Android 17 y el PIN: los ataques por fuerza bruta chocan con un límite real

Android 17 complica al máximo el ataque por fuerza bruta al PIN
© A. Krivonosov

Android 17 ha reforzado de forma notable la protección de los smartphones frente a ataques por fuerza bruta, en los que delincuentes o herramientas especializadas prueban automáticamente distintos códigos PIN. Este escenario no se limita a ladrones tras robar un dispositivo; en algunos casos, también las fuerzas de seguridad usan métodos parecidos al intentar desbloquear teléfonos incautados. Ahora hay mucho menos margen para probar combinaciones.

En Android 16, el sistema permitía 10 intentos de PIN durante el primer minuto, 20 en los primeros seis minutos, 50 en 25 minutos, 110 en un día y hasta 1.800 intentos en cinco años. Ese límite a largo plazo era clave para las herramientas de fuerza bruta: con tiempo suficiente, podían comprobar una parte apreciable de las combinaciones populares de cuatro dígitos.

En Android 17, los límites son mucho más estrictos. Solo hay seis intentos durante el primer minuto, siete en seis minutos, ocho en 25 minutos, 12 en un día y apenas 19 intentos en cinco años. Tras 20 entradas incorrectas, el smartphone queda completamente bloqueado. Para el proceso automático de prueba, esto casi elimina el ataque: la herramienta alcanza enseguida el límite y ya no puede seguir.

Incluso un PIN de cuatro dígitos tiene 10.000 combinaciones posibles, pero con los nuevos retrasos y el techo duro de 20 errores, la fuerza bruta se vuelve prácticamente inútil. Google también trata con más cuidado los fallos normales del usuario: desde Android 16 QPR2, si alguien introduce varias veces seguidas el mismo PIN incorrecto, el sistema no lo cuenta como intentos separados. La pantalla de bloqueo muestra además mensajes más claros sobre intentos restantes y tiempos de espera.

Aun así, la nueva protección no sustituye las reglas básicas de seguridad. PIN débiles como 1234, 0000 o un año de nacimiento todavía pueden adivinarse en los primeros intentos, y el desbloqueo forzado por rostro o huella sigue siendo un riesgo aparte. La conclusión es sencilla: después de Android 17, un PIN largo e impredecible importa todavía más.