Ciberseguridad · Capítulo 12
Seguridad en Dispositivos Móviles: Protegiendo tu Smartphone
El teléfono que llevas en el bolsillo es el dispositivo más personal que existe — y también uno de los más atacados. Aprende a defenderte.
El Panorama de Amenazas Móviles
El teléfono inteligente se ha convertido en el centro de nuestra vida digital: correo bancario, fotos personales, conversaciones privadas, ubicación en tiempo real, documentos de trabajo y acceso a docenas de cuentas. Esta concentración de información lo convierte en el objetivo más valioso para los atacantes.
Estadísticas clave: El 60% del fraude digital a nivel mundial ocurre ahora a través de dispositivos móviles. Google Play Protect escanea más de 100 mil millones de aplicaciones al día en busca de comportamiento malicioso. Sin embargo, el malware móvil sigue evolucionando más rápido que las defensas.
La amenaza no viene solo de "hackers en internet" — también proviene de aplicaciones aparentemente legítimas, redes Wi-Fi públicas, cables USB en aeropuertos, y personas de confianza que instalan software de vigilancia en tu dispositivo.
iOS vs. Android: Modelos de Seguridad Comparados
El modelo de seguridad de iOS
Apple diseñó iOS desde el principio con un modelo de seguridad restrictivo. Sus pilares son:
- Sandboxing de aplicaciones: cada app vive en su propio contenedor aislado y no puede acceder directamente a los datos de otras apps ni al sistema operativo.
- Revisión del App Store: Apple revisa manualmente cada app antes de publicarla. En 2022, Apple rechazó más de 1.7 millones de apps por razones de seguridad o privacidad, y eliminó 400,000 apps que no habían sido actualizadas y representaban riesgo.
- Firma de código (code signing): solo el código firmado por Apple puede ejecutarse. El sistema verifica la integridad del código en cada ejecución.
- Secure Enclave: un coprocesador separado que almacena claves criptográficas, datos biométricos (Face ID, Touch ID) y gestiona el cifrado del dispositivo, completamente aislado del procesador principal.
- Sin sideloading (excepto UE): en la mayoría del mundo, solo puedes instalar apps desde el App Store. La Ley de Mercados Digitales de la UE (DMA) obligó a Apple a permitir tiendas alternativas en Europa desde 2024, lo que introduce nuevos riesgos.
El modelo de seguridad de Android
Android es más abierto y personalizable, lo que tiene ventajas y desventajas de seguridad:
- Play Protect: escanea apps en el dispositivo en tiempo real, no solo durante la instalación.
- Sideloading permitido: puedes instalar APKs desde fuentes externas, lo que multiplica el riesgo de malware.
- Problema de fragmentación: miles de fabricantes (Samsung, Xiaomi, Huawei, etc.) modifican Android y son responsables de distribuir parches de seguridad. Muchos lo hacen con meses de retraso o nunca. Aproximadamente el 3% de dispositivos Android aún corren Android 7 (2016), que ya no recibe parches de seguridad.
- Google Security Rewards: paga hasta $1.5 millones por vulnerabilidades críticas en Android.
| Característica | iOS | Android |
|---|
| Tienda de apps | Solo App Store (excepto EU) | Play Store + sideloading posible |
| Actualizaciones | Apple controla directamente, soporte 5-6 años | Depende del fabricante, promedio 2-3 años |
| Cifrado por defecto | Sí, desde iOS 8 (2014) | Sí, requerido desde Android 6 (2015) |
| Sandboxing | Muy estricto | Estricto pero con más excepciones |
| Permisos de apps | Granulares, controlados por usuario | Granulares, pero varía por fabricante |
| Vulnerabilidad a malware | Menor (ecosistema cerrado) | Mayor (especialmente fuera del Play Store) |
Malware Móvil: Las Amenazas Más Peligrosas
Pegasus: El Espía en tu Bolsillo
Pegasus es el spyware más sofisticado conocido públicamente, desarrollado por NSO Group, una empresa israelí que vende software de vigilancia exclusivamente a gobiernos. Lo que hace a Pegasus excepcional — y aterrador — es su capacidad de infección zero-click: puede comprometer un dispositivo sin que la víctima abra ningún archivo ni haga clic en ningún enlace.
Una vez instalado, Pegasus puede: leer todos los mensajes (incluyendo Signal y WhatsApp cifrados), activar el micrófono y la cámara sin que se enciendan los indicadores visibles, rastrear la ubicación GPS, acceder a emails y fotos, y transmitir todo en tiempo real al operador. El Citizen Lab de la Universidad de Toronto documentó el uso de Pegasus contra periodistas, activistas, abogados de derechos humanos y opositores políticos en México, Arabia Saudita, India, Azerbaiyán y docenas de países más. Hay evidencia de que el teléfono del periodista Jamal Khashoggi, asesinado en el consulado saudí en Estambul en 2018, fue comprometido con Pegasus antes de su muerte.
¿Estás en riesgo de Pegasus? Pegasus cuesta millones de dólares y se usa contra objetivos de alto valor (periodistas, disidentes, activistas, políticos). La persona promedio no es objetivo directo. Sin embargo, la existencia de Pegasus demuestra que las vulnerabilidades zero-click existen y que ningún dispositivo es invulnerable si tienes suficientes recursos y motivación para atacarlo.
FluBot: El Troyano Bancario
FluBot se distribuyó masivamente en Europa y Australia (2020-2022) mediante SMS falsos que simulaban ser notificaciones de paquetes de DHL, FedEx o Amazon. Al hacer clic e instalar la "app de rastreo", el malware se instalaba y: robaba credenciales bancarias, leía y enviaba SMS (incluyendo códigos 2FA), y se autopropagaba enviando SMS a todos los contactos de la víctima. Europol logró desmantelarlo en 2022 con la cooperación de 11 países.
Joker Malware
Joker (también conocido como Bread) es un malware que ha aparecido repetidamente en Google Play Store desde 2017 a pesar de los filtros de seguridad. Su táctica principal: suscribir silenciosamente a las víctimas a servicios premium de SMS que cuestan dinero real, mientras simula hacer clic en anuncios para generar ingresos fraudulentos. Google ha eliminado más de 1,700 apps infectadas con Joker del Play Store, pero sigue reapareciendo en nuevas formas.
Cómo el Malware Evade las Tiendas Oficiales
- Actualizaciones maliciosas: una app legítima pasa la revisión, luego recibe una actualización que añade código malicioso.
- SDK de terceros comprometidos: el caso XcodeGhost (2015) comprometió más de 400 apps legítimas de iOS porque los desarrolladores descargaron una versión falsa de Xcode (el IDE de Apple) de servidores chinos. El compilador insertaba código malicioso en todas las apps compiladas con él.
- Ingeniería social: apps que piden permisos excesivos pero explican razones convincentes.
Lista de Verificación: Asegura tu Smartphone
Bloqueo de pantalla y autenticación
- PIN de 6 dígitos mínimo — los PINs de 4 dígitos tienen solo 10,000 combinaciones posibles; con 6 dígitos son 1,000,000. Mejor aún: usa una contraseña alfanumérica.
- Biometría como segundo factor, no como único: la huella dactilar y Face ID son convenientes, pero en algunos países la policía puede legalmente forzarte a usar tu biometría. Un PIN/contraseña tiene protección legal diferente en muchas jurisdicciones.
- Tiempo de bloqueo automático: configura el bloqueo automático a 30 segundos o 1 minuto máximo.
- Desactiva las notificaciones en pantalla de bloqueo para mensajes y emails — revelan información sensible sin desbloquear el dispositivo.
Cifrado y actualizaciones
- Verifica que el cifrado del dispositivo esté activo (iOS: activo por defecto desde iOS 8; Android: Configuración → Seguridad → Cifrado)
- Instala actualizaciones del sistema operativo dentro de las 72 horas de disponibilidad — los parches de seguridad son críticos
- Activa las actualizaciones automáticas de apps
Auditoría de Permisos de Aplicaciones
Muchas apps solicitan permisos que no necesitan para su función principal. Esta tabla muestra qué permisos son razonables y cuáles son sospechosos:
| Permiso | Apps que lo necesitan legítimamente | Sospechoso si lo pide |
|---|
| Cámara | Instagram, Zoom, escáner de documentos | Calculadora, linterna, juego simple |
| Micrófono | WhatsApp, app de grabación de voz, asistente de voz | App de recetas, linternas, wallpapers |
| Ubicación | Maps, Uber, clima local | App de fondo de pantalla, calculadora, juego offline |
| Contactos | WhatsApp, app de teléfono | Juegos, apps de edición de fotos |
| SMS | App de SMS nativa, apps bancarias (para 2FA) | Cualquier app que no sea de mensajería o banco |
Para revocar permisos:
- iOS: Configuración → Privacidad y seguridad → selecciona la categoría de permiso → ve qué apps lo tienen
- Android: Configuración → Aplicaciones → selecciona la app → Permisos
Señales de stalkerware
El stalkerware (también llamado spouseware) es software instalado por una persona cercana para espiarte. Señales de alerta:
- La batería se agota mucho más rápido de lo normal
- El dispositivo se calienta incluso en reposo
- Mayor consumo de datos móviles sin razón aparente
- El dispositivo se queda en pantalla en blanco un momento antes de mostrarte lo que estás haciendo
- La persona que sospechas sabe cosas que solo podrías haber dicho en privado
Juice Jacking: El Peligro de los Puertos USB Públicos
¿Qué es el juice jacking? El cable USB lleva simultáneamente corriente eléctrica Y datos. Un puerto USB de carga en un aeropuerto, hotel, centro comercial o avión podría estar modificado para establecer una conexión de datos con tu dispositivo mientras "solo" lo cargas, permitiendo robar datos o instalar malware.
El FBI y la FCC de Estados Unidos han emitido advertencias oficiales sobre juice jacking en aeropuertos y centros comerciales. En 2023 el FBI recomendó específicamente evitar los puertos USB públicos.
Cómo protegerte
- Lleva tu propio cargador y conéctalo a un tomacorriente AC (la corriente eléctrica estándar no puede transferir datos)
- USB data blocker (también llamado "USB condón"): un pequeño adaptador que bloquea los pines de datos del USB, permitiendo solo la carga. Cuestan entre $5 y $15 y son muy efectivos.
- Usa un banco de baterías (powerbank) propio en lugar de puertos públicos
- Si debes usar un puerto USB público, selecciona "Solo cargar" en el menú que aparece en tu teléfono (nunca "Compartir datos" o "Transferir archivos")
Ataques Bluetooth
Bluetooth es conveniente pero introduce vulnerabilidades cuando está siempre activo y en modo descubierto:
- Bluejacking: envío no solicitado de mensajes o archivos a dispositivos Bluetooth cercanos. Molesto pero raramente peligroso en sí mismo.
- Bluesnarfing: acceso no autorizado a datos de un dispositivo Bluetooth (contactos, calendarios, mensajes) sin el conocimiento del propietario.
- BlueBorne (2017): la vulnerabilidad más grave descubierta en Bluetooth. Permitía comprometer dispositivos sin emparejamiento previo y sin que el usuario hiciera nada. Afectó a 5.3 mil millones de dispositivos (Android, iOS, Windows, Linux). Armis Security la descubrió y notificó a los fabricantes antes de publicarla.
Buenas prácticas con Bluetooth
- Desactiva Bluetooth cuando no lo estés usando activamente
- Nunca dejes el dispositivo en modo "descubierto" (visible para otros) más tiempo del necesario para emparejar
- Mantén el sistema operativo actualizado — BlueBorne y vulnerabilidades similares se parchean mediante actualizaciones
- En lugares concurridos (aeropuertos, metro), considera desactivar tanto Bluetooth como Wi-Fi
Banca Móvil: Mejores Prácticas
- App nativa del banco vs. navegador: la app nativa es más segura porque implementa certificate pinning (verifica que el certificado TLS sea específicamente el del banco, protegiendo contra ataques man-in-the-middle)
- Activa notificaciones push para CADA transacción — detectarás movimientos no autorizados en segundos
- Activa la autenticación biométrica en la app bancaria como segunda capa
- Cuidado con el shoulder surfing: quien está detrás de ti en el metro o cafetería puede ver tu PIN o los movimientos de tu cuenta
Device Management (MDM) en Dispositivos de Trabajo
Si usas un dispositivo corporativo o has instalado un perfil MDM de tu empleador, es importante saber qué puede ver y hacer tu empresa:
- Ver el inventario de apps instaladas
- Configurar políticas de contraseña y cifrado
- Borrar remotamente el dispositivo (o solo los datos corporativos en BYOD)
- Instalar o eliminar apps corporativas
- Ver el número de serie, modelo y versión de OS
Lo que típicamente NO pueden ver en dispositivos personales con perfil BYOD: tus mensajes personales, fotos o historial de navegación fuera de las apps corporativas.
Dispositivo Perdido o Robado
Protocolo ante pérdida o robo de dispositivo:
- iOS: Accede a icloud.com/find desde otro dispositivo → Find My → marca el dispositivo como perdido (bloquea con PIN y muestra mensaje de contacto) → si es necesario, borra remotamente. Activation Lock evita que alguien use el dispositivo con otra Apple ID aunque lo borre.
- Android: Ve a android.com/find → inicia sesión → puedes hacer sonar el dispositivo, bloquear con PIN, o borrarlo. Factory Reset Protection (FRP) requiere la contraseña de la cuenta Google después de un borrado de fábrica.
- Cambia inmediatamente las contraseñas de tus cuentas más sensibles (banco, email principal, redes sociales)
- Notifica a tu operadora para bloquear la SIM
- Denuncia el robo a la policía (necesario para seguros)
Limitación importante: el borrado remoto solo funciona si el dispositivo tiene conexión a internet. Un atacante sofisticado puede aislar el dispositivo (modo avión) antes de intentar extraer datos.
Resumen / Summary
- El 60% del fraude digital ocurre en móviles; iOS tiene modelo más cerrado (Secure Enclave, App Store revisado, sin sideloading), Android es más abierto con mayor riesgo de fragmentación y malware.
- Pegasus (NSO Group) puede comprometer dispositivos iOS y Android sin ninguna interacción del usuario (zero-click); se ha usado contra periodistas y disidentes políticos.
- Usa PIN de 6+ dígitos, activa cifrado completo, mantén el OS actualizado y configura bloqueo automático en 30-60 segundos.
- Audita los permisos de tus apps: una calculadora o linterna que pide acceso al micrófono o contactos es una señal de alarma clara.
- El juice jacking aprovecha que los puertos USB transmiten datos además de corriente; usa un USB data blocker o conecta a tomacorrientes AC con tu propio cargador.
- BlueBorne (2017) comprometió 5.3 mil millones de dispositivos sin emparejamiento previo; mantén Bluetooth desactivado cuando no lo uses.
- Ante pérdida o robo: usa Find My (iOS) o android.com/find para bloquear o borrar remotamente, y cambia contraseñas de cuentas críticas inmediatamente.