan la pol\u00edtica de privacidad, \u201cpeque\u00f1as muestras\u201d del texto escrito pueden enviarse al servidor. Se desconoce c\u00f3mo funciona y el tama\u00f1o de estas \u201cpeque\u00f1as muestras\u201d.<\/p>\n

\"Help Microsoft improve\"\u2026 \u00bfA qu\u00e9? \u00bfA recolectar tus datos?<\/a>

\u201cHelp Microsoft improve\u201d\u2026 \u00bfA qu\u00e9? \u00bfA recolectar tus datos?<\/p><\/div>\n

Google permite desactivar la opci\u00f3n \u201cShare Usage Statistics\u201d en Gboard, lo que reduce de forma considerable la cantidad de informaci\u00f3n que se transmite: ya no se incluye la longitud de las palabras ni las aplicaciones en las que se ha utilizado el teclado.<\/p>\n

Desactivar la opci\u00f3n \"Share Usage Statistics \" en Gboard reduce de forma considerable la cantidad de informaci\u00f3n recolectada.<\/a>

Desactivar la opci\u00f3n \u201cShare Usage Statistics \u201d en Gboard reduce de forma considerable la cantidad de informaci\u00f3n recolectada.<\/p><\/div>\n

En t\u00e9rminos de criptograf\u00eda, el intercambio de datos en Gboard y SwiftKey no gener\u00f3 ninguna preocupaci\u00f3n entre los investigadores, ya que ambas aplicaciones se basan en la implementaci\u00f3n de TLS est\u00e1ndar en el sistema operativo y son resistentes a los ataques criptogr\u00e1ficos comunes. Por lo tanto, es poco probable que se intercepte el tr\u00e1fico en estas aplicaciones.<\/p>\n

Adem\u00e1s de Gboard y SwiftKey, los autores tambi\u00e9n analizaron la popular aplicaci\u00f3n AnySoftKeyboard. El teclado est\u00e1 a la altura de su reputaci\u00f3n como teclado de los fan\u00e1ticos de la privacidad, ya que no env\u00eda ning\u00fan tipo de telemetr\u00eda a los servidores.<\/p>\n

\u00bfEs posible que las contrase\u00f1as y otros datos confidenciales se filtren desde un tel\u00e9fono inteligente?<\/h2>\n

Una aplicaci\u00f3n no tiene que ser un teclado para interceptar datos confidenciales. Por ejemplo, TikTok supervisa todos los datos<\/a> que se copian en el portapapeles, aunque esta funci\u00f3n no es necesaria para una red social. El malware en Android a menudo activa las funciones de accesibilidad y los derechos de administrador<\/a> en los tel\u00e9fonos inteligentes para capturar datos de los campos de entrada y directamente de los archivos de las aplicaciones \u201cinteresantes\u201d.<\/p>\n

Por otro lado, un teclado de Android puede \u201cfiltrar\u201d no solo el texto escrito. Por ejemplo, el teclado AI.Type caus\u00f3 una filtraci\u00f3n de datos de 31\u00a0millones de usuarios<\/a>. Por alguna raz\u00f3n, recolectaba datos como n\u00fameros de tel\u00e9fono, geolocalizaciones exactas e incluso el contenido de las agendas de direcciones.<\/p>\n

C\u00f3mo protegerte del espionaje del teclado y de los campos de entrada<\/h2>\n