Seguridad en celulares corporativos: proteger el dispositivo que mas usas

BYOD vs celular de empresa: elegir el modelo correcto

BYOD (Bring Your Own Device)

El empleado usa su celular personal para el trabajo. Es el modelo dominante en PyMEs argentinas porque no requiere inversion en dispositivos. Pero tiene riesgos concretos:

• Sin control: la empresa no puede exigir actualizaciones, antivirus ni configuraciones de seguridad en un dispositivo que no le pertenece
• Datos mezclados: las fotos personales, las apps de entretenimiento y los documentos laborales conviven en el mismo dispositivo. Si el empleado se va, llevarse "sus datos" puede incluir informacion de la empresa
• Sin borrado remoto: si el celular se pierde, la empresa no puede borrar sus datos sin borrar tambien los personales del empleado

Celular corporativo

La empresa entrega un celular exclusivo para uso laboral. Ventajas claras: control total, borrado remoto sin conflictos, configuracion estandarizada. Desventaja: costo (un celular de gama media + plan de datos = ~$50.000-80.000/mes por empleado entre amortizacion y servicio).

El modelo hibrido (COPE)

La empresa entrega el dispositivo pero permite uso personal limitado. Es el modelo que mejor equilibra seguridad y costo para PyMEs con mas de 10 empleados. La empresa configura el celular, instala un perfil de trabajo separado (Android Work Profile o Apple Business Manager) y mantiene el control de la particion corporativa sin invadir la privacidad personal.

MDM: gestion de dispositivos moviles

MDM (Mobile Device Management) es un software que permite administrar celulares corporativos de forma remota. No es un producto de lujo para multinacionales: hay soluciones accesibles para PyMEs.

Lo que permite un MDM:

• Forzar bloqueo de pantalla: exigir PIN de al menos 6 digitos o biometria (huella/cara)
• Encriptacion: asegurarse de que el almacenamiento del dispositivo este encriptado (iOS lo hace por defecto; Android necesita verificacion)
• Borrado remoto: si el celular se pierde o roban, borrar los datos corporativos a distancia
• Bloquear apps: impedir la instalacion de apps fuera de la tienda oficial o de una lista aprobada
• Ubicacion: localizar el dispositivo en caso de perdida (con consentimiento del empleado)
• Actualizaciones: forzar la instalacion de actualizaciones de seguridad del sistema operativo

Opciones accesibles: Google Endpoint Management (incluido en Google Workspace), Microsoft Intune (incluido en Microsoft 365 Business Premium), Mosyle (para entornos Apple, plan gratuito para hasta 30 dispositivos). Para PyMEs que ya usan Google Workspace o Microsoft 365, el MDM basico ya esta incluido en la suscripcion.

Bloqueo de pantalla: la primera barrera

Parece trivial, pero un celular sin bloqueo de pantalla es un acceso directo a todo: email, WhatsApp, banco, sistema de gestion. Si alguien lo agarra durante 30 segundos —en un bar, en una reunion, en un taxi— puede leer, copiar o reenviar cualquier informacion.

Configuracion minima recomendada:

• PIN de 6 digitos o biometria (huella dactilar o reconocimiento facial)
• Bloqueo automatico tras 1 minuto de inactividad (no 5, no 10: 1 minuto)
• Desactivar la previsualizacion de notificaciones en pantalla bloqueada (para que un mensaje de WhatsApp o un email no sea visible sin desbloquear)

Permisos de apps: menos es mas

Cada app que instalas pide permisos: camara, microfono, ubicacion, contactos, almacenamiento. Muchas piden mas de lo que necesitan. Una app de linterna no necesita acceso a tus contactos. Un juego no necesita tu microfono.

Regla practica: revisar los permisos de cada app instalada una vez al mes (Ajustes > Privacidad > Permisos en Android; Ajustes > Privacidad y seguridad en iOS). Revocar todo permiso que no sea estrictamente necesario para la funcion de la app. Si una app deja de funcionar al revocar un permiso, evaluar si realmente necesitas esa app.

WiFi publica: el riesgo invisible

Conectarse al WiFi del aeropuerto, del hotel o del bar expone todo el trafico del celular a potenciales interceptores. Un atacante en la misma red puede capturar credenciales, leer emails y monitorear la actividad web si la conexion no esta adecuadamente protegida.

Tres reglas para WiFi publica:

1. Usar VPN siempre: una VPN encripta todo el trafico entre el celular y el servidor VPN, haciendo inutil la intercepcion. Opciones confiables: Cloudflare WARP (gratis), ProtonVPN (gratis con limitaciones), NordVPN/ExpressVPN (pagas, ~USD 5/mes)
2. No acceder a banca ni sistemas criticos: incluso con VPN, evitar operaciones financieras desde WiFi publica. Usar datos moviles para eso
3. Desactivar conexion automatica: configurar el celular para que NO se conecte automaticamente a redes WiFi conocidas. Conectar manualmente solo cuando sea necesario

Borrado remoto: el plan B

Si el celular se pierde o es robado, la capacidad de borrar los datos a distancia es critica. Tanto Android (Google Find My Device) como iOS (Find My iPhone) ofrecen esta funcion de forma gratuita, pero debe estar activada antes de que ocurra el incidente.

Checklist de preparacion:

• Activar "Encontrar mi dispositivo" (Android) o "Buscar" (iOS)
• Verificar que la cuenta de Google/Apple tenga contrasena fuerte y MFA activado
• Hacer backup automatico a la nube (para no perder datos al borrar)
• Documentar el IMEI del dispositivo (Ajustes > Acerca del telefono) para la denuncia policial
• Tener el procedimiento escrito: a quien avisar, como activar el borrado, a quien denunciar

Phishing movil: mas peligroso que en la PC

El phishing en celulares es mas efectivo que en computadoras por tres razones: la pantalla chica dificulta ver la URL completa, las notificaciones push crean urgencia, y la gente tiende a actuar mas impulsivamente desde el celular.

Los vectores de phishing movil mas comunes en Argentina:

• SMS falsos (smishing): "Su paquete esta retenido en la aduana, ingrese aqui para liberarlo". "ARCA: su cuenta presenta irregularidades, regularice en 48hs"
• WhatsApp: mensajes que simulan ser de un banco, una tarjeta o un organismo publico, con links a sitios falsos
• Notificaciones push: apps maliciosas que envian notificaciones imitando alertas del sistema o del banco
• QR falsos: codigos QR pegados sobre los originales en restaurantes, estacionamientos o carteleria, que redirigen a sitios maliciosos

La defensa es la misma que para el phishing por email: verificar el remitente, no hacer click en links sospechosos, nunca ingresar credenciales desde un link recibido (ir directamente a la app o al sitio escribiendo la URL). Como complemento, activar autenticacion multifactor (MFA) en todas las cuentas criticas: asi, aunque un ataque de phishing capture la contrasena, no alcanza para acceder.

WhatsApp Business en telefono personal: la bomba silenciosa

El escenario mas comun y mas riesgoso en PyMEs argentinas: el vendedor usa WhatsApp Business en su celular personal. Los contactos de clientes, las conversaciones comerciales, los presupuestos enviados y las fotos de productos viven en el celular del empleado, no en la empresa.

Riesgos concretos:

• El empleado se va y se lleva la cartera de clientes: el numero de WhatsApp Business esta a nombre del empleado, no de la empresa. Se va con todo
• Sin backup centralizado: si el celular se rompe, se pierden conversaciones comerciales que pueden tener valor contractual o probatorio
• Mezcla personal/laboral: el mismo dispositivo tiene WhatsApp personal y Business. Un error de chat (enviar un mensaje personal a un cliente o viceversa) puede ser desde vergonzoso hasta legalmente problematico

Solucion practica: usar WhatsApp Business API a traves de un proveedor (que centraliza las conversaciones en un sistema web, independiente del celular de cada vendedor) o, como minimo, vincular WhatsApp Business a un numero corporativo (no al numero personal del empleado) y configurar backup a Google Drive/iCloud corporativo.

Plataformas de seguridad como Eleion pueden monitorear la postura de seguridad de los dispositivos corporativos, detectar configuraciones inseguras, verificar que el MDM esta activo y alertar sobre dispositivos que no cumplen las politicas de seguridad de la empresa.

El celular corporativo es, para la mayoria de las PyMEs argentinas, el dispositivo mas poderoso y mas desprotegido al mismo tiempo. Contiene mas informacion sensible que cualquier computadora de escritorio y tiene menos controles de seguridad que una notebook basica. No se necesita un presupuesto de multinacional para protegerlo: se necesitan 30 minutos de configuracion, un poco de disciplina y la decision de tratar al celular como lo que es —la puerta de entrada a toda la informacion de la empresa.