Artículos recientes

10 recomendaciones esenciales de seguridad para móviles

Repasamos el informe "Buenas Prácticas en Dispositivos Móviles" del CCN-CERT

10 recomendaciones esenciales de seguridad para móviles - Tu Blog Tecnológico

Siguiendo con los informes publicados este mes de octubre de 2016 por el Centro Criptológico Nacional, vamos a resumiros, en forma de consejos, el que trata de “Buenas Prácticas en Dispositivos Móviles”.

Logo CCN-CERT - 10 recomendaciones esenciales de seguridad para móviles - Tu Blog TecnológicoEn su introducción el CCN-CERT señala que la proliferación de dispositivos móviles, así como su creciente capacidad funcional, colocan estos dispositivos en el centro de atención de posibles atacantes. Tres pilares contribuirían de manera decisiva en la defensa que todos nosotros debemos observar de nuestros dispositivos móviles: la concienciación, tenemos que tener todos muy claro que la amenaza es real y el peligro existe, el sentido común en nuestra forma de usar los móviles y las buenas prácticas en la configuración. Sobre estas buenas prácticas incide el informe que busca en sus propias palabras “describir estas prácticas con el fin de ayudar a los usuarios finales a proteger y hacer un uso lo más seguro posible de los dispositivos móviles, profundizando en la configuración y utilización de los mecanismos de protección existentes en la actualidad” ofreciendo consejos y recomendaciones de seguridad.

La mejora de la protección frente a accesos físicos no autorizados, la mejora de la confidencialidad y seguridad del almacenamiento de la información y la mejora de la seguridad en las comunicaciones con otros equipos y servicios son los ejes alrededor de los cuales giran las recomendaciones.

Decálogo de recomendaciones

La pantalla siempre bloqueada si no estamos usando el móvil

10 recomendaciones esenciales de seguridad para móviles - Tu Blog TecnológicoEl móvil debe tener siempre activada la opción de bloqueo de pantalla y su desbloqueo debe estar siempre protegido mediante código de acceso o, si el dispositivo lo permite, mediante huella dactilar.  Tendremos cuidado de no dejar nunca móvil sin bloquearlo y de no permitir, en la medida de lo posible, funcionalidades con la pantalla  bloqueada. Se recomienda no mostrar contenido de notificaciones ni acceso a los controles rápidos. También se recomienda deshabilitar Google Assistant (o Now) en Android o Siri en iOS.

Cifrar el dispositivo móvil

Se recomienda utilizar las características de seguridad del propio dispositivo móvil para cifrar el contenido del móvil y no utilizar tarjetas de almacenamiento externas si no es posible el cifrado de las mismas. Si disponemos de un equipo con iOS (los equipos Apple) el cifrado estará activo si se ha establecido un código de acceso. En equipos Android debes acceder a Configuración > Seguridad > Encriptado, y seguir las indicaciones. En Android el cifrado de un dispositivo puede ser un proceso largo y no debe interrumpirse ya que se correo el riesgo de perder datos.

Sistema operativo y aplicaciones (Apps) siempre actualizados

Las versión actualizada soluciona vulnerabilidades de seguridad  y mejora la capacidad de no sufrir ataques en el dispositivo, sin embargo debemos recordar que puede haber vulnerabilidades desconocidas o aún no solucionadas por el fabricante. Siempre debemos extremar la prudencia ante mensajes o enlaces extraños, como insiste el informe aplicar siempre el sentido común antes de hacer nada, en particular si es la respuesta a un mensaje o la visita a una web.

No conectar el móvil a puertos USB desconocidos y no aceptar ninguna relación de confianza a través de USB sin asegurarnos de que el ordenador es de confianza

10 recomendaciones esenciales de seguridad para móviles - Tu Blog TecnológicoLos dispositivos móviles modernos nos piden establecer una relación de confianza la primera vez que los conectamos a un ordenador a través de USB. Para establecer esta relación es necesario desbloquear previamente el dispositivo móvil  y para confirmarla. La recomendación es no conectar el dispositivo móvil a puertos USB desconocidos y no aceptar ninguna relación de confianza a través de USB si no se tiene constancia de estar conectando el dispositivo móvil a un ordenador de confianza.  Además, en caso de utilizar Android, no habilitaremos la capacidad de depuración mediante USB (opción que se encuentra en Opciones de desarrollador) para evitar la instalación de aplicaciones desde USB. Como siempre insistir en  no dejar el dispositivo móvil desatendido sin bloquear.

Deshabilitar las comunicaciones inalámbricas que no vayan a ser utilizados de forma permanente por parte del usuario

Los dispositivos móviles tienen diversos tipos de formas de comunicarse: NFC, que permite comunicaciones inalámbricas de corto alcance, Bluetooth, en sus distintas tecnologías,  y Wi-Fi son las más comunes. La recomendación es no tenerlas habilitadas y hacerlo sólo si se van a utilizar. También se recomienda no tener  activada la localización.

No conectarse a redes Wi-Fi públicas abiertas (o hotspots Wi-Fi)

En una red pública abierta es posible para un atacante interceptar y manipular el tráfico, por lo que si se necesita usar una de estas redes la recomendación es hacerlo siempre utilizando un servicio de VPN que nos permita cifrar todo el tráfico que transmitamos sobre la red.

No instalar ninguna aplicación que no provenga de una fuente de confianza, como los mercados oficiales de Apps

No debemos instalar Apps que no provengan de una fuente de confianza como los mercados oficiales (Google Play, App Store). No se recomienda recomienda habilitar la funcionalidad que permite la instalación de apps desde repositorios de terceros, y desde luego no instalar nunca Apps desde fuentes de dudosa reputación, aunque estas sean gratuitas.

No otorgar permisos innecesarios o excesivos a las Apps

Las aplicaciones no disponen por defecto de acceso a los datos del dispositivo móvil, para acceder a los datos o a funciones debe solicitar permisos.  Estos permisos se solicitarán en el momento de la instalación o cuando la App deba ejecutar una determinada funcionalidad. La recomendación esa no otorgar permisos innecesarios o excesivos, para ello es necesario entender por qué una App pide un determinado permiso y que una App correcta de un fabricante serio debe explicar claramente los motivos por los que necesita un determinado permiso.

10 recomendaciones esenciales de seguridad para móviles - Tu Blog TecnológicoSiempre que sea posible se debe hacer uso del protocolo HTTPS y nunca se debe aceptar un mensaje de error de certificado digital inválido

Cuando utilizamos un navegador Web en un dispositivo móvil, independientemente del programa que utilicemos, depende de nosotros utilizar el protocolo HTTPS (poniendo “https://” antes de la dirección web) y no acceder a ninguna Web en la que el navegador web nos avise de un certificado digital inválido.  Las principales Web disponen de  página HTTPS y el navegador nos muestra un icono en la línea de la dirección web indicando que el sitio seguro está verificado, si pulsamos sobre él nos informará de los datos de certificación del servidor Web.

Realizar copias de seguridad periódicas

Para evitar pérdidas de datos derivadas de averías, extravíos, robos o cualquier incidencia que haga imposible el acceso a los datos de nuestros dispositivos móviles, la única prevención posible es la realización de copias de seguridad. En este mismo Blog hemos tratado este tema en diversos artículos: “Las copias de seguridad en nuestros dispositivos. ¿Por qué debemos realizarlas?“, “Cómo hacer copias de seguridad en móviles Android” o “Cómo hacer copias de seguridad en móviles iOS