Los teléfonos móviles se han convertido en una extensión de muchos de nosotros para operar con nuestro banco, pedir comida a domicilio, realizar compras de todo tipo, alquilar vehículos por minutos, crear nuevos vínculos sociales, etc. Es tal el grado de utilización del teléfono móvil que algunos usuarios consideran un desastre la posibilidad de perderlo. Sin embargo, con una adecuada gestión de la seguridad de los dispositivos móviles el único problema que puede traer que nos roben el dispositivo móvil será comprarse uno nuevo.
El principio de protección “zero trust” es un modelo de gestión de la seguridad basado en una protección multicapa de la información y en una comprobación recurrente de la identidad del usuario para poder seguir accediendo a ella. Y te proponemos usar este principio también en la protección de los datos de tu móvil.
¿Qué información tengo en mi teléfono?
¿Con cuántas capas puedo proteger las aplicaciones?
De manera habitual, la capa que debemos pasar para acceder a las aplicaciones es solo una, el bloqueo del dispositivo; sin embargo, se pueden llegar a conseguir hasta tres capas de protección en los móviles:
Bloqueo del dispositivo
Es la primera capa de seguridad y la más importante. Un dispositivo bloqueado y protegido con contraseña o patrón evita que terceras personas accedan. Si bien es cierto que el dispositivo se puede borrar completamente y configurar de fábrica para venderlo después, la información y cuentas almacenadas no serán accesibles.
Bloqueo de aplicaciones
De manera similar al bloqueo del dispositivo, algunos sistemas operativos permiten crear una capa adicional para algunas aplicaciones. Esta capa consiste en solicitar una contraseña o patrón diferentes a los del bloqueo de pantalla para acceder a determinadas aplicaciones. En los dispositivos Android se puede configurar en Ajustes/ Aplicaciones/ Bloqueo de aplicaciones. Sin embargo, en los dispositivos iOS se podrá lograr una funcionalidad parecida configurando la “restricción del tiempo” de uso de las aplicaciones con un tiempo de uso máximo de 0 minutos y una contraseña para poder seguir utilizandolas.
Inicio de sesión en la aplicación
Esta capa es la más volátil y no depende tanto del usuario como de la aplicación en sí misma. Por regla general, para poder utilizar una aplicación con información personal se requiere iniciar sesión con un usuario y una contraseña. Desde un punto de vista de seguridad, lo ideal es que las aplicaciones tuviesen un tiempo de sesión máximo de 5 minutos y después hubiese que volver a registrarse. Sin embargo, esta medida suele emplearse solo en las aplicaciones con las que se puede llegar a generar fraude, como las aplicaciones bancarias. Por su parte, la mayoría de las aplicaciones priorizan la experiencia de usuario y una vez que están identificados procuran no cerrar nunca la sesión para que el acceso sea fácil y dinámico.
¿Cómo demostrar que soy yo?
Algunas regulaciones, como PSD2 en el sector bancario europeo, matizan que existen dos tipos de identificación de usuarios: simple y reforzada. La diferencia entre ellas es que la reforzada consta de dos niveles de comprobación independientes y la simple solo consta de uno. La autenticación reforzada se suele reservar para operaciones con mayor sensibilidad o posibilidad de fraude y, para lograrla, los medios de autenticación independientes deben pertenecer, por separado, a una de estas familias:
- Algo que solo el usuario conoce: PIN, contraseñas, patrones, etc.
- Algo que el usuario posee: OTP SMS, token, firma digital, etc.
- Algo que el usuario es: huella digital, reconocimiento facial, etc.
Si este modelo se aplica a los ‘smartphone’ y se une a la posibilidad de que nos lo roben o lo perdamos, debemos considerar que los elementos de posesión han sido vulnerados y no deberíamos usarlos como único factor de autenticación. De esta forma, una buena práctica de seguridad será utilizar los otros medios de identificación para sobrepasar las capas de protección de las aplicaciones. En caso de que nos resulte muy tedioso el uso de contraseñas y patrones robustos y diferentes, la autenticación biométrica es igual de segura y además permite evitar que nos descubran las contraseñas mediante el “shoulder surfing” (esta técnica consiste en observar sobre el hombro de la víctima la información que se introduce en los teléfonos, ordenadores o cajeros automáticos, entre otros dispositivos).
Recuerda, los dispositivos móviles son un bien muy preciado en nuestro día a día, por su utilidad la información que contienen y, en algunos casos, por el propio valor del dispositivos; por ello debemos extremar las precauciones de seguridad física para que no nos lo roben, además de utilizar el principio “zero trust”. Y recuerda que todos debemos ser ‘cybersecurity key players’, por lo que no dudes en compartir esta información con familiares, conocidos y amigos para lograr una sociedad más cibersegura entre todos.