Muchas veces, llevados por el deseo de mayor productividad, empleamos nuestro dispositivo particular móvil para llevar a cabo tareas del trabajo y conectarnos al correo electrónico de la red corporativa de nuestra empresa. Es una política aceptada por muchas organizaciones y conocida como “Bring Your Own Device” (BYOD). A veces, incluso disponiendo de teléfono móvil corporativo de nuestra empresa, preferimos configurar el particular aplicando la BYOD.

Otras veces lo que hacemos es lo contrario y configuramos nuestro correo personal en el Smartphone corporativo para evitarnos llevar dos móviles encima. Incluso a veces se da el caso también de que usemos un teléfono con tarjeta SIM dual para poder así centralizar toda la información (particular y corporativa) en el teléfono personal y no tener que llevar dos móviles.

Sin entrar en detalles técnicos, estas prácticas conllevan algunos riesgos que le vamos a exponer:

• Un potencial atacante sólo necesita comprometer un dispositivo, y no dos. El ataque le va a resultar más sencillo.
• Si usted pierde su Smartphone particular, y éste no cuenta con una protección adecuada o un sistema de eliminación remota de datos, la persona que lo encuentre puede tener acceso a información corporativa.
• A veces la gestión de contactos que se hace en los Smartphones no es intuitiva por lo que los contactos de ambos mundos (oficial y particular) se mezclan y corremos el riesgo de enviar información corporativa a destinatarios particulares y viceversa. Un ejemplo es lo sucedido a Ms. Hillary Clinton con sus correos electrónicos en 2015.
• Si un usuario se conecta a la red corporativa con un dispositivo infectado con algún tipo de malware, ese malware podría comprometer dicha red.
• En el caso de los dispositivos corporativos, éstos están controlados y catalogados, por tanto existe un control sobre ellos, cosa que no ocurre con los personales. Por otro lado se configuran de manera que añade una capa de seguridad adicional.

La respuesta a esta pregunta es fácil, en términos generales separe la información personal de la corporativa. Para ello:

• Utilice un dispositivo para cada cosa (la oficial y la particular). Incluso para sus conversaciones de voz
• No mezcle contactos personales y oficiales.
• No utilice el correo de su empresa para lo particular y viceversa
• No almacene información sensible en ninguno de los dos dispositivos, aunque estos estén cifrados.

Referencias del documento:
Articulo refundido y modificado por la Subdelegación de Defensa en Valencia.
Artículo publicado en el Boletín de Concienciación del Mando Conjunto de Ciberdefensa.