SHIELD

Dispositivos

Teléfono de trabajo: Android, iPhone o nada

Comparación honesta de ambas plataformas para un uso profesional en entorno restringido, con los compromisos reales.

Publicado el 18 min de lectura Exposed

Última revisión:

Ordenador portátil abierto sobre un escritorio

Un director financiero me llama tres días después del hundimiento de una operación de M&A. Su teléfono: un iPhone personal en BYOD, todas sus apps de familia dentro, el correo profesional gestionado por el MDM de la empresa. Salvo que el MDM no separaba nada de su iCloud personal. Los ficheros de due diligence habían aterrizado en iCloud Photos —copia de seguridad automática— y luego en el álbum compartido con su cónyuge a través del uso compartido en familia. Cinco cuentas de Apple distintas habían visto pasar los documentos. Nadie había «hackeado» nada. El teléfono simplemente había hecho aquello para lo que está diseñado: sincronizarlo todo, en todas partes, todo el tiempo.

Angle de lecture

La trampa habitual

«Tenemos un MDM, estamos protegidos.» Es la frase que oigo con más frecuencia cuando planteo la cuestión del teléfono de trabajo. Es falsa en la mayoría de los despliegues que audito, y es falsa precisamente donde importa. Un MDM controla el enrolamiento, puede imponer un código PIN, puede borrar el dispositivo a distancia, puede ver la lista de apps instaladas y su versión. Lo que no puede hacer: impedir que iCloud sincronice un documento profesional en el álbum de fotos familiar, evitar una captura de pantalla guardada en el carrete personal, ni controlar lo que el usuario hace con un fichero una vez que lo ha abierto y reenviado por WhatsApp. El problema no es el MDM. El problema es creer que un MDM colocado sobre un dispositivo personal resuelve la separación de los datos. No la resuelve. La maquilla.

La segunda trampa es la guerra de religión Android contra iPhone. Le explicarán que iOS es «cerrado, por tanto seguro» o que Android es «abierto, por tanto peligroso», y lo contrario con la misma seguridad en el bando de enfrente. Las dos afirmaciones son eslóganes. La plataforma importa menos que la configuración, que la cuenta vinculada a ella, y que el uso real que se hace. Un iPhone de última generación conectado a un iCloud familiar compartido con tres adolescentes y atiborrado de apps gratuitas es menos seguro que un viejo Pixel con un sistema reforzado usado para dos apps elegidas. El debate plataforma contra plataforma es una comodidad intelectual que evita la verdadera pregunta: ¿qué transita por este teléfono, y quién lo quiere?

La tercera trampa es más insidiosa. Se trata el teléfono como un detalle frente al portátil, cuando se ha convertido en lo contrario. El teléfono es el terminal que nunca abandona el bolsillo, que recibe los códigos MFAAutenticación de múltiples factores: combinar dos pruebas de identidad independientes para iniciar sesión., que aloja la mensajería, que geolocaliza permanentemente, que pasa las fronteras en el bolsillo y no en la maleta. Es el punto único de fallo más denso de su vida digital, y se trata con una despreocupación que nunca se concedería a un puesto de trabajo. La pregunta correcta no es «qué teléfono es el más seguro», sino «de qué debe protegerme este teléfono, y qué estoy dispuesto a pagar en comodidad por ello».

Modelo de amenaza real: quién lo quiere, y cómo

Antes de elegir una plataforma, hay que nombrar al adversario. El teléfono de un comercial sin acceso a datos sensibles y el de un directivo en plena operación de M&A no afrontan las mismas amenazas, y aplicarles la misma configuración es un error en ambos sentidos: sobreproteger al primero crea una fricción inútil, infraproteger al segundo crea un siniestro.

El primer vector, el más banal y el más frecuente, es la exfiltración pasiva por las propias apps. La mayoría de las fugas de datos móviles no provienen de un exploit sofisticado sino de apps perfectamente legales que aspiran lo que se les ha autorizado: geolocalización revendida a data brokersEmpresa que recopila, agrega y revende datos personales a gran escala., agenda de contactos subida «para mejorar el servicio», acceso al portapapeles donde quedan contraseñas pegadas. Una app del tiempo gratuita que conoce su posición al metro las 24 horas del día produce un perfil de desplazamiento que, cruzado, revela su domicilio, su oficina, sus citas recurrentes y sus desplazamientos inhabituales. Son metadatosDatos sobre los datos: quién escribió qué, cuándo, dónde, a quién., y a menudo hablan más alto que el contenido.

El segundo vector es la cuenta más que el dispositivo. Un atacante no necesita tocar físicamente su iPhone si puede tomar el control de su Apple ID o de su cuenta de Google. Un SIM swapAtaque en el que un fraude convence a tu operador de transferir tu número a una SIM propia. exitoso, seguido de un restablecimiento de contraseña por SMS, y el adversario accede a sus copias de seguridad en la nube, sus fotos, a veces sus mensajes —sin acercarse jamás al teléfono—. Por eso la seguridad del teléfono de trabajo empieza por la seguridad de la cuenta que lo alimenta, no por la carcasa blindada.

El tercer vector, reservado a los perfiles realmente objetivo, es la explotación activa: los IMSI-catchersFalsa estación base móvil que fuerza a los teléfonos a conectarse para interceptar tráfico e identificadores. que interceptan el tráfico móvil en las inmediaciones, las herramientas de extracción forense tipo Cellebrite o GrayKey utilizadas en las fronteras y en las detenciones, y los spyware mercenarios de clase Pegasus capaces de un compromiso sin clic. Estas amenazas son raras pero reales para los directivos expuestos, los periodistas, los abogados de negocios y toda persona que viaje a zonas de riesgo. Es ese último tercio el que justifica las configuraciones más duras —Lockdown Mode, sistema reforzado, teléfono de misión desechable—. Aplicárselas al ciudadano de a pie es teatro; no aplicárselas a un objetivo confirmado es una falta.

iPhone contra Android: la comparación sin el folclore

Pongamos los hechos técnicos, sin eslogan. En cuanto a la seguridad de hardware, ambas plataformas están ya a la par en la gama alta: el Secure Enclave de Apple y el Titan M2 de los Pixel son coprocesadores dedicados que aíslan las claves de cifrado y la biometría del sistema principal. El desbloqueo por huella o rostro no libera la clave fuera de ese chip, y el número de intentos está limitado por hardware. En ese terreno, un iPhone reciente y un Pixel reciente ofrecen una protección comparable contra la extracción por fuerza bruta del código.

La verdadera diferencia se juega en tres ejes concretos. El primero es el ritmo y la universalidad de las actualizaciones. Apple empuja una versión de iOS el mismo día a todo el parque compatible, y un parche crítico alcanza a cientos de millones de dispositivos en unos pocos días. Del lado de Android, la fragmentación sigue siendo un problema: solo los Pixel y un puñado de fabricantes garantizan parches rápidos y duraderos; en el resto del parque, un teléfono de gama media comprado hace dos años puede no recibir ya ningún parche de seguridad. Para un uso profesional, eso descalifica de hecho a la mayoría de los Android de consumo y reduce la elección de Android serio a la gama Pixel —o a un sistema reforzado encima—.

El segundo eje es el modelo de app. El control de la App Store elimina la mayor parte del malware de consumo, al precio de un ecosistema cerrado. Android autoriza la instalación fuera de la tienda (sideloading), lo que es a la vez una libertad valiosa para un perfil avezado y una puerta abierta para un usuario que pincha en un APK recibido por mensaje. La granularidad de los permisos juega en sentido inverso: Android, y sobre todo los sistemas reforzados encima, permiten un control mucho más fino de lo que una app puede hacer —en particular cortar el acceso a la red de una app dejándole sus demás permisos, algo que iOS no sabe hacer de forma nativa—.

El tercer eje es la extracción forense y las fronteras. Las herramientas tipo Cellebrite o GrayKey explotan permanentemente fallos para extraer el contenido de un teléfono incautado. Ninguna plataforma es inmune de forma duradera, pero el estado en el que se encuentra el dispositivo en el momento de la incautación lo cambia todo: un teléfono que no se ha desbloqueado desde el reinicio (estado BFU, Before First Unlock) tiene sus datos cifrados en reposo y resiste mucho mejor que un dispositivo ya desbloqueado una vez (estado AFU). La disciplina operativa —apagar completamente el teléfono antes de un paso de frontera sensible en lugar de bloquearlo— importa más que la marca. En este punto, un control fronterizoRegistro de dispositivos electrónicos en las fronteras por las aduanas o la policía. no se gestiona con una carcasa sino con un procedimiento: apagado completo, código largo, sin biometría activa en zona de riesgo.

El enfoque correcto: un espectro, no un bando

No existe el «mejor teléfono». Existe un espectro de aislamiento, del más práctico al más duro, y se coloca el cursor en función del modelo de amenaza y de la comodidad que se está dispuesto a sacrificar. Aquí están los cuatro niveles que utilizo realmente.

Nivel 1 — iPhone estándar, cuenta dedicada. Para la mayoría de los usos profesionales en empresa no crítica, es la línea de base honesta. iOS aporta una buena seguridad básica: aislamiento de las apps (sandboxing), Secure Enclave para las claves biométricas y de cifrado, actualizaciones rápidas empujadas simultáneamente a todo el parque, control estricto de la App Store que elimina la mayor parte del malware. La palanca que lo cambia todo no es el dispositivo sino la cuenta: un Apple ID dedicado a lo profesional, sin uso compartido en familia, con iCloud Photos y la copia de seguridad de los documentos sensibles desactivados. Es gratis, es invisible para el usuario, y suprime la práctica totalidad de las fugas involuntarias que veo en auditoría.

Nivel 2 — iPhone + Lockdown Mode. Para los perfiles con riesgo de ataque dirigido avanzado —directivos, abogados de negocios, periodistas, personas expuestas mediáticamente—. Lockdown Mode desactiva o restringe las funciones que han servido de puerta de entrada a ataques documentados: compilación JIT en WebKit (elimina toda una clase de exploits de navegador al precio de una navegación más lenta), vistas previas de enlaces en Mensajes, conexiones por cable hacia un dispositivo desconocido cuando el teléfono está bloqueado (lo que complica la extracción por cable), perfiles de configuración no firmados. El coste ergonómico es real pero soportable: algunas web apps van lentas, unas pocas funciones desaparecen. A probar durante una semana normal antes de imponérselo a un directivo, si no lo desactivará el primer viernes por la noche.

Nivel 3 — Pixel con GrapheneOS. Cuando el modelo de amenaza justifica salir del ecosistema de consumo. GrapheneOS es un Android reforzado, desarrollado de forma independiente de Google, que solo funciona en los Pixel. Aporta cosas que no existen en ningún otro sitio: permiso de red por app (usted autoriza a una app a usar el micrófono pero le corta todo acceso a Internet —capta pero no puede exfiltrar nada—), Play Store opcional ejecutado en sandbox sin privilegio de sistema, ningún servicio de Google activo por defecto, refuerzos serios del núcleo. El inconveniente es honesto: algunas apps bancarias o de empresa se niegan a funcionar por falta de Play Integrity, y la adopción exige aceptar un ecosistema más austero. Para un uso operativo sensible con un puñado de apps elegidas, es la solución más sólida disponible en smartphone.

Nivel 4 — Teléfono de misión dedicado. Para las situaciones de riesgo elevado y acotado en el tiempo: operación de M&A, negociación sensible, desplazamiento a China o a Rusia. Un teléfono desechableTeléfono de prepago desechable utilizado para un objetivo puntual, luego abandonado. con una eSIMSIM integrada y reprogramable, compatible con varios perfiles de operador. temporal, configuración mínima, ninguna app y ninguna cuenta personales, ningún acceso a los sistemas de la empresa salvo a través de una VPNTúnel cifrado entre tu dispositivo y un servidor, que oculta tu IP y tu tráfico a tu ISP. estrictamente controlada. El principio es el del portátil de viaje: el dispositivo está concebido para ser perdido, incautado o comprometido sin que sea un siniestro. El teléfono principal se queda en el país, o se va en modo avión y no abandona la caja fuerte.

En todo este espectro, tres medidas transversales valen más que la elección de plataforma. Una, asegurar la cuenta que alimenta el teléfono: MFA hardware, sin recuperación por SMS, vigilancia del SIM swapAtaque en el que un fraude convence a tu operador de transferir tu número a una SIM propia. ante el operador. Dos, pasar las conversaciones sensibles a SignalMensajería de código abierto con E2EE por defecto, operada por la Signal Foundation., el único mensajero que combina cifrado de extremo a extremo (E2EECifrado de extremo a extremo: solo el emisor y el destinatario pueden leer el contenido.) y recogida mínima de metadatos —WhatsApp cifra el contenido pero entrega a Meta quién habla con quién, cuándo y con qué frecuencia, lo que basta para reconstruir una operación—. Tres, hacer el inventario de las apps y cortar los permisos abusivos. Estos tres gestos cuestan cero euros y cierran más puertas que cualquier cambio de teléfono.

BYOD o teléfono dedicado: el arbitraje honesto

La pregunta vuelve en cada despliegue: ¿hay que dejar a la gente usar su propio teléfono (BYOD, Bring Your Own Device) o proporcionar un dispositivo profesional dedicado? La respuesta teatral —«todo el mundo en dedicado»— es financiera y humanamente insostenible. La respuesta honesta depende, una vez más, de los datos que transitan.

El BYOD tiene dos ventajas reales que no se pueden barrer. Cuesta menos, y sobre todo se adopta mejor: la gente cuida de su propio teléfono, lo lleva siempre encima, no lo deja «en la oficina el fin de semana». Los estudios de despliegue muestran sistemáticamente una tasa de adopción de las políticas de seguridad superior en los dispositivos que los usuarios poseen. Pero el BYOD tiene un límite estructural: se impone una compartimentación sobre una máquina que pertenece a otra persona y cuyos usos desbordan ampliamente el marco profesional. iCloud familiar, mensajerías personales, apps de ocio, fotos privadas —todo convive con los datos de la empresa—. Un MDM puede aplicar políticas, pero no puede decidir lo que el usuario hace con un fichero una vez que lo ha abierto en una app personal.

El teléfono dedicado ofrece un aislamiento real: cuenta de nube creada para lo profesional, sin vínculo con la vida privada, sin uso compartido en familia, sin carrete personal que aspire los documentos. A cambio, se paga el doble dispositivo, se acepta una tasa de adopción a veces mediocre, y se asume que el usuario acabará instalando tres apps personales en el teléfono profesional al cabo de unos meses —lo que reintroduce una parte de la mezcla que se quería evitar—. La disciplina no se decreta, se concibe: un teléfono dedicado sin procedimiento de control deriva hacia un BYOD disfrazado.

Mi arbitraje es simple. Por debajo de cierto umbral de sensibilidad —un comercial, un jefe de proyecto sin acceso a datos estratégicos— un BYOD correctamente configurado, con cuenta de nube compartimentada y contenedor de trabajo, es aceptable. Por encima —comité de dirección, dirección financiera en operación, jurídico en litigio— es dispositivo dedicado, punto. Y para el nivel extremo, desplazamiento a zona de riesgo, es teléfono de misión que no sobrevive al viaje.

Lo que el MDM sabe hacer, y lo que no sabe hacer

Puesto que el MDM es la herramienta sobre la que todo el mundo se apoya, seamos precisos sobre su perímetro real. Un MDM sabe imponer un código PIN o la biometría, cifrar el contenedor de trabajo, borrar el dispositivo o solo el perfil profesional a distancia, bloquear ciertas apps o categorías, imponer una VPNTúnel cifrado entre tu dispositivo y un servidor, que oculta tu IP y tu tráfico a tu ISP. permanente, distribuir automáticamente las configuraciones de Wi-Fi y mensajería, ver la lista de apps instaladas y su versión, y verificar que el sistema operativo está actualizado antes de autorizar el acceso a los recursos de la empresa (la atestación de integridad, ladrillo de un enfoque zero-trustPrincipio: nunca confiar por defecto, verificar cada solicitud.).

Un MDM no sabe leer el contenido de las conversaciones cifradas —Signal, iMessage, WhatsApp siguen siendo opacos para él, es voluntario y es sano—. No puede impedir una captura de pantalla de un documento mostrado, ni la foto de una pantalla tomada con otro dispositivo. No controla nada de lo que sucede en las apps personales instaladas fuera de su perímetro. Y en un BYOD, no puede garantizar técnicamente que un copiar-pegar de una app profesional a una app personal no filtre el dato, salvo desplegando una política DLPSolución que detecta y bloquea fugas de datos sensibles (correos, archivos, portapapeles). aplicativa agresiva que los usuarios sortean rápido si es demasiado penosa.

La lección operativa cabe en una frase: un MDM da una ilusión de control sobre los dispositivos personales. Si su política de seguridad reposa sobre la convicción de que el MDM impide la fuga de datos desde un BYOD, está gestionando un riesgo que cree dominado cuando no lo está. El MDM es necesario, nunca es suficiente, y no sustituye jamás a la compartimentación por la cuenta y por el dispositivo.

Lo que esto implica en concreto

Para usted, como particular

Tres cosas esta semana, por menos de 200 €, que reducen realmente su exposición sin cambiar de teléfono.

  1. Separe la cuenta, no necesariamente el dispositivo — en su iPhone, cree un uso profesional propio: desactive el uso compartido en familia para sus documentos sensibles, corte iCloud Photos para las carpetas de trabajo, verifique que ningún álbum compartido sincroniza sus capturas de pantalla. Gratis, diez minutos, y suprime la fuga más frecuente.
  2. Haga limpieza de los permisos — revise, app por app, quién accede a su posición, su micrófono, sus contactos. Corte la geolocalización «siempre activa» para todo lo que no sea un mapa que use en directo. Desinstale las apps gratuitas del tiempo, linterna, VPN gratuitas y utilidades: su modelo de negocio es usted. Gratis.
  3. Pase lo sensible a Signal — para cualquier conversación que no querría ver leída por un tercero, use SignalMensajería de código abierto con E2EE por defecto, operada por la Signal Foundation. y active los mensajes que desaparecen. Y proteja la cuenta que sostiene su teléfono: MFA hardware o app de autenticación, nunca el SMS, y llame a su operador para activar una protección contra el SIM swapAtaque en el que un fraude convence a tu operador de transferir tu número a una SIM propia.. Gratis.

Para usted, CISO / Dirección de TI / directivo

1. Un MDM sin segmentación profesional/personal no es aceptable para los directivos. Imponer un MDM intrusivo en el dispositivo personal de un directivo —que ve sus apps, puede borrarlo todo, lee su posición— crea una resistencia legítima y perfectamente previsible: rechazará el equipamiento, o peor, lo sorteará. Los MDM modernos (Jamf, Intune) permiten la separación de los datos vía contenedores de trabajo o perfiles DLPSolución que detecta y bloquea fugas de datos sensibles (correos, archivos, portapapeles). aplicativos. Consecuencia directa: si su despliegue BYOD no separa técnicamente lo profesional de lo personal, tiene un riesgo jurídico RGPD sobre los datos personales que administra, además de una fuga de datos profesionales no dominada.

2. Defina el teléfono por el nivel de riesgo de los datos, no por la comodidad del usuario. Cartografíe qué roles acceden a qué: un comercial sin acceso a datos estratégicos puede quedarse en BYOD bien configurado; un miembro del comité de dirección en operación debe tener un dispositivo dedicado con cuenta compartimentada. Consecuencia directa: sin esa cartografía, aplica la misma política a toda la flota, por tanto demasiada fricción para unos y no suficiente protección para otros —y es exactamente el directivo expuesto quien obtiene la exención más peligrosa—.

3. Escriba y pruebe el procedimiento de salida. ¿Qué sucede en el teléfono de un BYOD cuando el empleado dimite? ¿El borrado parcial elimina realmente solo el contenedor profesional? Verifíquelo en condiciones reales, no en la ficha de producto del proveedor. Consecuencia directa: un borrado mal configurado elimina las fotos de familia de un ex empleado (litigio asegurado) o deja los datos profesionales en un dispositivo que se va a la deriva (fuga asegurada).

Errores que se ven todo el tiempo

  • BYOD con uso compartido en familia de iCloud activo: los ficheros recibidos o descargados en el teléfono «profesional» suben a los álbumes compartidos con la familia. Involuntario, sistemático, e invisible hasta el siniestro.
  • Creer que Lockdown Mode protege de todo: refuerza la superficie de ataque contra exploits precisos. No hace nada contra un usuario que reenvía voluntariamente un documento sensible por WhatsApp.
  • WhatsApp para las conversaciones de una operación: el contenido está cifrado, de acuerdo. Pero los metadatos —quién, cuándo, cuántas veces— tienen un valor en sí mismos y van a parar a Meta.
  • GrapheneOS impuesto a alguien que necesita su app bancaria: la configuración más bonita del mundo no sirve de nada si el usuario conserva un segundo teléfono no reforzado en paralelo para hacer lo que el primero ya no hace.
  • Asegurar el terminal olvidando la cuenta: un dispositivo bloqueado con TPM no vale nada si el Apple ID se restablece por un SMS interceptable por SIM swapAtaque en el que un fraude convence a tu operador de transferir tu número a una SIM propia..
  • Contar el teléfono profesional y olvidar el otro: el dispositivo no inventariado —el viejo Android personal, la tableta de los niños conectada a la misma cuenta— es la fuga por defecto.

Checklist accionable

  • N1 Crear una cuenta (Apple ID / Google) dedicada a lo profesional, distinta de la cuenta personal y familiar
  • N1 Desactivar el uso compartido en familia e iCloud Photos para los datos profesionales sensibles
  • N1 Auditar los permisos app por app y cortar la geolocalización 'siempre activa' superflua
  • N1 Desinstalar las apps gratuitas con modelo publicitario (tiempo, VPN gratuitas, utilidades)
  • N1 Pasar las conversaciones sensibles a Signal con mensajes que desaparecen
  • N2 Proteger la cuenta con MFA hardware o app, nunca por SMS, y activar la protección anti-SIM-swap en el operador
  • N2 Activar Lockdown Mode para los perfiles con riesgo de ataque dirigido avanzado, tras una semana de prueba
  • N2 Desplegar un MDM con separación profesional/personal documentada y procedimiento de salida probado
  • N2 Cartografiar los roles según el nivel de riesgo de los datos accesibles desde el móvil
  • N3 Evaluar un Pixel con GrapheneOS para los perfiles operativos más sensibles
  • N3 Prever un teléfono de misión desechable con eSIM temporal para los desplazamientos a países de riesgo
  • N3 Inventariar todos los dispositivos vinculados a las cuentas profesionales y neutralizar los dispositivos huérfanos

Para profundizar

La documentación de GrapheneOS detalla en concreto el modelo de permisos de red y el funcionamiento de la Play Store en sandbox, a leer antes de cualquier despliegue real. La guía de Lockdown Mode de Apple lista las funciones exactas desactivadas, indispensable para calibrar la expectativa ergonómica de un directivo. La Apple Platform Security Guide documenta el Secure Enclave y la cadena de cifrado, y los recursos de INCIBE sobre seguridad en dispositivos móviles encuadran el tema desde el punto de vista de una política de empresa. Sobre los vectores adyacentes, vea el SIM swapAtaque en el que un fraude convence a tu operador de transferir tu número a una SIM propia., el portátil de viaje y la preparación de un desplazamiento a China, tratados en los artículos relacionados.

Fuentes y lecturas complementarias

Artículos relacionados