Dado que nadie ha intentado resolverlo, pensé que podría hacerlo, con la esperanza de que beneficie a las personas que hagan una pregunta similar o relacionada, o que estimule más discusiones.
La respuesta corta es sí, tendrás la mejor oportunidad de recuperar tu cuenta de Google de un hacker/ladrón de teléfonos si tienes un correo de recuperación y un número de teléfono de recuperación que no estén asociados (no estén, no se puedan acceder, etc.) con tu dispositivo Android robado.
La respuesta anterior se basa en partes del flujo de recuperación de Google, la información que Google ha publicado (https://support.google.com/accounts/answer/7299973?hl=es), y especulaciones. ¿Por qué especulaciones? Porque parece que el flujo de recuperación es bastante complejo y no está completamente documentado, y no he probado todos los posibles caminos en el flujo de trabajo.
Observaciones sobre el flujo de trabajo de recuperación de Google / asegurando el dispositivo de forma remota:
-
"Asegurar dispositivo" en la página web de encontrar Android bloquea el dispositivo por PIN inmediatamente cuando el dispositivo responde. Puedes hacer esto silenciosamente sin darle a la página web un texto o un número de teléfono, y silenciando la notificación "Encontrar dispositivo" de Google Play de antemano. O puedes hacer que el bloqueo sea obvio dándole un texto y un número de teléfono (lo que permitirá a la persona con el teléfono llamarte al número con el teléfono).
-
"Asegurar dispositivo" no elimina inmediatamente la autenticación predeterminada de Google de 2FA (no probé cuánto tiempo tomó), y lo que es más importante, no eliminó inmediatamente la clave de paso forzada de la cuenta de Google en el dispositivo: tomó aproximadamente 5 minutos una vez que el dispositivo se bloqueó.
-
Si la persona todavía puede responder a la solicitud de Google y el teléfono de recuperación es el dispositivo en sí mismo, la persona podrá hacerse cargo de tu cuenta de Google, pero necesitas ambos factores para esto.
-
Si la persona tiene tu PIN, también tiene tu clave de paso de Google, y podrá hacerse cargo de tu cuenta de Google sin otros factores más allá de tener tu teléfono.
-
Entonces, incluso si has "asegurado" tu dispositivo, hay una ventana (en mi caso, 5 minutos) en la que la persona podrá tomar capturas de pantalla, cambiar suficiente información de tu cuenta (cambiar contraseña, quitar/añadir claves de paso, quitar/cambiar autenticador TOTP) para a) dificultarte seriamente la recuperación de tu cuenta b) [especulación] podrían recuperar la cuenta con el teléfono de recuperación y la información asociada con tu cuenta que han descargado o cambiado, incluso después de que hayas "recuperado" tu cuenta.
-
En todo el flujo de trabajo de recuperación que probé, Google siempre solicitó 2 piezas de información variadas, nunca solo una. Las informaciones que se me solicitó fueron el código enviado al teléfono de recuperación, el código enviado al correo de Google, el código enviado al correo de recuperación, el código de autenticador TOTP y el código de recuperación de 2FA.
-
Las piezas de información más seguras que la persona no puede cambiar asociadas con tus cuentas de Google son a) teléfono de recuperación b) correo de recuperación y c) tus contraseñas anteriores. El teléfono de recuperación y el correo están mostrados en la cuenta y pueden ser cambiados, pero Google "promete" que incluso después de los cambios, los antiguos serán utilizables durante una semana. Las contraseñas anteriores no se muestran.
-
Google recomienda que para poder recuperar tu cuenta, debes tener tu teléfono de recuperación, correo de recuperación y códigos de respaldo de 2FA, aunque la interfaz de usuario no exige que tu número de teléfono no sea el mismo que tu teléfono principal/único de Google. ¿Permite el mismo correo de Google y el correo de recuperación? No lo sé porque no probé, y siempre han sido diferentes los míos.
-
Tus códigos de recuperación de respaldo de 2FA pueden regenerarse. No está claro si los antiguos seguirían funcionando. No tiene sentido que lo hagan, pero quién sabe.
-
Recuerda que si tienen tu PIN y tu teléfono, virtualmente tienen biometría para probar a las diferentes aplicaciones en tu teléfono. A menos que utilices una autenticación basada en PIN/contraseña para bloquear tu autenticador TOTP, podrían tener tus códigos/secretos TOTP también.
Por lo tanto, debes tener un número de teléfono de recuperación y un correo de recuperación que no se pueda acceder en tu dispositivo Android de Google. Si solo los usas para recuperación y similares, y sus accesos no se roban junto con tu teléfono y PIN, entonces siempre tendrás 2 factores para demostrar definitivamente a Google que eres tú.
Si alguien te roba el teléfono con PIN, quieres borrarlo de forma remota, deshabilitando/recuperando el número de teléfono principal según sea necesario, y verificar/restablecer la seguridad de tu cuenta (contraseña, 2FA, claves de paso, configuraciones de correo, acceso a aplicaciones, etc.). De hecho, quizás quieras hacer esto incluso antes de informar a la autoridad.
En cuanto a las recomendaciones de Google de:
- el teléfono debería utilizarse regularmente
- el teléfono debería estar contigo
- el teléfono debería pertenecerte exclusivamente
Quieres un uso regular para asegurarte de que aún funcione. El teléfono debería estar contigo porque solo tienes una semana para recuperar tu cuenta con el teléfono si el hacker cambia tu número de recuperación. El teléfono debería pertenecerte exclusivamente debido a la seguridad y porque Google probablemente envía notificaciones de actualización de la cuenta a él, así que sería molesto para otra persona.
Tener tus claves de paso protegidas por los dos factores (tener el teléfono y saber el PIN) me parece mal. No dejaría las claves de paso de Google en mi teléfono si tuviera la elección. Este problema será el mismo para otras claves de paso que dejes que la plataforma de Android proteja.
