¿Qué es la seguridad móvil? Comprensión de la seguridad de los dispositivos móviles

La tasa de crecimiento de la adopción de dispositivos móviles en la empresa se ve impulsada por las organizaciones que confían en que las partes interesadas de todo el mundo puedan desempeñar sus funciones en cualquier dispositivo y desde cualquier lugar. Debido a su versátil naturaleza, las tecnologías móviles siguen incorporándose a muchas industrias diferentes:

• Cuidado de la salud: Personal de la salud que atiende a pacientes para salvarles la vida.
• Educación: Programa 1:1 o conjuntos de dispositivos compartidos que enriquecen el aprendizaje de los alumnos.
• Cadena de suministro y logística: Rastrea los suministros y se llevan a donde se necesiten.
• Venta al por menor: Administra ventas, datos de clientes e inventarios al instante con un simple toque.
• Finanzas: Haga un seguimiento de los datos financieros mientras administra las inversiones en cualquier momento.
• Ventas: Mantenga el rendimiento y la conexión en la carretera, a la vez que ahorra energía.
• Aviación: 40 lb de manuales de vuelo y mapas de navegación condensados en 1.5 lb.

Gracias en gran parte a la perfecta combinación de potente capacidad informática y al factor de forma ligero, su ubicuo diseño se presta de forma natural a ayudar a los usuarios a acceder de forma fácil y segura a recursos críticos en cualquier momento y desde cualquier lugar.

Proteger su flota móvil comparte muchas similitudes con sus homólogos de escritorio. Al fin y al cabo, los actores de las amenazas siguen evolucionando muchas de ellas, de modo que afectar a un tipo de dispositivo también afecta al otro. Aunque cada plataforma tiene sus diferencias inherentes, uno de los mayores obstáculos para alcanzar la paridad de seguridad con el móvil no son las variables que hacen que la seguridad del móvil sea un reto, sino más bien que las organizaciones en primera instancia dejen sin controlar el riesgo de los dispositivos móviles.

En este blog, desglosamos algunos de los retos y mitos alrededor de la seguridad de los dispositivos móviles, entre los que se incluyen:

• Defina qué es la seguridad en los dispositivos móviles
• Analizar la importancia de la seguridad de los dispositivos móviles
• Explica por qué no basta con la seguridad "lista para usar"
• Mostrar cómo afecta la seguridad móvil a las organizaciones
• Enumerar las ventajas de una solución de seguridad móvil
• Destacar la seguridad móvil como parte crítica de la seguridad holística

Definir qué es la seguridad en los dispositivos móviles

La seguridad móvil se refiere a la mitigación de los riesgos y la prevención de las amenazas, incluyendo la protección de los datos y recursos a los que acceden y utilizan los teléfonos inteligentes y las tabletas.

Por qué es importante la seguridad de las terminales móviles

Cada vez más usuarios y organizaciones confían en las tecnologías móviles para la comunicación, la colaboración y, en general, cualquier función laboral realizada dentro o fuera de los confines tradicionales de una oficina o escritorio. Por ello, los dispositivos móviles se utilizan cada vez más para contener, procesar y/o transmitir datos sensibles. Esto apenas se diferencia de las computadoras de escritorio como herramientas para realizar el trabajo, pero una diferencia clave es la forma en que los dispositivos móviles introducen nuevas formas de realizar tareas personales y profesionales. A su vez, esto introduce nuevos tipos de riesgos que las soluciones de seguridad de terminales diseñadas para arquitecturas de escritorio puede que no aborden, y por lo general no abordan, de manera integral.

Por ejemplo, dada la naturaleza de la forma en que están diseñados los sistemas operativos móviles, la mayoría del malware dirigido a ellos, una vez ejecutado, opera dentro de la memoria residente. Por ejemplo, si se apaga un iPad infectado, la memoria se vacía y la amenaza desaparece hasta que se activa de nuevo. Por desgracia, los usuarios de dispositivos móviles rara vez reinician sus dispositivos, lo que propicia que las amenazas persistan, causando estragos sin el conocimiento ni el consentimiento del usuario.

Desde la perspectiva del usuario, el malware en computadoras y móviles funciona de forma similar. Pero las diferencias entre sus arquitecturas y la forma en que se desarrolla y ejecuta el software en ellos, representan diferencias significativas en la forma en que la seguridad de las terminales administra las amenazas en segundo plano.

Estas diferencias, unidas a:

• El crecimiento explosivo de la adopción de dispositivos móviles
• Su dependencia de Internet para comunicarse con los recursos
• Actuar como vector para facilitar ataques a mayor escala
• El desarrollo activo de actores de amenazas para futuros ciberataques

Si no se controla, el dispositivo móvil representa un riesgo tan grande para la seguridad de los datos y la privacidad del usuario final como las computadoras en la empresa.

La seguridad preconfigurada de los dispositivos móviles no es suficiente

Muchos de los que siguen nuestro blog saben lo fundamentales que son la seguridad y la privacidad en el uso de la tecnología.

Apple y Google —ambos líderes en el espacio móvil— están comprometidos con la seguridad y la privacidad, como atestigua su inclusión nativa de marcos de seguridad y privacidad que sirven como pilares de estas plataformas. Además, las innovaciones de hardware que se basan en marcos de seguridad y privacidad, como la biometría y el cifrado de volumen, garantizan que cualquier persona que utilice un smartphone encontrará el mismo nivel de protección en toda la línea de productos, incluidas las tabletas y los wearables.

Incluso con todas sus funciones enfocadas en la seguridad, la seguridad móvil requiere un enfoque granular para mantener las terminales en cumplimiento, y a los usuarios a salvo, al tiempo que se garantiza la seguridad de los datos. Esto no implica una debilidad inherente a los propios dispositivos, sino que más bien habla de la naturaleza de un panorama cambiante de las amenazas móviles. Específicamente, de una que se ve impactada por los cambios que ocurren dinámicamente y que son difíciles de seguir para las organizaciones. Por ejemplo, con las prisas por implementar dispositivos móviles, muchas empresas se enfocan en la continuidad de la actividad comercial y pasan por alto los siguientes retos que las protecciones móviles listas para usar sencillamente no abordan:

• Implementar protocolos de seguridad críticos para minimizar la exposición al riesgo
• Integrar la seguridad holística de las terminales para hacer frente a las amenazas conocidas y desconocidas
• Racionalizar los rigurosos procedimientos y flujos de trabajo de higiene de la seguridad
• Garantizar que los dispositivos se aprovisionan de forma segura desde el momento en que se encienden
• Alinear las mejores prácticas de endurecimiento móvil con configuraciones básicas sólidas
• Mantener la integridad de la organización haciendo cumplir las normas de seguridad
• Extender el cumplimiento de forma holística a los recursos de toda la infraestructura
• Lograr la paridad entre los tipos de SO, dispositivo y propiedad para cerrar las transgresiones a la seguridad
• Minimizar los riesgos del software supervisando y examinando las aplicaciones propias y de terceros

La seguridad móvil afecta a la seguridad de la empresa

Históricamente hablando, suele haber una compensación a la hora de implementar cualquier tipo de seguridad. El compromiso con la flexibilidad y la eficacia suele ser el resultado de no equilibrar la seguridad móvil, ya que las organizaciones suelen caer en la trampa de sobreproteger o infraadministrar. Sin embargo, sin importar la categoría a la que pertenezcan las empresas, el resultado sigue siendo el mismo: los dispositivos, los usuarios y los datos permanecen vulnerables.

No importa si el dispositivo es propiedad de la empresa o si es un dispositivo personal utilizado por una parte interesada: el riesgo es el riesgo, independientemente de cómo se introduzca o de que si se supone que las partes interesadas deban utilizar la aplicación preferida por la empresa en lugar de la que les resulte más cómoda. La falta de visibilidad de lo que hay en su red o de cómo se utiliza, significa que las organizaciones están efectivamente ciegas a su impacto hasta que se produce un incidente. Ahí está el problema: ¿cómo administra los dispositivos móviles una organización sin diluir el rendimiento ni afectar la experiencia de los usuarios y, al mismo tiempo, sin comprometer la seguridad a expensas de la comodidad?

La respuesta es garantizar que la seguridad de los datos y la privacidad estén equilibradas y siempre en primer plano en cada proceso, aplicación o recurso de la empresa que se ejecute en dispositivos móviles, y nunca como una idea tardía.

Los factores críticos de los que más se suele oír hablar en los medios de comunicación son los dispositivos, los usuarios y los datos, pero la seguridad de los dispositivos móviles afecta también a muchos aspectos de una organización, como:

• Pérdida de la integridad de las empresas y de su percepción/reputación pública
• Cese de las operaciones comerciales e impedimento de la continuidad empresarial
• Filtración de información confidencial, como secretos comerciales
• Responsabilidad civil y/o penal derivada de la violación de las normas de cumplimiento
• Compromisos de dispositivos que conducen a movimientos laterales de la red y a posteriores transgresiones de datos
• Acceso no autorizado a datos protegidos del usuario, como PII y PHI
• Obstaculizando el potencial de los espacios de trabajo móviles y las fuerzas laborales distribuidas

Es importante señalar que, aunque cualquiera de estos problemas de seguridad, o potencialmente todos ellos, pueden afectar su organización, esta información pretende informar, no asustar. Ser consciente de las amenazas móviles que existen y de cómo afectan su organización es el primer paso hacia la aplicación de una estrategia de defensa en profundidad que administre los dispositivos móviles de forma holística y exhaustiva, al tiempo que mitigue la lista actual y creciente de amenazas móviles.

Tipos de amenazas para la seguridad de los dispositivos móviles

A continuación encontrará una lista de las principales amenazas que afectan la seguridad móvil. Esta lista no es en absoluto exhaustiva o a prueba de futuras amenazas. Proporciona información sobre las amenazas más comunes, para que tanto los informáticos como los usuarios tengan una idea más clara de las vulnerabilidades y campañas de ataque que aprovechan actualmente los malhechores para atacar los terminales móviles.

• Phishing: Campañas de ingeniería social que aprovechan los SMS, el correo electrónico, las llamadas telefónicas, las redes sociales, los códigos QR y el software de mensajería para engañar a los usuarios finales, comprometer las terminales y obtener acceso a datos confidenciales.
• Malware: Código malicioso que compromete la seguridad y la privacidad de las terminales y de los usuarios, respectivamente, para conseguir un objetivo concreto. Algunos ejemplos son:
  • Ransomware: Cifra los datos privados y pide al usuario que pague un rescate por la clave de descifrado o se arriesga a perder los datos para siempre.
  • Programas espía: Recopilan información sensible sobre los usuarios, como el historial de navegación y las cookies para secuestrar sesiones para tareas sensibles, como las bancarias.
  • Adware: Entrega de anuncios incrustados con código malicioso de productos y servicios para incitar a los usuarios a hacer clic en ellos para explotar las vulnerabilidades del dispositivo.
  • Stalkerware: Al igual que el Spyware, los datos objetivo incluyen cámaras, fotos, micrófono, registro de conversaciones de texto y datos de localización para rastrear el paradero de la víctima.
  • Criptominería: Microcódigo que reduce el rendimiento del hardware mediante el uso de recursos de hardware para minar criptomonedas para criminales.
  • Programa potencialmente no deseado (PUP): No siempre se clasifica como malware, pero suelen ser aplicaciones no deseadas que vienen incluidas con software legítimo, introduciendo riesgos potencieales.
  • Troyano: Código malicioso incrustado o empaquetado como aplicaciones legítimas para enmascarar su verdadera intención. Ex. Software comercial que ha sido crackeado y distribuido gratuitamente a través de tiendas de aplicaciones no oficiales.
• Pérdida/robo: Debido a su portabilidad, los datos sensibles y la información privada corren un mayor riesgo de verse comprometidos por extravío, pérdida o robo por parte de delincuentes.
• Man-in-the-Middle (MitM): Las escuchas se producen cuando usuarios desprevenidos se conectan a puntos de acceso públicos o a puntos de acceso no autorizados, lo que permite a los atacantes interceptar sus comunicaciones y escalar los ataques.
• Permisos de aplicaciones: Establecer permisos inadecuados o abusar de los permisos concedidos conduce a un acceso indebido a los datos, a violaciones de la privacidad y, posiblemente, a la exfiltración de datos.
• Gestión de parches: La falta de actualizaciones deja a los dispositivos vulnerables a amenazas conocidas que podrían mitigarse, permitiendo que el hardware/software actúe como vector de ataque.
• Contraseñas débiles/sin contraseña: Las contraseñas predeterminadas, débiles o simplemente no habilitadas, proporcionan poca o ninguna protección contra el acceso no autorizado al dispositivo y/o a los datos.
• Cifrado: A diferencia de las contraseñas anteriores, el cifrado (también conocida como "seguridad de último esfuerzo") mantiene seguros los datos codificándolos, haciéndolos casi indescifrables para cualquiera que no tenga la contraseña o la clave de recuperación.
• Conexiones inseguras: Los puntos de acceso Wi-Fi abiertos no ofrecen ninguna protección de seguridad —solo acceso a Internet—, dejando que los datos en tránsito puedan ser leídos por cualquiera que esté escuchando en la misma red.
• Configuraciones erróneas: Los dispositivos mal configurados o los que tienen activados los valores predeterminados no están reforzados contra las amenazas comunes y, por tanto, tienen una mayor superficie de ataque para que los actores de amenazas los comprometan y exploten.

Empecemos por la razón más obvia: las tasas de adopción de dispositivos móviles en todo el mundo han crecido y siguen creciendo a velocidades vertiginosas. Solo se preguntará, ¿hasta dónde llega la penetración de los dispositivos móviles? Según una encuesta de BankMyCell (actualizada en 2024), este es el desglose del uso de teléfonos inteligentes en todo el mundo:

• 7,210 millones es el número de suscripciones activas
• 4,880 millones son el número de usuarios
• 60.42% de la población mundial posee un smartphone
• 2,330 millones de suscripciones corresponden a usuarios con varios smartphones
• 8,100 millones es la población mundial actual estimada

A pesar de acaparar la mayor parte de la cuota de mercado en el espacio de los dispositivos móviles, las cifras de los smartphones siguen dejando fuera a otros tipos de dispositivos populares, como las tabletas, así como a los wearables, como los smartwatches. Los interesados pueden utilizar fácilmente cada uno de estos dispositivos para uso personal junto con casos de uso relacionados con el trabajo, como:

• Tratamiento de datos empresariales
• Uso de apps relacionadas con el trabajo
• Acceso a los recursos institucionales
• Conexión a las redes de la empresa

Aunque las partes interesadas mantengan separados el trabajo y el uso personal, sin una administración y estrategias de seguridad adecuadas, los riesgos derivados de la mezcla de datos, la falta de conformidad de los dispositivos y las implicaciones para la privacidad siguen siendo preocupaciones válidas.

Otras ventajas que se obtienen cuando las estrategias móviles se integran en su plan de seguridad son:

• La protección se extiende uniformemente por toda la infraestructura
• Mitigar el riesgo de las terminales contra las amenazas modernas y en evolución
• Salvaguardar los recursos empresariales y los datos de privacidad
• Conseguir la paridad de seguridad sin importar los modelos de propiedad de los dispositivos
• Garantizar un trabajo seguro desde cualquier lugar, en cualquier dispositivo y a través de cualquier conexión de red
• Obligar el cumplimiento, alineándose con las normas de la empresa y/o los reglamentos del sector

Tipos de soluciones de seguridad para dispositivos móviles

Comparemos brevemente las tasas de crecimiento de los móviles con las de las computadoras. Entre 2025 y 2029, se prevé que la última crezca a un ritmo del 0.06% anual. Por el contrario, se prevé que la primera crezca a un ritmo del 3.76% anual durante el mismo periodo de tiempo.

Las crecientes tasas de adopción de dispositivos móviles y la utilización de tecnologías avanzadas, como GenAI, precipitan que los actores de amenazas se dirijan a los móviles con amenazas cada vez más sofisticadas. Para subrayar aún más la importancia de administrar y proteger su infraestructura, las siguientes soluciones son esenciales para proteger su flota móvil, sus datos y sus usuarios:

• Zero Trust Network Access: El ZTNA, como se denomina, protege las comunicaciones de red de forma similar a la VPN, mientras proporciona salvaguardas adicionales que protegen los recursos, como las apps y los servicios. Con comprobación integrada del estado de los dispositivos, el departamento de IT obtiene una visión granular de los dispositivos, incluidos los niveles de parches, si los dispositivos están comprometidos o afectados por malware y si cumplen los requisitos de la organización, antes de que se apruebe el acceso a los recursos individuales. Los recursos se segmentan de los demás con el fin de mantener la seguridad. Esto significa que si una app particular se ha visto comprometida, se restringe el acceso a la app afectada, mientras que los usuarios pueden seguir trabajando con otros recursos sin temor a que el movimiento lateral comprometa los recursos no afectados. Se rechaza el acceso a los dispositivos que no superan las comprobaciones de estado de salud, y a continuación se les somete a un proceso de corrección en el que se mitigan y verifican los problemas antes de que se les pueda conceder el acceso.
• Protección de terminales móviles: Evitar el malware es solo una parte de la ecuación de la seguridad de los dispositivos móviles. Mitigar las amenazas del phishing, identificando y bloqueando los dominios que aprovechan las URL maliciosas en sus campañas y los ataques de día cero es un importante paso que va adelante en la protección de su flota de dispositivos móviles. Las protecciones adicionales frente a ataques basados en la red, como MitM, así como la comprobación del cumplimiento, permiten a las organizaciones alinear los requisitos con las Políticas de Usuario Aceptable (PUA). Esto minimiza la configuración errónea de los ajustes mediante la administración basada en políticas, reforzando aún más la postura de seguridad de su dispositivo y la de su organización, independientemente de si es local, está basado en la nube, es público y/o privado, o una combinación de ambos.
• Filtrado de contenidos de sitios web: Implementar el filtrado inteligente de contenidos de sitios web maliciosos para no solo minimizar la amenaza de los sitios web de phishing, sino además la reducción de la exposición legal por uso inapropiado y/o sitios web ilícitos. Todo ello aprovechando los controles de seguridad atentos a la red que protegen las conexiones móviles, por cable, itinerantes y Wi-Fi, proporcionando una capa adicional de protección a las partes interesadas y a los dispositivos. El escalado fluido a través de múltiples modelos de administración, como BYOD/CYOD/COPE, para hacer cumplir las AUP tanto en los dispositivos propiedad de las empresas como en los de propiedad personal, garantiza que los recursos de la organización estén protegidos del mismo modo que la privacidad del usuario final.
• Manejo de parches: La administración de dispositivos no está completa sin hablar de los ciclos de vida de las apps y los dispositivos. Una administración eficaz garantiza que ambos se obtengan y actualicen, que las configuraciones críticas se establezcan de forma coherente en todos los tipos de dispositivos. Al mismo tiempo que proporciona una plataforma de administración centralizada que mitiga las vulnerabilidades del software, los usuarios finales pueden enfocarse en hacer su trabajo desde cualquier lugar y en cualquier momento, sin poner límites a su eficiencia. Esto alerta a los equipos de IT y Seguridad de los problemas en tiempo real, permitiéndoles responder rápidamente a los incidentes. Y no olvidemos esto: la capacidad de dar soporte a las últimas características de seguridad, nuevas funcionalidades y actualizaciones de software desde el primer día.

Los dispositivos móviles forman parte de un plan de seguridad integral

Si las empresas protegen las computadoras, ¿por qué no protegen los dispositivos móviles?

Sin importar su industria o ubicación regional, las organizaciones de todo el mundo han adoptado y siguen adoptando los dispositivos Apple para trabajar. Considere que en 2021, ¡los ingresos anuales de Apple eran de 365,800 millones de dólares! El porcentaje de esos ingresos generados por las ventas combinadas de iPhone (51.9%) e iPad (8.8%) fue del 60.7%. El Apple Watch por sí solo vendió más que el iPad y la Mac (9.8%) por separado, representando el 10.4% de los ingresos totales.

Está claro que existe una demanda de dispositivos móviles con iOS y iPadOS, entre otros con Windows, Android y Chrome OS. Más dispositivos = un mayor potencial de introducir riesgos en su organización.

Los dispositivos móviles son menos abiertos que las computadoras, ¿por qué necesitan el mismo nivel de seguridad que éstos?

Bien, a fin de cuentas son dispositivos informáticos y, más concretamente, utilizan y dependen de los mismos tipos de apps, servicios y procesos para realizar su trabajo de forma segura. Dejando a un lado las diferencias entre la forma en que los sistemas operativos móviles y de escritorio manejan los procesos o flujos de trabajo, no e equivoque: comparten muchas similitudes en lo que se refiere al riesgo de las terminales y la seguridad de los datos. Esto hace que sea fundamental que los administradores de IT tengan en cuenta sus similitudes al crear procesos de administración multiplataforma, al mismo tiempo que tienen en cuenta sus diferencias al implementar controles específicos para minimizar la variedad de factores de riesgo propios de cada plataforma.

¿Cómo afectan a la seguridad móvil los entornos mixtos, en los que se utilizan dispositivos de propiedad personal y corporativa?

Para las organizaciones que no cuentan con un plan de seguridad de dispositivos móviles, la realidad es que hay poca diferencia entre los dispositivos de propiedad personal y los de propiedad corporativa si se mira a través de la lente del control de riesgos. Sin visibilidad en la flota de dispositivos móviles, los equipos de IT y de seguridad carecen de la información necesaria sobre el estado de los dispositivos en tiempo real para comprender realmente la postura de seguridad de los propios dispositivos o cómo afecta a la postura de seguridad general de la organización.

Sin embargo, si tiene una estrategia para dispositivos móviles integrada en un plan de seguridad holístico, estará protegido frente a las amenazas modernas. No solo las que afectan a los sistemas operativos de computadoras de escritorio o móviles, sino a todas sus plataformas compatibles, sin importar el tipo de dispositivo o el modelo de propiedad. A continuación, hay una cobertura que protege la infraestructura de forma integral. Se extiende a través de dispositivos, usuarios, recursos y repositorios de datos para garantizar que la seguridad sea un requisito fundamental que se aplique de forma escalonada: de arriba abajo y de extremo a extremo.

¿Por qué es ahora el momento adecuado para invertir en la seguridad de los dispositivos móviles?

En lo que respecta a la seguridad, existe un aforismo, de naturaleza más bien anecdótica, que identifica el momento anterior a un incidente de seguridad como aquel en el que las empresas no sienten la necesidad de invertir en protección porque lo consideran un gasto innecesario... hasta que se produce un incidente de seguridad y entonces, las empresas están mucho más dispuestas a invertir grandes sumas de dinero en el incidente para que desaparezca.

En pocas palabras: cuando las cosas están tranquilas, es fácil perder de vista lo bien que está funcionando la seguridad de los endpoints porque se están mitigando los incidentes de seguridad.

Otra forma de verlo es que el mejor momento para invertir en seguridad móvil no es cuando su organización está siendo atacada, sino cuando los equipos de IT y de seguridad pueden trabajar juntos para implementar adecuadamente las tecnologías que necesitan para abordar los requisitos únicos de la organización sin que se tomen medidas precipitadas para "limpiar el desastre lo antes posible".

Conclusión

La estrategia de seguridad móvil es un aspecto clave crucial, a veces mal manejado y a menudo pasado por alto, de un plan de seguridad integral. Una que proteja de forma integral los dispositivos, así como a los usuarios y los recursos empresariales, frente al panorama moderno de amenazas, que incluye las actuales y las más novedosas.

El dilema de la seguridad de los móviles se ve agravado por el hecho de que la adopción de dispositivos móviles por parte de los usuarios sigue disparándose, con unas tasas de adopción mundial que no tienen nada que envidiar a otras tecnologías de cómputo. El aumento de dispositivos unido a los avances de las tecnologías móviles se traduce en un mayor uso y dependencia en todas las plataformas y afecta a casi todas las industrias.

Combinado con lo anterior, los objetivos empresariales dependen cada vez más de la globalización y de las fuerzas de trabajo híbridas. Con los actores de las amenazas dirigiéndose cada vez más a los dispositivos móviles, las organizaciones no deben limitarse a proteger su flota de dispositivos de las amenazas: necesitan proteger su infraestructura, seguir cumpliendo la normativa y mantener a salvo los recursos.

En el centro de la protección de su entorno está la integración de la seguridad móvil, junto con su plan de seguridad existente, para garantizar que no haya lagunas en la protección. Solo una solución que integre a la perfección la administración de dispositivos, el control de identidades y accesos, y la seguridad de puntos finales para proteger de forma integral todos sus dispositivos, sin comprometer la eficacia ni afectar a la privacidad de los usuarios y manteniendo su experiencia.