Guia Dispositivos Moviles BYOD

Dispositivos móviles personales
para uso profesional (BYOD)

Una guía de aproximación para el empresario
Dispositivos móviles personales
para uso profesional (BYOD)
Una guía de aproximación para el empresario
INCIBE_PTE_AproxEmpresario_008_BYOD-2017-v1
Índice
1 INTRODUCCIÓN 3
2 RIESGOS DE SEGURIDAD 5
2.1 Pérdida, robo o destrucción de dispositivos.........................................................................5
2.2 Robo de credenciales..................................................................................................................6
2.3 Pérdida información...................................................................................................................6
2.4 Conexión a redes inseguras......................................................................................................7
2.5 Geoposicionamiento...................................................................................................................7
2.6 Usuarios.........................................................................................................................................8
3 MEDIDAS DE SEGURIDAD 10
3.1 Protección de la información..................................................................................................11
3.1.1 Aplicaciones instaladas.............................................................................................11
3.1.2 Almacenamiento en la nube....................................................................................12
3.1.3 Copias de seguridad...................................................................................................13
3.1.4 Cifrado de dispositivos..............................................................................................14
3.2 Configuración de los dispositivos..........................................................................................14

3.2.1 Medidas técnicas de configuración........................................................................14
3.2.2 Localización remota...................................................................................................15
3.2.3 Geolocalización...........................................................................................................16
3.3 Protección de conexiones a redes externas........................................................................16

3.3.1 Redes wifi......................................................................................................................16
3.3.2 Redes Privadas Virtuales o VPN..............................................................................17
4 POLÍTICA DE USO 18
5 SOLUCIONES EN EL CATÁLOGO 20
6 REFERENCIAS 21
1 Introducción
La proliferación de dispositivos móviles y la mejora en el ancho de banda de las
conexiones inalámbricas a internet, han impactado de manera muy significativa
en la forma de trabajar de las empresas y sus empleados, permitiendo «trabajar
desde cualquier lugar». Cada vez es más frecuente que una empresa se apoye
en estas soluciones tecnológicas para facilitar y promover el acceso a la informa-
ción y a los recursos corporativos en múltiples situaciones:
Los empleados acceden desde casa o cuando están de viaje al correo

corporativo mediante sus dispositivos móviles como portátiles,
smartphones, tabletas, etc.
El equipo comercial dispone de acceso a las propuestas económicas a

través de sus tabletas o portátiles y pueden revisar el historial comercial
de cualquier cliente al momento.
El teletrabajo se ve facilitado por estos sistemas. Incluso en organiza-

ciones pequeñas, poder acceder remotamente a un contrato, una pro-
puesta económica o un documento almacenado en un servidor corpo-
rativo es una necesidad cada vez mayor.
El hecho de trabajar con dispositivos móviles conlleva una serie de riesgos

importantes para la seguridad de las empresas, como por ejemplo:
pérdida o robo de información
el mal uso que se pueda hacer de los dispositivos
robo de dispositivos
robo de credenciales
utilización de sistemas de conexión no seguros, etc.
En este contexto, existe un modo de trabajar denominado BYOD (por sus

iniciales en inglés, Bring Your Own Device). Ésta se caracteriza por el hecho de
permitir a los empleados la incorporación de sus dispositivos móviles
personales (portátiles, smartphones, tabletas) a las redes corporativas des-
de su casa, la propia oficina o cualquier otro lugar, aceptando su uso com-
partido, tanto para las tareas profesionales de uso corporativo como para las
personales de los empleados.
La utilización de dispositivos móviles personales para uso profesional, pro-

porciona muchas ventajas para la empresa y para el empleado, entre ellas:
reducción de costes y ahorro en inversión de dispositivos
reducción de costes en desplazamientos
aumento en la productividad y en el rendimiento de trabajo del empleado
mayor satisfacción y flexibilidad de los empleados que hace que aumen-

te su compromiso con la empresa
eficiencia en el servicio al gestionarlo en tiempo real
3 Dispositivos móviles personales para uso profesional (BYOD): una guía de aproximación para el empresario
1 Introducción
Tenemos que tener en cuenta la complejidad de este nuevo esce-

nario de trabajo. Ya que tenemos unos dispositivos personales que
pueden acceder a la información y a los recursos de la empresa y, a
la vez, estar utilizando la red corporativa para usos privados.
En estos dispositivos personales, no existe un control sobre las apli-

caciones que utiliza el usuario para uso privado, no hay una separa-
ción entre la información personal y profesional dentro del disposi-
tivo, etc.
Los riesgos anteriormente citados referentes al uso de dispositivos

móviles en general, se acentúan cuando se trata del uso de los dispo-
sitivos personales del empleado.
Por todo esto, debemos establecer políticas y mecanismos ade-

“Debemos cuados de seguridad para los dispositivos móviles personales
que permitan su gestión. Se deben establecer políticas internas
establecer que implanten configuraciones de seguridad específicas, y adapten
los dispositivos personales a las medidas de seguridad corporativas
políticas y ya existentes en la empresa (para los dispositivos móviles de uso
profesional). No basta con que el dispositivo esté personalizado y
mecanismos securizado según las preferencias personales del usuario, sino que
debe cumplir una serie de requisitos que hagan su uso compatible
adecuados de con las políticas de seguridad de la empresa.
seguridad para Además, debemos de dotar a la empresa de los mecanismos de
los dispositivos gestión necesarios para el cumplimiento y seguimiento de las po-
líticas de seguridad establecidas, comprobando que se hace un uso
móviles correcto y seguro de estos dispositivos.
personales.” Pero sin duda alguna, uno de los puntos fundamentales es involu-
crar y concienciar al usuario de estos dispositivos en su uso correc-
to. Sin su colaboración, el resto de medidas de seguridad no van a
ser efectivas.
2 Riesgos de seguridad
Hoy en día, es cada vez más habitual que nuestras empresas se preparen para encarar los
riesgos existentes en los lugares de trabajo. ¿Quién no aplica en su empresa alguna medida
destinada a proteger la información que almacena? ¿Quién, por ejemplo, no tiene instalado
un antivirus o accede a sus equipos utilizando una contraseña?
Sin embargo, ¿hemos tenido en cuenta los riesgos de seguridad que se derivan de la utili-
zación de los dispositivos móviles personales para uso profesional [1] y las tecnologías
de conexión remota que utilizan?
La mayor parte de estos riesgos, son compartidos con los riesgos que supone la utilización
los dispositivos móviles corporativos: pérdida o robo de los dispositivos o de la información
almacenada, utilización de sistemas de conexión no seguros, etc.
Pero hay riesgos inherentes a los dispositivos de uso personal utilizados en entorno em-
presarial que debemos de considerar:
La instalación de aplicaciones personales que podrían comprometer la confidenciali-

dad de información de la empresa.
Riesgos derivados de coexistir en un mismo dispositivo:
aplicaciones de uso personal y corporativo

acceso a datos personales y corporativos
conexión a redes corporativas y a redes externas inseguras.
A continuación, vamos a detallar los principales riesgos derivados del uso de los dispositi-
vos móviles en el entorno corporativo, incidiendo en los que son específicos de los dispo-
sitivos personales.
2.1 Pérdida, robo o destrucción

de dispositivos
Los dispositivos móviles son cada vez más ligeros y pequeños, lo que hace que se pierdan
más fácilmente. Además, cada vez son más potentes, con más prestaciones y más caros, lo
que los hace ser objetivo de los delincuentes.
La desaparición o destrucción de uno de estos dispositivos, no sólo acarrea la pérdida

económica de su valor. Con los dispositivos gestionamos información que tiene valor para
nuestra empresa y por tanto también supone la pérdida de la misma, y del uso fraudulento
que de ella puedan hacer si llega a manos de terceros.
Los dispositivos móviles personales para uso profesional tienen más posibilidades de sufrir
uno de estos incidentes ya que, al mezclar el uso corporativo con el personal, se extiende
su utilización fuera del ámbito empresarial. Se hace uso de ellos en situaciones y sitios po-
tencialmente más inseguros como zonas de ocio, actividades deportivas, manipulaciones
por parte de niños, etc.
2.2 Robo de credenciales

La utilización de los dispositivos personales para uso corporativo en
lugares fuera de la oficina como hoteles, medios de transporte, esta-
ciones de trenes o aeropuertos, bares, restaurantes, etc. o la propia
casa del empleado, los hace especialmente sensibles al posible robo
de sus credenciales de acceso.
Cualquier descuido como:
abandonar el equipo sin bloquear la sesión de usuario
tener apuntada una contraseña a la vista de los demás en un

papel, post-it, etc.
teclear la contraseña a la vista de los demás
tener memorizadas las contraseñas de las aplicaciones que utilizamos

“Los dispositivos puede llevar a que se produzca el robo de nuestras credenciales de
personales son usuario, y a que un usuario no autorizado pueda acceder a los
recursos de nuestra empresa.
sensibles al
La utilización de estos dispositivos en situaciones fuera del entorno
posible robo de empresarial y la relajación en la aplicación de las normas básicas de
sus credenciales seguridad, hace que sea más sencillo que se produzca un robo de cre-
denciales. Por ejemplo, podemos eliminar temporalmente la contrase-
de acceso dada ña de acceso a nuestro smartphone para que nuestro hijo juegue con él,
y olvidarnos restituirla.
su movilidad.”
2.3 Pérdida información

Aunque el dispositivo esté personalizado con unas medidas de segu-
ridad adecuadas para su uso privado, esto no significa que cumpla
las medidas de seguridad que se necesitan en el entorno corporativo
para garantizar la integridad de los datos que gestiona.
Esta falta de seguridad y el mal uso (intencionado o no) que se haga de

estos dispositivos, puede llevar a comprometer la información que con-
tienen los dispositivos o, incluso, a perderla de forma definitiva.
Perder información confidencial como la base de datos de clientes y

proveedores, los ficheros de contabilidad de la empresa, las tarifas u
ofertas presentadas a nuestros clientes, etc., podría desembocar en
una fuga de información con su publicación, con consecuencias
graves como:
pérdida de clientes
deterioro de la imagen y la reputación de la empresa
pérdida de posicionamiento en el mercado o frente a la competencia
sanciones económicas
2.4 Conexión a redes

inseguras
Habrá situaciones en las que el empleado deba conectar a la red
los dispositivos móviles fuera de la protección que brindan las redes
privadas del entorno laboral. Ya sea por ahorro en la tarifa de datos,
por no tener cobertura, por no disponer de cobertura 3G o 4G, es
habitual utilizar redes públicas abiertas o poco seguras para el inter-
cambio de correo electrónico corporativo o acceder a aplicaciones
de la empresa.
Este tipo de redes podemos encontrarlas como servicio de cortesía

en bares, restaurantes, hoteles, aeropuertos, etc. Debemos descon-
fiar de estas redes ya que no sabemos quién puede estar detrás de
ellas o quien las administra. Antes de utilizarlas, debemos informar-
nos cuál es el nombre de la red (SSID) y si está debidamente protegi-
da para que nos podamos conectar con un mínimo de confianza. Hay
“Debemos casos en los que los ciberdelincuentes crean una red wifi en zonas
públicas con nombres similares al del lugar donde se encuentran con
desconfiar de las el objetivo de capturar conexiones y recopilar información.
redes públicas ya
que no sabemos A veces, el usuario piensa que conectarse a este tipo de re-
des para tareas que no necesitan una seguridad considerable
quién está detras (como leer el periódico) no conlleva riegos. Sin embargo, en
los dispositivos móviles las aplicaciones como el correo elec-
de ellas o quién trónico siguen funcionando aunque la aplicación no esté en
pantalla. Por tanto, no es posible asegurar que los datos que
las administra.” atraviesan la red son de poca importancia, y más si se trata de
dispositivos que llevan aplicaciones corporativas en ejecución.
2.5 Geoposicionamiento
Uno de los riesgos de estar conectado permanentemente a la red es
el uso del geoposicionamiento.
La información del geoposicionamiento obtenida mediante:
GPS o sistema de posicionamiento global (del inglés Global posi-

tioning system)
redes wifi
antena de telefonía de nuestro proveedor de servicio
puede ser utilizada por otros servicios y aplicaciones de nuestros dis-

positivos.
Por ejemplo, existen aplicaciones de captura de foto y video

que almacenan información sobre el lugar donde se han
realizado; redes sociales, aplicaciones de compra, etc. que
almacenan información de los lugares donde nos encontra-
mos; capturando, la mayoría de las veces, más información
de la necesaria. Imaginemos, por ejemplo, que estamos en

una reunión con un cliente fuera de la ciudad y hacemos
alguna foto de carácter privado en las inmediaciones del lu-
gar de reunión y la publicamos: hemos podido revelar pis-
tas a los posibles competidores sobre la ubicación de nues-
tro cliente y de las actividades mantenidas con él. También
cabe la posibilidad que el cliente quiera mantener la con-
fidencialidad de la reunión y de lo tratado en ella, y haya-
mos puesto en peligro un buen negocio por una simple foto.
Pero, por otro lado, estos datos de geoposicionamiento pueden

ser muy útiles para determinadas tareas de nuestras empresas,
como localización de flotas de vehículos, seguimiento de rutas de
reparto, etc. En estos casos, donde se pueda hacer un seguimien-
to de los dispositivos o de los usuarios, deberemos incluir un pro-
cedimiento en la política de seguridad de la empresa e informar a
“Los datos de GPS los empleados de ello, haciéndoles firmar un acuerdo de consen-
timiento.
pueden ser muy
Debemos ser especialmente cuidadosos en el caso de los BYOD al
útiles para ciertas ser dispositivos privados, ya que corremos el riesgo de monitorizar y
controlar las actividades de carácter personal del empleado.
tareas, pero
permiten a otros
saber donde nos 2.6 Usuarios
encontramos en El usuario es el punto más importante en la cadena de seguridad de
cada momento.” las empresas. Por muchas medidas técnicas que implantemos, por
muchos procedimientos que desarrollemos, el usuario es quién ges-
tiona la información con su dispositivo.
Es fundamental que el empleado que acceda a los recursos de la

empresa con sus dispositivos móviles, independientemente si son
personales o corporativos, esté concienciado y formado en mate-
ria de ciberseguridad. Así, un empleado concienciado:
ayudará a cumplir las normas y políticas establecidas para estos

dispositivos
gestionará los posibles incidentes y alertas de seguridad de los dis-

positivos
alertará sobre cualquier problema detectado en los dispositivos

y en la utilización que se hace de estos
evitará las acciones indeseadas sobre la información y los dis-

positivos, ya sea de manera intencional o no
aceptará la gestión de los dispositivos por parte de la empresa

(mediante la firma de un acuerdo de consentimiento)
Un empleado comprometido, que cumpla las normas y políticas de

seguridad de la empresa, evitara los riesgos sobre la pérdida de con-
trol sobre la gestión de los dispositivos.
En el caso de los dispositivos móviles personales para uso profesional,

esta pérdida del control de la gestión de dispositivos se debe principal-
mente a configuraciones e instalaciones que puedan hacer los emplea-
dos en sus dispositivos que puedan afectar a la seguridad de la informa-
ción corporativa. Acciones como:
la instalación de aplicaciones inseguras que puedan contener

malware
los cambios de configuración que den más permisos de los ne-

cesarios a las aplicaciones
la manipulación de los dispositivos para eliminar las limitacio-

nes con las que vienen los smartphones y tablets de fábrica (roo-
ting en Android o Jailbreak en iOS)
pueden hacer peligrar la información corporativa almacenada en los

dispositivos personales.
“El usuario es
el punto más
importante en
la cadena de
seguridad de las
empresas.”
3 Medidas de seguridad
Tanto los dispositivos móviles personales para uso profesional como la información corpo-
rativa que manejan estos, deben estar protegidos convenientemente, estableciendo unas
buenas medidas de seguridad que ayuden a reducir todo lo posible los riesgos a los que
están expuestos.
A continuación se detallan algunas medidas que deben tenerse en cuenta para mitigar los
riesgos a los que nos enfrentamos. Medidas como:
la debida protección de la información
la correcta configuración de los dispositivos o
la protección de la conexión a redes inalámbricas
Para implementar estas medidas, podemos incorporar herramientas específicas que

gestionan dispositivos móviles y el uso de la información corporativa que se realice des-
de estos. En el mercado, existen diversas soluciones como los programas de gestión de
dispositivos móviles o MDM (del inglés Mobile Device Management) que administran y mo-
nitorizan los dispositivos móviles de nuestras empresas. De esta forma, tendremos con-
trolados los dispositivos y podremos valorar el grado de implantación de las medidas de
seguridad de nuestra política de seguridad. Con estas herramientas será posible gestionar
y controlar:
los dispositivos autorizados para acceder a aplicaciones y recursos
las aplicaciones instaladas en los dispositivos
las configuraciones de seguridad de los dispositivos, de su wifi y de su VPN
las manipulaciones indebidas de los terminales como la detección de jailbreak en iOS

o rooteo en Android
el bloqueo remoto de dispositivos extraviados
la destrucción/formateo remoto de datos de dispositivos extraviados o robados
el cifrado de datos o del dispositivo
la detección de malware
la fortaleza y renovación de contraseñas, etc.
En el caso especial de los dispositivos personales para uso en la empresa, debemos de

tener especial cuidado. Para asegurarnos el éxito de la implementación de todas estas me-
didas, es esencial conseguir involucrar a los usuarios en la protección de sus dispositivos.
Debemos incentivar, concienciar y formar al usuario para que tome medidas destina-
das a proteger los datos corporativos y personales por igual.
3.1 Protección de la información

La información que manejamos en nuestras empresas es uno de los acti-
vos más importantes y, como tal, debemos protegerlos adecuadamente.
Para ello incidiremos, tomando las medidas de seguridad oportunas,

sobre los cuatro puntos siguientes:
“La información
que manejamos
en nuestras
empresas es uno
de los activos más Figura 1: Protección de la información en dispositivos tipo BYOD
importantes que
hay que proteger.” 3.1.1 Aplicaciones instaladas
Los dispositivos personales pueden acceder tanto a información cor-
porativa confidencial, como a aplicaciones con contenido sensible
que es preciso proteger.
Debemos de tener en cuenta a la hora de diseñar las políticas sobre los

tipos de aplicaciones que se permiten instalar en los dispositivos. Hay
muchas aplicaciones, que al ser instaladas, requieren permisos como
el acceso a otras aplicaciones o a datos que deben ser gestionados con
precaución. Por ejemplo, al instalar muchas de estas aplicaciones re-
quieren permisos que permiten la consulta de información del dispo-
sitivo, como los contactos almacenados, fotos, videos o, incluso, las co-
municaciones realizadas de teléfono, correo electrónico, etc. Todo esto
puede hacer que perdamos el control de la actividad de estas activida-
des sobre nuestros datos personales o corporativos.
Al instalar aplicaciones, debemos:
descargar e instalar únicamente las que están permitidas en

las políticas de seguridad de la empresa
leernos siempre sus condiciones de uso e instalación para

controlar los permisos de acceso sobre los dispositivos
descargarlas de los markets oficiales (Play Store, App Store)

para evitar la instalación de malware
3.1.2 Almacenamiento en la nube

Entendemos por almacenamiento en la nube los servicios de alma-
cenamiento ofrecidos por distintos proveedores de Internet y que
funcionan de manera similar a un disco duro remoto. Ofrece las ven-
tajas de ser un servicio transparente para el usuario y de posibilitar
el acceso remoto desde cualquier lugar y dispositivo.
Hay que tener especial cuidado con la forma de acceso y almace-

namiento de los datos corporativos en los dispositivos móviles
personales, especialmente a la hora de utilizar aplicaciones de inter-
cambio de archivos.
A la hora de trabajar con los datos de la empresa, es más seguro

tener estos almacenados en la nube y consultarlos, que tenerlos al-
macenados en el propio dispositivo.
Para garantizar la seguridad de la información, debemos utilizar úni-

camente los servicios en la nube autorizados por la empresa, me-
“Hay que tener diante una comunicación cifrada. Antes de utilizar uno de estos ser-
especial cuidado vicios debemos tener en cuenta:
con la forma Las condiciones de uso en lo referente a las garantías de dis-

ponibilidad y confidencialidad de la información. Tenemos
de acceso y que saber en todo momento la disponibilidad de nuestros
datos en caso de que el servicio esté en mantenimiento, fue-
almacenamiento ra de servicio o sufra algún tipo de incidente de seguridad.
de los datos Las posibles restricciones del proveedor respecto al tipo de

corporativos.” datos que podemos almacenar (como datos personales u
otros que estén protegidos por legislación como LOPD).
Dónde acudir en caso de fallo del servicio, medidas de pro-

tección de la información o los tiempos de indisponibilidad
permitidos por contrato.
El tipo y frecuencia con la que el proveedor realiza las copias

de seguridad de sus servidores.
Estos aspectos debemos controlarlos en los acuerdos de nivel de

servicio con los proveedores que suelen incluir penalizaciones en
caso de incumplimiento. Asimismo, debemos revisar con deteni-
miento las condiciones de uso de estos servicios para comprobar
que son compatibles con nuestras políticas de seguridad.
Como medida de seguridad adicional, los dispositivos no podrán te-

ner habilitado el acceso directo a los datos, sino que será necesario
el acceso mediante contraseña cada vez que se accede al servicio.
Para proteger los datos y la información de los dispositivos, se deben

implementar mecanismos adicionales de seguridad como el cifrado
de la información y el acceso mediante autenticación de usuario.
3.1.3 Copias de seguridad

La realización de copias de seguridad, es una medida de seguridad
muy extendida en la gran mayoría de las empresas y está contempla-
da dentro de sus políticas generales de seguridad.
Pero, es también muy común «olvidar» incluir los dispositivos móvi-

les personales de uso corporativo (y la información corporativa a la
que acceden) en las políticas de copias de seguridad. Esto hace que
estos dispositivos suelan estar desprotegidos.
A pesar de que la realización de copias de seguridad no nos protege

de los ataques a los que podamos estar expuestos, nos garantiza
que podremos recuperar rápidamente la información importante si
el dispositivo se vuelve inaccesible: pérdida o robo del terminal, fallo
de material, borrado inadvertido, etc.
A continuación, mostramos varias medidas a tener en cuenta a la

hora de la realización de las copias de seguridad:
“Es muy común
«olvidar» incluir Las copias realizadas se deben almacenar fuera del disposi-
tivo. Dos alternativas factibles son los servidores de nuestra
los dispositivos empresa o la nube, siempre teniendo en cuenta las precau-
ciones citadas anteriormente.
móviles personales Las copias generadas pueden ser almacenadas en lugares ges-
de uso corporativo tionados por la empresa, mejor que en dispositivos personales
de los usuarios o en sistemas que estén fuera del control del
en las políticas de personal técnico. En el caso de que se deban incluir datos per-
backup.” sonales de los usuarios propietarios de los dispositivos en las
copias de seguridad, deben aplicarse las medidas necesarias
para proteger la privacidad de estos datos personales.
Se recomienda que las copias se hagan de manera automáti-

ca cada cierto tiempo, por ejemplo cada noche. Algunos ser-
vicios de almacenamiento en la nube disponen de la opción
de realizar una copia de seguridad cada vez que se detecta
un cambio en los archivos.
El número y la periodicidad de las copias depende de las

necesidades propias de cada empresa. Se recomienda ade-
cuarlas a las nuestras propias, siempre en función del tipo de
dispositivos, el volumen y tipo de información que se gestio-
na en éstos, y su frecuencia de modificación.
Posibilidad de hacer copias de manera manual. Debe ser po-

sible lanzar procesos manuales de copia de seguridad para
garantizar que podamos realizarlas en el caso de que el sis-
tema automático falle.
Recordamos que tan importante o más que hacer copias de seguri-

dad de la información, es comprobar que se han realizado con éxito.
De nada nos sirve tener almacenada nuestra información en copias
de seguridad si luego no somos capaces de restaurar la información
a su estado y ubicación original.
Debemos comprobar que el mecanismo de copia funcione correcta-

mente y que el soporte sobre el que se hacen las copias esté en buen
estado. También debemos conocer cuáles son los mecanismos de

restauración de datos.
3.1.4 Cifrado de dispositivos

Los dispositivos móviles, y la información a la que acceden, tienen
un gran riesgo de verse comprometidos. Ya sea por pérdida, robo o
por cualquier otro motivo, la confidencialidad de la información se
puede ver afectada al ser accedida por personas ajenas a la empre-
sa. Para evitar el acceso de personal no autorizado a la información
de estos dispositivos, se debe hacer uso de un sistema de cifrado de
la información.
Con el sistema de cifrado, transformamos la información de tal for-

ma que solamente aquellas personas que estén autorizadas puedan
leerla o manipularla. Ciframos la información con un algoritmo de
cifrado y una contraseña que la hace ilegible para todo el que no
“Con el sistema conozca dicha contraseña.
de cifrado Todos los sistemas actuales permiten habilitar opciones de cifrado
presente en todos de datos y dispositivos mediante contraseñas de acceso o a nivel de
arranque.
los dispositivos
Además, en determinados casos el cifrado de la información es una
móviles podemos exigencia de la LOPD. De hecho, también incluye al intercambio de
información a través de correos electrónicos.
evitar el acceso no
autorizado a la
información.” 3.2 Configuración de los
dispositivos
Podemos minimizar los riesgos derivados del robo de las credencia-
les de acceso o de la desaparición de los dispositivos, tomando una
serie de medidas técnicas que aseguren la integridad de los disposi-
tivos y la confidencialidad de las comunicaciones.
Para ello, configuraremos los terminales con una serie de funcionali-

dades que nos ayudarán a mantener la confidencialidad de la infor-
mación corporativa que contienen.
3.2.1 Medidas técnicas de configuración

Configuraremos los dispositivos con las medidas técnicas que nos
ayuden a proteger los datos. Algunas de estas medidas son:
habilitar sistemas de autenticación robustos, apoyándonos

en aplicaciones gestoras de contraseñas para asegurarnos la
diversidad y dificultad de las mismas
instalar y configurar un antivirus
configurar las actualizaciones del software
configurar el cifrado de datos y comunicaciones
desactivar el permiso de recuerdo de contraseña, obligando

a introducirla cada vez que se haga uso de las aplicaciones
Aplicaremos estas medidas tanto a los dispositivos móviles corpora-

tivos como a los BYOD.
3.2.2 Localización remota

Las herramientas de localización remota de los dispositivos móvi-
les proporcionan funcionalidades interesantes en caso de pérdida
o robo, que deberemos activar al configurar nuestros dispositivos:
Localización de terminales en la que mediante GPS (sistema

de posicionamiento global), wifi o la información de la antena
de telefonía del proveedor de servicio de conexión, el dispositi-
“Muchos vo envía los datos de su ubicación de manera constante a una
cuenta previamente configurada.
dispositivos Bloqueo remoto del terminal para que no pueda
móviles permiten ser utilizado si no está en posesión de su dueño. Esta
funcionalidad es útil en caso de no haber activado la opción
activar la de bloqueo de pantalla.
localización Borrado remoto de datos. Permite eliminar los datos

remota de los contenidos en el dispositivo (como contactos, fotos y correos
electrónicos, etc.) de manera remota, impidiendo su utilización
dispositivos.” por un usuario no legítimo. Esta opción también suele activarse,
en algunos dispositivos, al realizar un número determinado de
intentos de acceso, tras los cuales formatea el dispositivo.
Seguimiento de la actividad del dispositivo para vigilar las

aplicaciones que se ejecutan. Se puede realizar un seguimiento
de las llamadas efectuadas o de las aplicaciones que se ejecutan,
con el fin de obtener datos suficientes para obtener nombres,
apellidos y hasta direcciones de un posible delincuente.
Tanto iOS (Find my iPhone) como Android (Device Manager), entre

otras, disponen de funcionalidades de seguimiento que podemos
configurar. En el caso de que el parque de dispositivos móviles sea
muy amplio, también podemos adquirir herramientas comerciales
como las soluciones MDM (Gestión de Dispositivos Móviles) que
ofrecen más opciones y permiten gestionar de manera centralizada
gran cantidad de dispositivos.
Debemos tener en cuenta que:
Estas aplicaciones permiten realizar seguimientos en profun-

didad del dispositivo, por lo que su utilización debe quedar
restringida a causas justificadas ya que puede implicar la vio-
lación de la privacidad del empleado.
En caso de robo, los datos obtenidos mediante estas aplicacio-

nes deben ser puestos a disposición de las autoridades compe-
tentes. En ningún caso debemos intentar recuperar nosotros
mismos los terminales.
3.2.3 Geolocalización
Aunque la mayoría de los dispositivos móviles actuales permiten ha-
bilitar de forma selectiva el geoposicionamiento, según las preferen-
cias y necesidades del usuario, es recomendable deshabilitar esta
funcionalidad siempre que su uso no sea estrictamente necesario.
A la hora de instalar aplicaciones, hay que tener precaución con

aquellas que piden acceso a la función de geoposicionamiento del
dispositivo, habilitando esta función solamente en caso necesario.
Sin embargo, puede ser interesante para la empresa el mantener el

geoposicionamiento activado para ayudar a recuperar un dispositivo
robado o extraviado.
En cualquier caso, hay que tener en cuenta que la utilización del ser-
vicio de geolocalización puede implicar la violación de la privacidad
del empleado, por lo que antes de activar este servicio, se debe in-
formar al empleado y se debe firmar un acuerdo de consentimiento.
“Hay que
tener especial
precaución con las 3.3 Protección de
aplicaciones que conexiones a redes externas
piden acceso a la Debemos buscar los mecanismos para asegurar la confidencialidad
función de geo- de los datos en las comunicaciones realizadas entre los dispositivos
móviles y los recursos centralizados corporativos cuando hagamos
posicionamiento.” uso de redes ajenas a la empresa que no sean seguras.
Seremos especialmente precavidos en lugares públicos como cafeterías

o medios de transporte, donde puede haber personas a nuestro alre-
dedor que pueden observar como introducimos nuestras credenciales
de acceso a la sesión de dispositivo o al correo. En estos casos tendre-
mos cuidado al introducir las credenciales para evitar que sean compro-
metidas o robadas. Valoraremos el tipo de información que deseamos
mostrar, utilizar tamaños de letra razonables, oscureciendo la pantalla,
o utilizando filtros de privacidad especiales para pantallas de portátiles.
3.3.1 Redes wifi

En caso de tener que conectarse a la red mediante una red wifi que
no garantice la seguridad, debemos buscar los mecanismos necesarios
para que la comunicación se realice de la forma más segura posible.
Debemos ser especialmente cuidadosos con las redes públicas des-

protegidas y establecer medidas que nos ayuden a evitar problemas
como el robo de credenciales, manipulación de nuestra información
de trabajo, etc.
Para hacer más segura la conexión en este tipo de redes debemos

establecer medidas como las siguientes:
desconfiar de las redes wifi públicas o gratuitas
utilizar canales cifrados seguros de comunicación VPN —Red

privada virtual (del inglés Virtual Private Network)— o algún
otro tipo de cifrado punto a punto, como los sitios web con
protocolo SSL (Secure Sockets Layer) y certificados 1
desconectar la wifi de los dispositivos cuando no la estemos

utilizando
desactivar la conexión automática a redes; de esta forma

cuando el dispositivo detecte nuevas redes disponibles, pre-
guntará si nos queremos conectar a alguna de ellas
preferentemente, hacer uso redes 3G o 4G antes que de redes wifi

inseguras
Estas medidas son válidas para todos los dispositivos móviles y en to-
das las situaciones de uso. Se deben aplicar tanto en los momentos
en que se hace un uso profesional de estos dispositivos, como en los
“Las VPN crean momentos en que se hace un uso personal de los mismos.
canales seguros
cifrados de 3.3.2 Redes Privadas Virtuales o VPN
comunicación Si necesitamos realizar un acceso mediante una red no segura, de-
para acceder a beremos crear canales seguros cifrados de comunicación que garan-
ticen la confidencialidad de nuestra información, mediante el uso de
los servicios de redes VPN (Virtual Private Network). Una VPN crea un túnel a través
de internet, o cualquier otra red no segura, de forma que podemos
nuestra empresa.” acceder desde cualquier lugar a los servicios y documentos internos
de nuestra compañía.
De esta forma nos podemos conectar de forma segura a través de

redes (como las wifis de cortesía de aeropuertos, hoteles, etc.) cuya
seguridad desconocemos, garantizando la confidencialidad e integri-
dad de la información que transmitimos.
Con esta medida, también nos aseguramos que la comunicación se

está realizando entre dispositivos previamente autorizados.
Figura 2: Red VPN
1
El protocolo SSL es un sistema de cifrado que garantiza la confidencialidad de las comunicaciones. Podemos
comprobar su aplicación observando que la dirección web comienza por HTTPS y tienen un candado junto a la
misma.
4 Política de uso
Como hemos visto aunque el dispositivo esté personalizado con unas medidas de seguri-
dad adecuadas para su uso privado, esto no significa que cumpla las medidas de seguridad
necesarias que se necesitan en el entorno corporativo.
No es suficiente establecer y aplicar medidas técnicas de protección sobre estos disposi-

tivos (como hemos visto en los puntos anteriores), sino que debemos ir más allá y regular
formalmente la utilización de estos dispositivos.
Por tanto, debemos definir y establecer una política corporativa de uso de dispositivos
móviles personales [2 y 3] en la que se establezcan los permisos y las restricciones res-
pecto al uso de estos dispositivos personales para que puedan ser utilizados como una
herramienta de trabajo más. En esta política podríamos incluir incluso los dispositivos inte-
grados en la ropa o wereables, como son los relojes (smartwatches), pulseras o gafas inteli-
gentes que se conectan al teléfono móvil.
Esta política debe contemplar aspectos como los siguientes:
Restringir el uso de equipos y dispositivos ajenos, que no estén autorizados por la empre-
sa, para conectarse a los activos de nuestra empresa, especialmente si se trata de equipos
públicos compartidos como pueden ser los de un locutorio, puestos de internet compartidos
de hoteles, centros comerciales, cibercafés, etc. La seguridad de estos equipos no suele estar
controlada, por lo que es altamente probable que estén infectados por algún tipo de virus.
Incentivar medidas de seguridad en los dispositivos personales que permitan sa-

car el máximo partido al trabajo con estos dispositivos de una forma siempre segura.
Incorporar los dispositivos BYOD a los requisitos de seguridad que aplican a los dis-
positivos móviles de uso exclusivamente corporativo, tales como:
Configurar correctamente los parámetros de seguridad del dispositivo.

Mantener correctamente actualizado el sistema operativo y todas las aplicaciones.
Deshabilitar la sincronización de los dispositivos con «la nube» cuando se trate
información sensible, etc.
Restringir en lo posible las aplicaciones de terceros instaladas en el dispositivo.

Estas aplicaciones tienen un riesgo y es que pueden incluir malware que se instale
en el dispositivo, lo que hace vulnerable el dispositivo, incluso la red a la que se
conecta.
Configurar el bloqueo automático del equipo tras un breve periodo de inactividad.

El desbloqueo debe realizarse mediante contraseña, patrón de desbloqueo o por
medios biométricos.
Crear una base de datos que incluya los dispositivos móviles personales autorizados a
acceder a los recursos de la empresa, los usuarios que los manejan y sus respectivos
privilegios de seguridad. Se pueden utilizar aplicaciones de gestión de contraseñas, que
facilitan el uso de contraseñas fuertes y personalizadas para cada usuario o aplicación.
Modificar las políticas de seguridad de la empresa. Se deben actualizar las políticas de

seguridad para incluir el uso de dispositivos móviles personales, reforzando el aparta-
do referente a la política de protección de datos corporativa.
4 ¿Qué hacer si me afecta?
Establecer mecanismos de gestión para hacer cumplir las polí-

ticas de seguridad establecidas. Se puede utilizar herramientas
específicas de software que gestionen los dispositivos y el uso
de la información corporativa que se realice desde estos.
Crear un mecanismo para regular el proceso a seguir para en-

tregar/eliminar la información corporativa de estos dispositivos
cuando el empleado abandona la empresa.
Aplicar esta política para todos los dispositivos de uso personal

que puedan almacenar o acceder a información corporativa.
Regular las condiciones de los diversos acuerdos de consen-

timiento que haremos firmar a los empleados. Acuerdos, por
ejemplo, en materia de:
utilización de la geolocalización de los dispositivos

“Es necesario gestión de los dispositivos, aplicando las medidas de seguri-
establecer dad de la empresa
una política Se considera necesaria la firma de un documento de conformidad

y aceptación de esta política corporativa de uso de dispositivos
corporativa móviles personales, por parte del empleado, antes de su utilización
de uso de en un entorno corporativo.
dispositivos
móviles
personales.”
5 Soluciones en el catálogo
El Catálogo de ciberseguridad de INCIBE [4] recoge las soluciones de seguridad, productos y servi-
cios, que están disponibles en el mercado español, organizándolos en categorías y subcategorías.
En el caso de los dispositivos móviles, y de los BYOD en particular, se tendrán en cuenta principalmente las
soluciones relacionadas con la seguridad en dispositivos móviles, la prevención de fuga de información.
Estas son las categorías y subcategorías donde se encuentran disponibles los productos
para estos dispositivos y para aplicar las medidas técnicas mencionadas:
Seguridad en dispositivos móviles:
Seguridad para dispositivos móviles. Son herramientas destinadas a proteger la infor-

mación, como las aplicaciones y sistemas de estos dispositivos. Incorporan mecanismos
de protección contra malware, copias de seguridad, protección de las comunicaciones,
cifrado de los datos almacenados en el dispositivo para salvaguardar la información.
BYOD. Son herramientas basadas en tecnologías de gestión de movilidad que per-

miten la protección de estos dispositivos. Incorporan mecanismos de autenticación
accediendo a las aplicaciones y datos en cualquier dispositivo.
Prevención de fuga de información:
Herramientas de cifrado. El cifrado consiste en ofuscar la información mediante

técnicas de codificación, evitando que los datos sean accesibles por cualquier per-
sona que desconozca la clave de decodificación.
Contingencia y continuidad:
Copias de seguridad. Son herramientas destinadas al almacenamiento de datos

o información con el fin de disponer de un medio para poder recuperarlos en caso
de pérdida accidental o intencionada.
Herramientas en la nube. Son las plataformas tecnológicas que permiten configurar

y utilizar recursos tanto hardware, software y comunicaciones en un tiempo mínimo
para la recuperación en caso de incidente de seguridad. Se caracterizan por la transpa-
rencia para el usuario y el acceso remoto desde cualquier lugar y dispositivo.
Cumplimiento legal:
Borrado seguro. Son herramientas que permiten realizar la eliminación de archi-

vos, carpetas o unidades lógicas de forma segura.
En cuanto a las diferentes categorías y subcategorías de los servicios disponibles para estos
dispositivos y para aplicar las medidas técnicas mencionadas:
Contingencia y continuidad:
Copias de seguridad remotas (backup). Son servicios de almacenamiento de da-

tos fuera de la organización, permitiendo la restauración de la información de for-
ma inmediata en caso de robos o pérdida de datos.
Cumplimiento legal:
Borrado seguro. Son servicios que permiten realizar la eliminación de archivos,

carpetas o unidades lógicas de forma segura según la normativa vigente.
6 Referencias
[1]. ENISA (2012) «Consumerización of IT: Risk mitigation strategies and good practices»
https://www.enisa.europa.eu/publications/COIT_Mitigation_Strategies_Final_Report
[2]. CISCO (2013) «Consideraciones sobre movilidad y BYOD para empresas medianas»
http://www.cisco.com/c/dam/global/es_mx/assets/pdfs/WP-AM-Leadership-with-
mobility-and-BYOD-SPA.pdf
[3]. Watchguard (2013) «Ten Tips for Establishing a Secure Foundation for BYOD»
http://book.itep.ru/depository/byod/BYOD_WhitePaper_Final.pdf
[4]. Incibe – Empresas – Catálogo

https://www.incibe.es/protege-tu-empresa/catalogo-de-ciberseguridad
incibe_
INSTITUTO NACIONAL DE CIBERSEGURIDAD

Guia Dispositivos Moviles BYOD

Cargado por

Copyright:

Formatos disponibles

Guia Dispositivos Moviles BYOD

Cargado por

Información del documento

Descripción original:

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Guia Dispositivos Moviles BYOD

Cargado por

Copyright:

Formatos disponibles

Dispositivos móviles personales

para uso profesional (BYOD)

2.2 Robo de credenciales..................................................................................................................6

2.3 Pérdida información...................................................................................................................6

2.4 Conexión a redes inseguras......................................................................................................7

3.2 Configuración de los dispositivos..........................................................................................14

3.3 Protección de conexiones a redes externas........................................................................16

Los empleados acceden desde casa o cuando están de viaje al correo

El equipo comercial dispone de acceso a las propuestas económicas a

El teletrabajo se ve facilitado por estos sistemas. Incluso en organiza-

El hecho de trabajar con dispositivos móviles conlleva una serie de riesgos

pérdida o robo de información

el mal uso que se pueda hacer de los dispositivos

utilización de sistemas de conexión no seguros, etc.

En este contexto, existe un modo de trabajar denominado BYOD (por sus

La utilización de dispositivos móviles personales para uso profesional, pro-

reducción de costes y ahorro en inversión de dispositivos

reducción de costes en desplazamientos

aumento en la productividad y en el rendimiento de trabajo del empleado

mayor satisfacción y flexibilidad de los empleados que hace que aumen-

eficiencia en el servicio al gestionarlo en tiempo real

Tenemos que tener en cuenta la complejidad de este nuevo esce-

En estos dispositivos personales, no existe un control sobre las apli-

Los riesgos anteriormente citados referentes al uso de dispositivos

Por todo esto, debemos establecer políticas y mecanismos ade-

La instalación de aplicaciones personales que podrían comprometer la confidenciali-

Riesgos derivados de coexistir en un mismo dispositivo:

aplicaciones de uso personal y corporativo

2.1 Pérdida, robo o destrucción

La desaparición o destrucción de uno de estos dispositivos, no sólo acarrea la pérdida

2.2 Robo de credenciales

Cualquier descuido como:

abandonar el equipo sin bloquear la sesión de usuario

tener apuntada una contraseña a la vista de los demás en un

teclear la contraseña a la vista de los demás

tener memorizadas las contraseñas de las aplicaciones que utilizamos

2.3 Pérdida información

Esta falta de seguridad y el mal uso (intencionado o no) que se haga de

Perder información confidencial como la base de datos de clientes y

deterioro de la imagen y la reputación de la empresa

pérdida de posicionamiento en el mercado o frente a la competencia

2.4 Conexión a redes

Este tipo de redes podemos encontrarlas como servicio de cortesía

La información del geoposicionamiento obtenida mediante:

GPS o sistema de posicionamiento global (del inglés Global posi-

antena de telefonía de nuestro proveedor de servicio

puede ser utilizada por otros servicios y aplicaciones de nuestros dis-

Por ejemplo, existen aplicaciones de captura de foto y video

de la necesaria. Imaginemos, por ejemplo, que estamos en

Pero, por otro lado, estos datos de geoposicionamiento pueden

Es fundamental que el empleado que acceda a los recursos de la

ayudará a cumplir las normas y políticas establecidas para estos

gestionará los posibles incidentes y alertas de seguridad de los dis-

alertará sobre cualquier problema detectado en los dispositivos

evitará las acciones indeseadas sobre la información y los dis-

aceptará la gestión de los dispositivos por parte de la empresa

Un empleado comprometido, que cumpla las normas y políticas de

En el caso de los dispositivos móviles personales para uso profesional,

la instalación de aplicaciones inseguras que puedan contener

aplicaciones de uso personal y corporativo