No hay una regla de oro cuando se trata de lo que es más fácil de hackear, hay múltiples factores que deben tenerse en cuenta: configuración de software, configuración de hardware, quién es el usuario y qué tan seguro sabe él o ella, etc.
Para comprender mejor esto, exploremos algunos vectores de ataque:
Acceso físico:
- ¿Qué está haciendo el equipo de desarrollo de Quora para acelerar la aplicación móvil?
- ¿Por qué los repartidores de mensajería toman nuestro número de teléfono móvil después de firmar en el periódico?
- ¿Cómo funcionan los bolígrafos inteligentes (S-Pen, Apple Pencil, etc.)?
- ¿Cuál es el mejor móvil cuando tienes un presupuesto limitado?
- ¿Cuáles son los diferentes tipos de micrófonos?
- (Para dispositivos móviles) supongamos que tenemos acceso al teléfono móvil, ¿está bloqueado? ¿Podemos adivinar la contraseña?
- (Para Laptop) digamos que tenemos acceso a la laptop, ¿está bloqueada? ¿Podemos arrancarlo usando Live CD? (en otras palabras, ¿tiene cifrado de disco completo?)
- (Para dispositivos móviles), digamos que tenemos acceso al teléfono móvil, ¿hay alguna vulnerabilidad de hardware (por ejemplo, USB) que podamos usar para rootearlo?
- (Para Laptop) digamos que tenemos acceso a la laptop, ¿hay alguna vulnerabilidad de hardware (por ejemplo, USB) que podamos usar para explotar y ejecutar código en ella?
etc.
Acceso a la red:
- (Para dispositivos móviles), digamos que estamos en el mismo Wi-Fi que el dispositivo móvil, ¿podemos realizar un ataque Man-in-the-middle (MITM) en cualquier aplicación que nos permita ejecutar un código remoto? ¿Secuestrar una actualización?
- (Para computadora portátil) digamos que estamos en la misma Wi-Fi / LAN que la computadora portátil, ¿está ejecutando algún servicio que podamos conectar y explotar? (por ejemplo, SMB, HTTPD, FTPD, etc.)
- (Para dispositivos móviles) supongamos que conocemos el número de dispositivo móvil, ¿podemos usarlo para aprovechar una vulnerabilidad en el sistema operativo móvil (por ejemplo, enviar un SMS creado con fines malintencionados que explote una vulnerabilidad)?
- (Para computadora portátil) digamos que estamos en el mismo Wi-Fi / LAN que la computadora portátil, ¿podemos forzar un nombre de usuario y contraseña legítimos? (por ejemplo, SSH, Escritorio remoto, etc.)
etc.
Ingeniería social:
- (Para dispositivos móviles) ¿podemos decir que podemos enviarle al propietario un mensaje de texto / SMS con un enlace a una aplicación maliciosa? ¿Él o ella hará clic e lo instalará?
- (Para computadora portátil) ¿podemos decir que podemos enviarle al propietario un correo electrónico con un enlace a un sitio web malicioso? ¿Él o ella hará clic y buscará?
- (Para dispositivos móviles / portátiles), digamos que podemos llamar al propietario y pretender ser del proveedor de servicios celulares / departamento de TI. de su compañía, etc. ¿Nos creerá cuando le pidamos que cambie la configuración, como agregar nuestro servidor malicioso como VPN? O proxy?
etc.
Para concluir, hay demasiadas variables para decir de antemano que es más fácil de hackear. Cuantas más preguntas surjan, más superficie de ataque descubrirás. Dicho esto, no garantiza que ninguno de ellos funcione.