Los smartphones y tablets se han convertido en herramientas de trabajo imprescindibles. Correo electronico, mensajeria, acceso al CRM, banca online, firma de documentos, videollamadas: gran parte de la actividad empresarial pasa hoy por dispositivos moviles. Sin embargo, la seguridad movil sigue siendo una asignatura pendiente para la mayoria de PYMEs espanolas.
Segun el informe de Zimperium sobre amenazas moviles de 2024, el 60% de los endpoints que acceden a recursos corporativos son dispositivos moviles, pero solo el 35% de las empresas aplica alguna politica de seguridad especifica para ellos. En las PYMEs, este porcentaje es aun menor.
BYOD vs dispositivos corporativos
La primera decision que debe tomar una PYME es si los empleados usaran sus dispositivos personales para trabajar (Bring Your Own Device - BYOD) o si la empresa proporcionara dispositivos corporativos.
| Aspecto | BYOD | Dispositivo corporativo |
|---|---|---|
| Coste inicial | 0 EUR (el empleado pone el dispositivo) | 300-800 EUR por dispositivo |
| Control de la empresa | Limitado | Total |
| Privacidad del empleado | Puede ser conflictiva | Clara separacion |
| Seguridad | Mas dificil de garantizar | Mas facil de gestionar |
| Satisfaccion del empleado | Alta (usa su propio movil) | Variable |
| Gestion de bajas | Compleja (datos en dispositivo personal) | Simple (se devuelve el dispositivo) |
Recomendacion para PYMEs
Para empresas de menos de 20 empleados, el BYOD con politica clara suele ser la opcion mas practica. El coste de proporcionar moviles corporativos es alto y la gestion duplicada (movil personal + corporativo) es incomoda para los empleados.
Si optas por BYOD, necesitas:
- Una politica escrita que defina las reglas del juego.
- Una solucion de separacion de datos (contenedor corporativo).
- Capacidad de borrado remoto de los datos corporativos (no del dispositivo completo).
Amenazas moviles mas comunes
1. Phishing movil (smishing y vishing)
El phishing en moviles es mas peligroso que en ordenadores por varias razones:
- Las pantallas pequenas dificultan ver la URL completa.
- Los navegadores moviles muestran menos informacion de seguridad.
- Los SMS de phishing (smishing) tienen una tasa de clic 6 veces superior a los emails de phishing.
- Las llamadas fraudulentas (vishing) son mas creibles cuando llegan al movil personal.
Ejemplos habituales en Espana:
- SMS de “Correos” pidiendo pagar gastos de aduana.
- SMS del “banco” alertando de un acceso no autorizado.
- Llamadas haciendose pasar por Microsoft, la Agencia Tributaria o la Seguridad Social.
- WhatsApp de un “hijo” pidiendo dinero urgente.
2. Aplicaciones maliciosas
Aunque Google Play y App Store tienen controles de seguridad, las apps maliciosas siguen colandose. En 2024, Google elimino mas de 2,3 millones de apps que violaban sus politicas. Los riesgos principales son:
- Apps que roban credenciales: Imitan apps legitimas (banca, correo) para capturar usuarios y contrasenas.
- Spyware: Apps que acceden al microfono, camara, GPS o contactos sin justificacion.
- Adware agresivo: Apps que muestran publicidad invasiva y recopilan datos de navegacion.
3. Redes WiFi publicas
Conectar el movil de trabajo a la WiFi de una cafeteria, hotel o aeropuerto expone las comunicaciones a ataques de tipo man-in-the-middle. Un atacante en la misma red puede interceptar trafico no cifrado e incluso inyectar contenido malicioso.
4. Perdida o robo del dispositivo
Un movil perdido o robado que no tiene bloqueo de pantalla, cifrado o capacidad de borrado remoto es una puerta abierta a todos los datos corporativos que contiene: correos, contactos, documentos, acceso a apps empresariales.
5. Sistemas operativos desactualizados
Los moviles Android que no reciben actualizaciones de seguridad (habitual en dispositivos de mas de 2-3 anos de gama baja) acumulan vulnerabilidades conocidas que los atacantes explotan activamente.
Configuracion segura de dispositivos
Android (version 13 o superior recomendada)
Bloqueo de pantalla: Configura PIN de 6 digitos minimo, patron complejo o biometria (huella/facial). Ajustes > Seguridad > Bloqueo de pantalla.
Cifrado del dispositivo: Los Android modernos tienen cifrado activado por defecto. Verifica en Ajustes > Seguridad > Cifrado.
Google Play Protect: Asegurate de que esta activo. Play Store > Perfil > Play Protect. Analiza las apps instaladas automaticamente.
Actualizaciones automaticas: Ajustes > Sistema > Actualizaciones. Activa las actualizaciones automaticas de seguridad.
Permisos de apps: Revisa periodicamente en Ajustes > Apps > Permisos. Preguntate: necesita esta app acceso a mi camara, microfono o ubicacion?
Fuentes desconocidas desactivadas: No permitas la instalacion de apps fuera de Google Play. Ajustes > Seguridad > Instalar apps desconocidas > Todo desactivado.
Buscar mi dispositivo: Activa en Ajustes > Seguridad > Encontrar mi dispositivo. Permite localizar, bloquear y borrar el movil de forma remota.
Perfil de trabajo: Si tu empresa usa Google Workspace o un MDM, configura el perfil de trabajo que separa apps y datos personales de los corporativos.
iOS (iPhone, version 17 o superior recomendada)
Codigo de acceso: Configura un codigo de 6 digitos o alfanumerico. Ajustes > Face ID y codigo > Activar codigo.
Face ID / Touch ID: Activa la biometria para desbloqueo y autenticacion en apps.
Actualizaciones automaticas: Ajustes > General > Actualizacion de software > Actualizaciones automaticas > Activar todo.
Buscar mi iPhone: Ajustes > [tu nombre] > Buscar > Buscar mi iPhone > Activar todo, incluyendo “Enviar ultima ubicacion”.
Borrado automatico: Ajustes > Face ID y codigo > Borrar datos (borra el iPhone tras 10 intentos fallidos de codigo).
Revision de permisos: Ajustes > Privacidad y seguridad. Revisa que apps tienen acceso a ubicacion, camara, microfono, contactos, fotos.
Informe de privacidad de apps: Ajustes > Privacidad y seguridad > Informe de privacidad de apps. Muestra que datos accede cada app y con que frecuencia.
Modo de aislamiento: Para perfiles de alto riesgo, iOS ofrece el Modo de aislamiento que limita drasticamente la superficie de ataque.
Soluciones MDM para PYMEs
Un MDM (Mobile Device Management) permite gestionar centralmente los dispositivos moviles de la empresa. Para PYMEs, las opciones mas accesibles son:
| Solucion MDM | Precio | Ideal para | Caracteristicas clave |
|---|---|---|---|
| Microsoft Intune (incluido en M365 Business Premium) | ~20 EUR/usuario/mes | PYMEs con Microsoft 365 | Gestion completa, politicas de cumplimiento, borrado remoto |
| Google Endpoint Management (incluido en Workspace) | 0 EUR (basico) | PYMEs con Google Workspace | Gestion basica, borrado remoto, politicas de contrasena |
| Jamf Now | 2 EUR/dispositivo/mes (3 gratis) | PYMEs con iPhone/iPad | Especifico Apple, muy intuitivo, ideal para flotas iOS |
| Scalefusion | Desde 2 EUR/dispositivo/mes | PYMEs con Android | Modo kiosco, gestion remota, soporte Android excelente |
| Hexnode | Desde 1 EUR/dispositivo/mes | PYMEs mixtas | Multiplataforma, buen precio, funciones completas |
Si tu PYME ya usa Google Workspace o Microsoft 365, lo mas logico es usar el MDM integrado antes de buscar soluciones externas.
Politica de seguridad movil: plantilla
Tu politica de dispositivos moviles deberia cubrir estos puntos:
Requisitos minimos del dispositivo
- Sistema operativo actualizado (Android 13+ o iOS 17+).
- Bloqueo de pantalla con PIN de 6 digitos minimo o biometria.
- Cifrado del almacenamiento activado.
- Antivirus instalado (Android).
- “Buscar mi dispositivo” activado.
Uso aceptable
- Solo instalar apps de tiendas oficiales (Google Play, App Store).
- No hacer root/jailbreak al dispositivo.
- No conectar a redes WiFi publicas sin VPN.
- No almacenar contrasenas corporativas en notas o mensajes.
- Reportar inmediatamente la perdida o robo del dispositivo.
Separacion de datos
- Usar perfil de trabajo o contenedor corporativo.
- No copiar datos corporativos a apps personales.
- No hacer capturas de pantalla de informacion confidencial.
En caso de baja del empleado
- Borrado remoto de datos corporativos antes del ultimo dia.
- Revocacion de acceso a cuentas corporativas.
- Verificacion de que no quedan datos corporativos en el dispositivo personal.
Que hacer si pierdes o te roban el movil de trabajo
- Inmediatamente: Avisa al responsable de IT de tu empresa.
- En los primeros 15 minutos: Accede a “Buscar mi dispositivo” (Google o Apple) desde otro dispositivo y bloquea el movil perdido.
- Si no puedes recuperarlo: Inicia el borrado remoto.
- Cambia contrasenas: De todas las cuentas corporativas accesibles desde ese movil (correo, CRM, banca).
- Revoca sesiones: Cierra las sesiones activas en Google/Microsoft/cualquier servicio cloud.
- Denuncia: Si es un robo, denuncia a la Policia (necesario para el seguro).
- Notifica al DPO: Si el dispositivo contenia datos personales de clientes, puede ser necesario notificar una brecha de datos bajo el RGPD.
Conclusion
Los dispositivos moviles son el eslabon mas debil de la seguridad de muchas PYMEs. Una politica clara, una configuracion segura por defecto y la capacidad de gestion remota son los tres pilares que necesitas.
No necesitas un MDM caro ni un equipo de IT dedicado. Empieza por asegurar que todos los moviles tienen bloqueo de pantalla, cifrado, actualizaciones automaticas y “Buscar mi dispositivo” activado. Estas cuatro medidas, combinadas con una VPN para redes publicas, cubren el 80% de los riesgos.
Este articulo es de caracter educativo y no constituye un servicio profesional de ciberseguridad. Consulte a un especialista certificado para soluciones especificas a su empresa.
