457-Gestion Dispositivos Moviles MDM-nov13

SIN CLASIFICAR
GUA DE SEGURIDAD DE LAS TIC

(CCN-STIC-457)
Gestin de dispositivos mviles:
MDM (Mobile Device Management)
NOVIEMBRE 2013
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-457
Gestin de dispositivos mviles: MDM
Edita:
Editor y Centro Criptolgico Nacional, 2013

NIPO: 002-13-040-7
Fecha de Edicin: noviembre de 2013
Ral Siles, fundador y analista de seguridad de Taddong S.L., ha participado en la elaboracin y modificacin del
presente documento y sus anexos.
LIMITACIN DE RESPONSABILIDAD
El presente documento se proporciona de acuerdo con los trminos en l recogidos, rechazando expresamente
cualquier tipo de garanta implcita que se pueda encontrar relacionada. En ningn caso, el Centro Criptolgico
Nacional puede ser considerado responsable del dao directo, indirecto, fortuito o extraordinario derivado de la
utilizacin de la informacin y software que se indican incluso cuando se advierta de tal posibilidad.
AVISO LEGAL
Quedan rigurosamente prohibidas, sin la autorizacin escrita del Centro Criptolgico Nacional, bajo las sanciones
establecidas en las leyes, la reproduccin parcial o total de este documento por cualquier medio o procedimiento,
comprendidos la reprografa y el tratamiento informtico, y la distribucin de ejemplares del mismo mediante alquiler
o prstamo pblicos.
Centro Criptolgico Nacional
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-457
PRLOGO
El uso masivo de las tecnologas de la informacin y las telecomunicaciones (TIC), en todos los
mbitos de la sociedad, ha creado un nuevo espacio, el ciberespacio, donde se producirn
conflictos y agresiones, y donde existen ciberamenazas que atentarn contra la seguridad
nacional, el estado de derecho, la prosperidad econmica, el estado de bienestar y el normal
funcionamiento de la sociedad y de las administraciones pblicas.
La Ley 11/2002, de 6 de mayo, reguladora del Centro Nacional de Inteligencia, encomienda
al Centro Nacional de Inteligencia el ejercicio de las funciones relativas a la seguridad de las
tecnologas de la informacin en su artculo 4.e), y de proteccin de la informacin clasificada en
su artculo 4.f), a la vez que confiere a su Secretario de Estado Director la responsabilidad de
dirigir el Centro Criptolgico Nacional en su artculo 9.2.f).
Partiendo del conocimiento y la experiencia del CNI sobre amenazas y vulnerabilidades en
materia de riesgos emergentes, el Centro realiza, a travs de su Centro Criptolgico Nacional,
regulado por el Real Decreto 421/2004, de 12 de marzo, diversas actividades directamente
relacionadas con la seguridad de las TIC, orientadas a la formacin de personal experto, a la
aplicacin de polticas y procedimientos de seguridad, y al empleo de tecnologas de seguridad
adecuadas.
Una de las funciones ms destacables del Centro Criptolgico Nacional es la de elaborar y difundir
normas, instrucciones, guas y recomendaciones para garantizar la seguridad de los sistemas de las
tecnologas de la informacin y las comunicaciones de la Administracin, materializada en la
existencia de la serie de documentos CCN-STIC.
Disponer de un marco de referencia que establezca las condiciones necesarias de confianza en el uso
de los medios electrnicos es, adems, uno de los principios que establece la ley 11/2007, de
22 de junio, de acceso electrnico de los ciudadanos a los servicios pblicos, en su artculo
42.2 sobre el Esquema Nacional de Seguridad (ENS).
Precisamente el Real Decreto 3/2010 de 8 de Enero de desarrollo del Esquema Nacional de
Seguridad fija los principios bsicos y requisitos mnimos as como las medidas de proteccin a
implantar en los sistemas de la Administracin, y promueve la elaboracin y difusin de guas de
seguridad de las tecnologas de la informacin y las comunicaciones por parte de CCN para
facilitar un mejor cumplimiento de dichos requisitos mnimos.
En definitiva, la serie de documentos CCN-STIC se elabora para dar cumplimiento a los
cometidos del Centro Criptolgico Nacional y a lo reflejado en el Esquema Nacional de
Seguridad, conscientes de la importancia que tiene el establecimiento de un marco de referencia en
esta materia que sirva de apoyo para que el personal de la Administracin lleve a cabo su difcil, y
en ocasiones, ingrata tarea de proporcionar seguridad a los sistemas de las TIC bajo su
responsabilidad.
Noviembre de 2013
Flix Sanz Roldn

Secretario de Estado
Director del Centro Criptolgico Nacional
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-457
NDICE
1 INTRODUCCIN .................................................................................................................... 6
2 OBJETO ................................................................................................................................. 7
3 ALCANCE ............................................................................................................................... 8
4 ENTORNO DE APLICACIN DE ESTA GUA ........................................................................ 9
4.1
NORMA DE SEGURIDAD PARA LOS DISPOSITIVOS MVILES ................................ 12
4.2
AMENAZAS DE SEGURIDAD SOBRE LOS DISPOSITIVOS MVILES ....................... 14
4.3
INVENTARIO Y MONITORIZACIN DE LOS DISPOSITIVOS MVILES ..................... 15
4.4
BYOD (BRING YOUR OWN DEVICE) Y BYOA (BRING YOUR OWN APP) ................. 17
4.5
GESTIN LOCAL DE DISPOSITIVOS MVILES ......................................................... 20
4.6
SOLUCIONES MDM EN LA INDUSTRIA ...................................................................... 21
4.6.1
GOOGLE (ANDROID) ............................................................................................. 21
4.6.2
BLACKBERRY ........................................................................................................ 23
4.6.3
APPLE (IOS) ........................................................................................................... 23
4.6.4
MICROSOFT (WINDOWS PHONE) ........................................................................ 24
4.6.5
SOLUCIONES MDM DE TERCEROS..................................................................... 24
4.6.6
SOLUCIONES DE GESTIN BASADAS EN UN CONTENEDOR .......................... 27
5 CARACTERSTICAS Y CAPACIDADES DE LAS SOLUCIONES MDM................................ 30
5.1
CARACTERSTICAS GENERALES Y FORMATO DE LA SOLUCIN MDM ................ 30
5.2
REGISTRO DE LOS DISPOSITIVOS MVILES EN LA SOLUCIN MDM ................... 32
5.2.1
SCEP: SIMPLE CERTIFICATE ENROLLMENT PROTOCOL ................................. 34
5.3
INVENTARIO Y MONITORIZACIN ............................................................................. 35
5.4
GESTIN DE LA(S) POLTICA(S) DE SEGURIDAD CORPORATIVA(S) ..................... 37
5.5
CARACTERSTICAS DE LA(S) POLTICA(S) DE SEGURIDAD CORPORATIVAS ...... 38
5.5.1
RESTRICCIONES EN EL HARDWARE Y SOFTWARE DEL DISPOSITIVO MVIL
38
5.5.2
GESTIN DEL CDIGO DE ACCESO ................................................................... 39
5.5.3
PROTECCIN REMOTA ........................................................................................ 41
5.5.4
GESTIN Y BORRADO DE DATOS REMOTO ...................................................... 42
5.5.5
SERVICIOS DE LOCALIZACIN............................................................................ 45
5.5.6
GESTIN DE LOS DATOS ALMACENADOS EN EL DISPOSITIVO MVIL .......... 46
5.5.7
DETECCIN DE JAILBREAK O ROOT .................................................................. 47
5.5.8
GESTIN DE CERTIFICADOS DIGITALES ........................................................... 48
5.5.9
GESTIN DE LAS COMUNICACIONES ................................................................ 49
5.5.10 GESTIN DE VPN.................................................................................................. 52
5.5.11 GESTIN DE CORREO ELECTRNICO ............................................................... 53
5.5.12 GESTIN DE NAVEGACIN WEB ........................................................................ 54
5.5.13 GESTIN DE APPS ............................................................................................... 55
6 CARACTERSTICAS Y CAPACIDADES DE GESTIN DE LAS DIFERENTES
PLATAFORMAS MVILES ........................................................................................................ 63
6.1
GESTIN DE ANDROID ............................................................................................... 63
6.1.1
ARQUITECTURA DE GESTIN MDM DE ANDROID ............................................ 64
6.2
GESTIN DE BLACKBERRY........................................................................................ 65
6.2.1
ARQUITECTURA DE GESTIN MDM DE BLACKBERRY ..................................... 66
6.2.2
BLACKBERRY 10 ................................................................................................... 66
6.3
GESTIN DE IOS ......................................................................................................... 67
6.3.1
IOS 7....................................................................................................................... 69
6.3.2
ARQUITECTURA DE GESTIN MDM DE IOS ....................................................... 70
6.3.3
SOLUCIONES MDM A PEQUEA ESCALA PARA IOS ......................................... 72
6.4
GESTIN DE WINDOWS PHONE ................................................................................ 74
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-457
7 LISTADO RESUMEN DE CARACTERSTICAS DE LAS SOLUCIONES MDM..................... 75

7.1
CONSIDERACIONES GENERALES ............................................................................. 76
7.2
CARACTERSTICAS BSICAS DE LA SOLUCIN MDM ............................................. 78
7.2.1
REGISTRO DE LOS DISPOSITIVOS MVILES EN LA SOLUCIN MDM ............. 78
7.2.2
INVENTARIO Y MONITORIZACIN ....................................................................... 78
7.2.3
CONFIGURACIN DE LOS DISPOSITIVOS MVILES ......................................... 79
7.2.4
MECANISMOS DE SEGURIDAD ............................................................................ 79
7.2.5
7.2.6
GESTIN DE APPS ............................................................................................... 81
7.3
CARACTERSTICAS AVANZADAS DE LA SOLUCIN MDM....................................... 81
7.3.1
REGISTRO DE LOS DISPOSITIVOS MVILES EN LA SOLUCIN MDM ............. 81
7.3.2
INVENTARIO Y MONITORIZACIN ....................................................................... 82
7.3.3
CONFIGURACIN DE LOS DISPOSITIVOS MVILES ......................................... 82
7.3.4
MECANISMOS DE SEGURIDAD ............................................................................ 83
7.3.5
7.3.6
GESTIN DE APPS ............................................................................................... 85
8 APNDICE A: FABRICANTES DE SOLUCIONES MDM ...................................................... 87
9 APENDICE B: LISTA DE RECOMENDACIONES DE SEGURIDAD PARA LA GESTIN DE
DISPOSITIVOS MVILES ......................................................................................................... 88
10
REFERENCIAS ................................................................................................................ 93
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-457
1 INTRODUCCIN
1.
El desarrollo de los dispositivos y comunicaciones mviles y de las tecnologas inalmbricas

en los ltimos aos ha revolucionado la forma de trabajar y comunicarse. El uso creciente de
estas tecnologas sita a los dispositivos mviles como uno de los objetivos principales de las
ciberamenazas.
2.
La proliferacin de dispositivos mviles en los ltimos aos, junto al aumento de las

capacidades, prestaciones y posibilidades de utilizacin de los mismos, hace necesario evaluar
en profundidad la seguridad ofrecida por este tipo de dispositivos, as como de los
mecanismos de proteccin de la informacin que gestionan, dentro de los entornos de
Tecnologas de la Informacin y las Comunicaciones (TIC).
3.
Se considera dispositivo mvil aqul dispositivo de uso personal o profesional de reducido

tamao que permite la gestin de informacin y el acceso a redes de comunicaciones y
servicios, y que habitualmente dispone de capacidades de telefona, , tanto de voz como de
datos, como por ejemplo telfonos mviles, smartphones (telfonos mviles avanzados o
inteligentes), tabletas (o tablets) y agendas electrnicas (PDA), independientemente de s
disponen de teclado o pantalla tctil.
4.
Pese a que los dispositivos mviles se utilizan para comunicaciones personales y

profesionales, privadas y relevantes, y para el almacenamiento de informacin sensible, el
nivel de percepcin de la amenaza de seguridad real existente no ha tenido trascendencia en
los usuarios finales y las organizaciones.
5.
La utilizacin y amplia adopcin, sin precedentes, de los dispositivos mviles como

herramientas bsicas de productividad en el mbito profesional, junto a su utilizacin
simultnea en el mbito personal, hacen necesario que las organizaciones realicen una gestin
minuciosa, exhaustiva y continua de los mismos, acorde con las polticas de seguridad de la
organizacin.
6.
Esta estrategia, conocida como movilidad empresarial, permite a los usuarios y empleados de
las organizaciones llevar a cabo sus actividades diarias de negocio a travs de dispositivos
mviles que aprovechan las tecnologas que facilitan el acceso remoto a los datos
corporativos, incrementando su eficiencia y productividad con independencia de la ubicacin
fsica en la que se encuentran y con mayor flexibilidad para viajar.
7.
Las soluciones tecnolgicas que permiten la gestin de los dispositivos mviles a nivel
empresarial se conocen como MDM, de sus siglas en ingls, Mobile Device Management.
Estas soluciones permite gestionar de forma eficiente la diversidad y el despliegue masivo,
dinmico y a gran escala de dispositivos mviles en una organizacin, con un enfoque
principalmente orientado a incrementar su seguridad, y mejorando colateralmente la
productividad del usuario final.
8.
El presente documento realiza un anlisis detallado de las caractersticas, funcionalidades y

mecanismos de seguridad existentes en las diferentes soluciones MDM (compuestas de
productos y servicios) disponibles en la industria actualmente.
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-457
2 OBJETO
9.
El propsito del presente documento es proporcionar una lista de caractersticas, capacidades

y recomendaciones de seguridad que permitan la adecuada gestin de los dispositivos mviles
en entornos empresariales a travs de las soluciones MDM.
10. Los contenidos han sido estructurados para que sirvan de referencia antes de la adquisicin de
una solucin MDM, permitiendo evaluar qu funcionalidades son necesarias para la
organizacin en base a su poltica y requerimientos de gestin y seguridad.
11. Adicionalmente, los contenidos pueden ser consultados durante la implantacin de la solucin
MDM con el objetivo de revisar y habilitar las funcionalidades requeridas en el entorno de
aplicacin, e incluso posteriormente, con el objetivo de personalizar o incrementar las
capacidades de gestin y seguridad ya existentes.
12. El objetivo es poder aplicar los contenidos de la presente gua durante todo el ciclo de vida de
la solucin MDM. Debe tenerse en cuenta que existen definidos modelos de ciclo de vida para
la incorporacin de soluciones MDM en las organizaciones, con cinco fases claramente
diferenciadas como: inicio, desarrollo, implementacin, operacin y mantenimiento, y
renovacin de los dispositivos mviles [Ref.- 58].
13. Adicionalmente, se han clasificado a modo de resumen y como referencia las funcionalidades
de seguridad mnimas recomendadas, as como las funcionalidades ms avanzadas,
disponibles en las soluciones MDM para dos tipos de entornos diferentes.
14. Los dos tipos de entornos se han clasificado, en funcin de su nivel de seguridad y de la
sensibilidad y criticidad de la informacin que gestionan, en dos categoras de caractersticas:
bsicas y avanzadas (verapartado7. LISTADO RESUMEN DE CARACTERSTICAS DE
LAS SOLUCIONES MDM).
15. La presente gua proporciona los detalles genricos de la funcionalidad, capacidades, y
aspectos a considerar en la aplicacin e implementacin de las principales recomendaciones
de seguridad a travs de la soluciones MDM, y presenta la informacin necesaria para la
evaluacin y anlisis de los mecanismos de gestin frente a los riesgos, amenazas, y
vulnerabilidades de seguridad a las que estn expuestos los dispositivos mviles en la
actualidad.
16. Se recomienda iniciar una estrategia de movilidad empresarial en la organizacin y de gestin
de los dispositivos mviles con un despliegue piloto que nicamente involucre a un nmero
reducido de usuarios, suficientemente representativo de los diferentes perfiles existentes en la
organizacin, con un nivel de riesgo reducido respecto al tipo de informacin manejada, y con
alta probabilidad de xito desde el punto de vista del negocio y propsito principal de la
organizacin.
17. En ningn caso, la presente gua profundiza en los detalles especficos de implantacin y
configuracin de ninguna de las soluciones MDM disponibles en la industria, siendo
necesaria la consulta de los manuales de instalacin, administracin y usuario de cada
fabricante para una correcta implantacin.
18. Es importante destacar que la implantacin de una solucin MDM debe ser complementada
con un programa de formacin y concienciacin de seguridad para los usuarios de la
organizacin, con el objetivo de educarles en los comportamientos adecuados que les
permiten proteger el dispositivo mvil y los datos que ste gestiona, as como destacar
comportamientos no recomendados que ponen en riesgo la seguridad de la organizacin,
como por ejemplo la conexin a cargadores de electricidad pblicos aparentemente
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-457
inofensivos pero que pueden extraer informacin del dispositivo mvil a travs de la conexin
de datos USB.
19. Debido a que la industria mvil (o de los dispositivos y plataformas mviles) se encuentra en
una continua y desenfrenada evolucin, con nuevas caractersticas y funcionalidades
disponibles cada pocos meses tanto en los propios dispositivos mviles como en las
soluciones de gestin MDM, el presente documento pretende sentar las bases para una
adecuada gestin de estos dispositivos desde el punto de vista de seguridad, profundizando a
modo de ejemplo en algunas funcionalidades disponibles actualmente en las principales
plataformas mviles y soluciones MDM.
20. Los fabricantes de soluciones MDM estn continuamente innovando en nuevos mecanismos
de seguridad, gestin de apps y segregacin de datos personales y corporativos, por lo que
publicarn en breve nuevas caractersticas y funcionalidades que no estn cubiertas en este
documento y que, por tanto, debern ser evaluadas de forma individual siguiendo los mismos
principios de anlisis aqu expuestos.
21. Esta evolucin en las soluciones MDM est tambin directamente condicionada por la
evolucin general de la industria respecto a las capacidades y mecanismos de seguridad
disponibles en las propias plataformas mviles ms usadas en la actualidad [Ref.- 59].
22. La serie CCN-STIC-45X, Seguridad de dispositivos mviles, se ha estructurado en tres
niveles: una gua genrica centrada en al anlisis de seguridad de dispositivos mviles (CCNSTIC-450), complementada por guas especficas para los principales sistemas operativos
empleados por los dispositivos mviles hoy en da, y por la presente gua que cubre los
aspectos relacionados con su gestin y seguridad empresarial. Por este motivo, la lectura y
aplicacin de la presente gua complementa a las otras guas individuales asociadas a un
sistema operativo (y versin concreta del mismo), recomendndose en primer lugar la lectura
de la gua general de seguridad:
CCN-STIC-450 - Seguridad de dispositivos mviles [Ref.- 1]
Adicionalmente, se recomienda la lectura de las guas de esta misma serie asociadas a

sistemas operativos y versiones concretas, en caso de ser necesaria su aplicacin en terminales
existentes en la organizacin:
CCN-STIC-451 - Seguridad de dispositivos mviles: Windows Mobile 6.1

CCN-STIC-452 - Seguridad de dispositivos mviles: Windows Mobile 6.5
CCN-STIC-453 - Seguridad de dispositivos mviles: Android 2.x
CCN-STIC-454 - Seguridad de dispositivos mviles: iPad
CCN-STIC-455 - Seguridad de dispositivos mviles: iPhone
NOTA: Esta serie de guas estn diseadas considerando como requisito la necesidad de encontrar
un equilibrio entre seguridad y funcionalidad en relacin a las capacidades disponibles en los
dispositivos mviles a proteger, con el objetivo de poder hacer uso de la mayora de caractersticas
disponibles en los mismos de forma segura.
3 ALCANCE
23. Las Autoridades responsables de la aplicacin de la Poltica de Seguridad de las TIC (STIC)
determinarn su anlisis y aplicacin a los entornos de gestin de dispositivos mviles ya
existentes o futuros bajo su responsabilidad.
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-457
4 ENTORNO DE APLICACIN DE ESTA GUA

24. Las soluciones MDM (Mobile Device Management) aplican a los principales sistemas
operativos de dispositivos mviles o plataformas mviles utilizadas en la actualidad: Android
de Google y AOSP [Ref.- 2], BlackBerry de BlackBerry (previamente Research In Motion
Limited o RIM) [Ref.- 3], iOS de Apple (dispositivos iPhone, iPad, y iPod Touch) [Ref.- 4], y
Windows Phone de Microsoft [Ref.- 5].
NOTA: Las diferentes referencias a lo largo del presente documento a las principales plataformas
mviles ms utilizadas en la actualidad emplean siempre el orden alfabtico: Android,
BlackBerry, iOS y Windows Phone.
25. Opcionalmente, la solucin MDM puede incluir soporte para plataformas mviles que
tuvieron gran aceptacin en la industria en el pasado y que, aunque no estn disponibles en la
actualidad, los dispositivos mviles basados en stas pueden seguir siendo utilizados a nivel
empresarial, como Symbian y Windows Mobile.
26. En el caso especfico de Android, se recomienda verificar si la solucin MDM proporciona
soporte para las APIs de seguridad empresariales proporcionadas por fabricantes especficos,
como Samsung KNOX [Ref.- 67] o SAFE (Samsung Approved For Enterprise).
27. Algunas soluciones MDM estn ms orientadas a, o focalizadas nica y exclusivamente en,
una plataforma mvil concreta, mientras que otras soluciones son multiplataforma, y permiten
la gestin de diferentes tipos, modelos y versiones de dispositivos mviles existentes en la
organizacin.
28. Actualmente algunas organizaciones estn cada vez ms interesadas en una solucin de
gestin nica, no slo que permita administrar los dispositivos mviles, sino tambin los
dispositivos tradicionales (ordenadores porttiles, de escritorio, etc, basados tpicamente en
los sistemas operativos Windows, Linux y Mac OS X), o incluso dispositivos adicionales
como impresoras, dispositivos embebidos o mdulos M2M, por lo que es interesante evaluar
tambin el soporte que ofrece la solucin MDM para este otro tipo de dispositivos.
29. Las plataformas de gestin de dispositivos mviles estn extendiendo por tanto sus
capacidades a la gestin de todos los dispositivos informticos empleados por los usuarios
dentro de la organizacin, permitiendo tambin aplicar controles y gestionar los ordenadores
porttiles y de escritorio. Esta caracterstica debe ser tenida en cuenta a la hora de definir el
alcance y seleccionar una solucin MDM especfica.
30. El principal objetivo de las soluciones MDM es permitir la correcta gestin de los dispositivos
mviles asociados a la organizacin y reducir su superficie de exposicin frente a ataques de
seguridad, incluyendo la proteccin del propio dispositivo mvil, de sus comunicaciones y de
la informacin y datos que gestiona y almacena.
31. Otra de las principales reas de gestin asociada a los dispositivos mviles es la de la gestin
de las aplicaciones mviles que pueden ser instaladas en estos. El trmino empleado para la
gestin de aplicaciones mviles es MAM (Mobile Application Management) o MEAM
(Mobile Enterprise Application Management), y las soluciones asociadas pueden estar
integradas o no en las soluciones MDM. En el presente documento se considera que las
caractersticas MAM estn disponibles dentro de la propia solucin MDM, como una
funcionalidad ms.
32. Adicionalmente a la gestin empresarial de los dispositivos mviles y de las aplicaciones
mviles, la industria ha identificado la necesidad de proteger los datos y contenidos
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-457
corporativos distribuidos hacia o accedidos desde los dispositivos mviles, con arquitecturas y
soluciones denominadas MCM (Mobile Content Management). De nuevo, en el presente
documento se considera que las caractersticas MCM estn disponibles dentro de la propia
solucin MDM, como una funcionalidad ms.
33. En resumen, las soluciones MDM deben focalizar sus capacidades de gestin empresarial en
tres mbitos principales: dispositivos mviles, aplicaciones mviles y contenidos corporativos
(accedidos desde los dispositivos y aplicaciones mviles).
NOTA: Las aplicaciones mviles son referenciadas en la industria de manera abreviada, y a lo
largo del presente documento (en adelante), como app(s).
34. Existe numerosa terminologa en la industria para referenciar las diferentes necesidades y
funcionalidades asociadas a la gestin de los dispositivos mviles y sus capacidades,
adoptndose diferentes acrnimos, como:
MEM (Mobile Enterprise Management), para referirse a las soluciones que

engloban tanto MDM1 como MAM2. En ocasiones tambin se emplea el trmino
EMM (Enterprise Mobility Management).
En ocasiones, el trmino MEM se emplea para referirse a Mobile Expense

Management, una variacin de la gestin empresarial de los costes mviles y de
telecomunicaciones, referida tradicionalmente como Telecom Expense
Management (TEM).
MOM (Mobile Operations Management), trmino que engloba todas las facetas
de la gestin de las plataformas mviles en la organizacin: Mobile Device
Management, Mobile Application Management, Mobile Policy Management,
Mobile Support Management, y Mobile Expense Management.
El trmino MEAP (Mobile Enterprise Application Platforms) se emplea en

ocasiones para referenciar soluciones MDM basadas en una aplicacin
contenedora(verapartado4.6.6. SOLUCIONES DE GESTIN BASADAS EN
UN CONTENEDOR), aunque el trmino puede incluir otras infraestructuras y
servicios asociados.
Los mecanismos de proteccin de los datos y contenidos corporativos, adems de

reverenciarse con el trmino MCM, tambin se referencian como MDP (Mobile
Data Protection).
Otro trmino empleado para la gestin de contenidos corporativos,

adicionalmente a MCM, es ECM (Enterprise Content Management).
35. Existen en la industria soluciones de gestin y acceso a contenidos, as como entornos

empresariales colaborativos, para el acceso a la informacin y datos corporativos de forma
segura desde cualquier cliente, incluyendo dispositivos mviles. Sin embargo, este tipo de
soluciones no se han considerado parte de la solucin MDM y no son analizadas
especficamente en la presente gua.
El trmino MDM no debe ser confundido con el acrnimo Master Data Management (MDM).
La presente gua considera que las soluciones MDM engloban tanto las capacidades de MDM como de MAM, por lo que seran
equivalentes a MEM.
2
10
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-457
36. Con el objetivo de determinar la solucin MDM ms idnea para una organizacin, uno de las
primeros aspectos a considerar es si el entorno empresarial har uso de una plataforma mvil
nica o, si por el contrario, si ser un entorno multiplataforma, con dispositivos de diferentes
fabricantes y sistemas operativos mviles.
37. En el primer caso es posible emplear soluciones MDM exclusivas de la plataforma mvil
seleccionada, que aprovechan todas y cada una de las capacidades y funcionalidades de
gestin asociadas a esa plataforma, debido a la existencia de un entorno mvil homogneo.
Adicionalmente en este caso tambin existe la opcin de emplear soluciones multiplataforma,
menos especficas y, habitualmente, con capacidades ms reducidas para una plataforma
mvil concreta.
38. En el segundo caso es posible emplear soluciones MDM multiplataforma, que proporcionan
capacidades de gestin para entornos heterogneos con diferentes tipos de dispositivos
mviles, o hacer uso de mltiples soluciones MDM, lo que dificulta su gestin y la aplicacin
de una poltica de seguridad nica a todas las plataformas mviles, pero que permite
aprovechar las capacidades de gestin ms avanzadas de cada una de las plataformas mviles
individualmente.
39. En este segundo caso (entornos multiplataforma), la opcin ideal sera disponer de una
solucin MDM nica y multiplataforma (lo que simplifica su administracin y
mantenimiento) que permita trasladar la poltica de seguridad genrica de la organizacin a
las particularidades de cada una de las plataformas mviles.
40. Las arquitecturas de las soluciones MDM emplean un modelo cliente-servidor, encargndose
el servidor (o servidores) MDM de la gestin de los dispositivos mviles, que disponen de un
cliente o agente de gestin que mantiene un canal de comunicacin permanente con el
servidor de gestin.
41. Habitualmente este canal de comunicacin es utilizado para gestionar remotamente la
disponibilidad y estado del dispositivo mvil, emplendose mensajes breves o notificaciones
push (potencialmente a travs de servidores push intermedios) con el objetivo de reducir el
consumo de recursos en el terminal, y que desencadenan la posterior realizacin de acciones
ms complejas.
42. Una vez se recibe una notificacin push, el cliente o agente residente en el dispositivo mvil
puede establecer canales de comunicacin adicionales con los servidores de gestin MDM
para llevar a cabo las tareas indicadas.
43. Este cliente o agente de gestin puede ser instalado por la organizacin en el dispositivo
mvil o puede estar disponible por defecto como parte de los mecanismos de gestin de la
plataforma mvil a travs de las APIs o libreras de gestin proporcionadas por el fabricante.
44. La adopcin masiva de dispositivos mviles por parte de las organizaciones y su diversidad
est suponiendo numerosos quebraderos de cabeza y nuevos retos para los responsables TIC
de las organizaciones, al intentar llevar a cabo su integracin en la organizacin de forma
segura y fluida.
45. Sin embargo, este cambio en el acceso a los sistemas de informacin, comunicaciones y datos
corporativos por parte de los usuarios puede ser orientado como una nueva oportunidad para
redefinir la poltica de uso (AUP, Acceptable Use Policy) existente actualmente y mejorar
tanto la arquitectura de seguridad TIC como los mecanismos de seguridad disponibles.
46. Por ejemplo, debido a que el mtodo de conexin principal de los dispositivos mviles a las
redes corporativas se basa en las tecnologas Wi-Fi, es fundamental revisar y mejorar la
11
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-457
infraestructura Wi-Fi de la organizacin para proporcionar comunicaciones seguras, disponer

de mecanismos avanzados de control de acceso a la red (NAC, Network Access Control), de
sistemas de deteccin/proteccin de intrusos inalmbricos (WIPS, Wireless Intrussion
Protection System) y soluciones de filtrado de contenidos web (proxies) [Ref.- 66].
47. Los mecanismos de control de la organizacin deben comenzar por el control de acceso a la
red (mediante una combinacin de soluciones NAC y MDM), definiendo quin tiene acceso a
la misma (pudiendo hacer uso de mecanismos de gestin de identidad), monitorizando quin
hace uso de ella, y bloqueando o permitiendo el acceso segn la poltica de seguridad, en base
a las credenciales del usuario y/o del dispositivo mvil, y del nivel de seguridad actual de este
ltimo.
48. Las soluciones MDM deben disponer de capacidades generales para la gestin de los
dispositivos mviles, incluyendo por ejemplo, la actualizacin del sistema operativo de la
plataforma mvil, actualizacin de la poltica de seguridad, actualizacin de apps,
modificacin de la configuracin del dispositivo, eliminacin de elementos de la
configuracin o de datos corporativos o de la totalidad de los contenidos del dispositivo,
localizacin de la ubicacin fsica y seguimiento del dispositivo, distribucin de certificados
digitales personales y de autoridades de certificacin (CA, Certification Authority) de
confianza, capacidades de inventario para validar el cumplimiento de las polticas de la
organizacin, comprobacin de la versin de sistema operativo y apps para el anlisis de
vulnerabilidades, etc.
49. Las caractersticas y funcionalidad requeridas por una organizacin depende mucho de sus
necesidades y requisitos a la hora de integrar los dispositivos mviles como un elemento
fundamental del negocio.
50. Por este motivo, algunas organizaciones darn mayor prioridad al hardware de los
dispositivos mviles y a su coste, otras se centrarn en la facilidad de uso y la solucin remota
de problemas de conectividad, mientras que otras priorizarn la confidencialidad de la
informacin empleada por ciertas apps crticas para el negocio. En resumen, los objetivos de
cada organizacin respecto a la solucin MDM pueden ser muy diversos.
51. Por tanto, el presente documento refleja de manera independiente las diferentes caractersticas
y funcionalidades disponibles en las soluciones MDM actualmente, pero su valoracin final y
orden de importancia para una organizacin concreta deben ser priorizados tras llevar a cabo
un estudio de las necesidades especficas de la organizacin.
52. Antes del despliegue inicial de una estrategia de movilidad empresarial y su solucin MDM
asociada, es necesario realizar un anlisis detallado del nivel actual de penetracin de los
dispositivos mviles en la organizacin, obteniendo detalles de las diferentes unidades de
negocio o departamentos, revisando los inventarios de dispositivos mviles ya asignados o
registrados, e identificando a travs de los controles de seguridad existentes la existencia de
estos dispositivos en la red Wi-Fi corporativa, y de los accesos desde este tipo de dispositivos
a los recursos corporativos o a Internet [Ref.- 53].
4.1
NORMA DE SEGURIDAD PARA LOS DISPOSITIVOS MVILES
53. Antes de la implantacin de una solucin MDM es requisito indispensable disponer de o

definir una poltica de seguridad corporativa centrada en la utilizacin de los dispositivos
mviles en la organizacin.
NOTA: La definicin, detalles y contenido de la poltica de seguridad de la organizacin o
poltica de seguridad corporativa asociada a los dispositivos mviles queda fuera del alcance de la
12
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-457
presente gua y se considera un requisito previo indispensable para la implantacin de una

solucin de gestin MDM. Esta poltica deber estar alineada con la poltica de seguridad general
de la organizacin.
54. La poltica de seguridad de la organizacin debe contemplar tanto aspectos tcnicos como no
tcnicos asociados a la proteccin del usuario y su privacidad, los dispositivos mviles, las
comunicaciones asociadas, las apps y los datos corporativos y personales.
55. La poltica de seguridad debe asimismo reflejar el uso permitido y aceptado de los
dispositivos mviles en la organizacin, el comportamiento esperado por parte de los
usuarios, y proporcionar las pautas y controles de seguridad a implantar.
56. El objetivo principal de la poltica de seguridad es mitigar los riesgos identificados por la
organizacin y asociados a la utilizacin de dispositivos mviles y a la posible exposicin de
datos confidenciales y sensibles.
57. El objetivo de la solucin MDM es aplicar la poltica de seguridad definida por la
organizacin en los dispositivos mviles gestionados y detectar violaciones en la misma.
58. Esta poltica de seguridad debe cubrir mltiples aspectos asociados a la integracin y uso de
dispositivos mviles a nivel corporativo, identificar el motivo fundamental para permitir su
utilizacin a nivel profesional y las ventajas competitivas desde el punto de vista del negocio
para promover su uso (casos o escenarios de uso), establecer el conjunto de plataformas
mviles soportadas, qu recursos de la organizacin sern accedidos desde los dispositivos
mviles, qu tipo de apps estn permitidas (o prohibidas) en estos dispositivos, el uso y
acceso a redes de comunicaciones (tanto corporativas como externas), los requisitos de
proteccin de datos, los mecanismos de control y gestin de los dispositivos mviles, etc.
59. La poltica de seguridad de la organizacin estar condicionada por el cumplimiento y
conformidad con los requisitos impuestos por las leyes y regulaciones que apliquen al sector y
negocio de la organizacin, as como otros aspectos propios del pas de aplicacin. Por
ejemplo, en el caso de la Administracin Pblica Espaola, es necesario que la poltica de
seguridad est (al menos) alineada con la LOPD y la LSSI.
60. Dos de los aspectos fundamentales qu deben estar contemplados en la poltica de seguridad,
y qu deben ser aplicados y monitorizados posteriormente a travs de la solucin MDM, son
el tipo de redes de comunicaciones a las que podrn conectarse los dispositivos mviles, y el
tipo de datos e informacin que podrn almacenar y manejar.
61. Es necesario definir el tipo de redes de comunicaciones a las que podrn tener acceso los
dispositivos mviles, tanto desde el punto de vista de la tecnologa empleada (redes Wi-Fi,
redes mviles 2/3/4G, etc), como del propietario de la red (la red de la propia organizacin,
red Wi-Fi del usuario en casa, redes de terceros en entornos Wi-Fiprivadosopblicos),as
como del nivel de seguridad de la red, especialmente para redes Wi-Fi. Adems, debe
definirse el tipo genrico de comunicaciones permitidas, incluyendo comunicaciones de datos
(privadas o pblicas, como Internet), voz, SMS, etc.
62. Complementando el requisito de comunicaciones previo, la organizacin debera definir a qu
redes de datos mviles podrn conectarse los dispositivos mviles (2/3/4G), qu tipo de plan
de datos emplearn, y quin asumir los costes (el usuario o la organizacin).
63. Asimismo, es necesario definir el tipo de informacin que podrn almacenar, gestionar y
transferir los dispositivos mviles gestionados, tanto dentro como fuera de la organizacin,
13
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-457
teniendo en cuenta la posibilidad de establecer mecanismos de control y prevencin de fuga

de datos sensibles, DLP (Data Loss Prevention).
64. Para ello, es necesario clasificar previamente la informacin gestionada por la organizacin
en diferentes niveles en funcin de su confidencialidad y criticidad (por ejemplo: pblica,
difusin limitada, confidencial, reservado, secreto, etc) o segn lo establecido en el ENS.
65. Adicionalmente, la poltica de seguridad debe contemplar otros aspectos como el modelo de
gestin de dispositivos mviles a implantar, los requisitos globales de seguridad de los
mismos, el proceso de adquisicin, renovacin y eliminacin de dispositivos, el modelo de
adquisicin de apps, los requisitos de cifrado de datos, la poltica del cdigo de acceso, la
utilizacin de los servicios de localizacin, la definicin de los servicios que sern accedidos
desde los dispositivos mviles (por ejemplo, e-mail,VPN,CRM),etc [Ref.- 41].
4.2
AMENAZAS DE SEGURIDAD SOBRE LOS DISPOSITIVOS MVILES
66. A la hora de definir una poltica de seguridad para los dispositivos mviles de la organizacin,
es necesario evaluar los escenarios y las amenazas principales de seguridad que afectan a
estos dispositivos hoy en da, y en particular, a la organizacin bajo estudio.
67. Debe tenerse en cuenta que la movilidad y uso permanente de los dispositivos mviles
implica una mayor exposicin a amenazas sobre estos frente a otros dispositivos de la
organizacin (como ordenadores porttiles o de escritorio que slo se utilizan dentro de la
organizacin), por lo que es necesario disponer de mecanismos de proteccin adicionales.
68. Los dispositivos mviles son utilizados frecuentemente fuera del control de la organizacin,
especialmente en lo que se refiere a la ausencia de controles de seguridad fsicos, salvo los
proporcionados por el usuario.
69. Por este motivo, los mecanismos de proteccin a implantar (como por ejemplo autentificacin
y cifrado robustos) deben considerar que el dispositivo mvil puede acabar en manos ajenas
no autorizadas y deben proteger los datos que almacena y los accesos a servicios remotos de
los que dispone.
70. Dentro de estos escenarios y amenazas ms comunes sobre los dispositivos mviles,
encontramos frecuentemente, entre otras:
Acceso fsico no autorizado al dispositivo mvil:

- Temporalmente (por un periodo breve).
- Prdida o robo del dispositivo mvil (durante un periodo extendido).
Acceso no autorizado a la informacin almacenada:

- Datos y documentos corporativos.
- Credenciales de acceso a servicios corporativos.
Acceso no autorizado y manipulacin de la informacin transmitida:

- Ataques de hombre en medio (MitM, Man-in-the-Middle).
Cdigo mvil malicioso (malware) en apps (aplicaciones mviles):

- Fraude (servicios SMS Premium), anuncios, privacidad, etc.
- Uso no autorizado de las capacidades de comunicaciones del dispositivo:
NFC, Bluetooth, Wi-Fi, 2/3/4G (SMS, voz y datos), etc.
14
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-457
Dispositivos mviles sobre los que se ha realizado el proceso de jailbreak o root

(verapartado5.5.7. DETECCIN DE JAILBREAK O ROOT).
Utilizacin de apps y servicios en la nube no aprobados por la organizacin

para manejar o almacenar datos corporativos sensibles.
Separacin inadecuada en la utilizacin del dispositivo mvil para tareas

profesionales y personales.
Etc.
71. Adicionalmente a las amenazas de seguridad previamente mencionadas, es necesario evaluar

como gestionar otras situaciones que tienen implicaciones directas en la seguridad del entorno
mvil, como por ejemplo:
Qu ocurre cuando un empleado (o usuario) deja la organizacin sin devolver el

dispositivo mvil corporativo?
Cmo se lleva a cabo la renovacin frecuente de los dispositivos mviles:

proceso de reciclado?
Cmo integrar dispositivos personales en la organizacin (BYOD)?
Etc.
72. Las soluciones MDM permiten establecer restricciones muy granulares en el uso de los
dispositivos mviles, pero siempre debe tenerse en cuenta que el beneficio real de estas
limitaciones respecto a la seguridad y la reduccin real de riesgo que proporcionan debe ser
evaluado detalladamente por la organizacin antes de su aplicacin.
73. Por ejemplo, existen soluciones MDM que permiten desactivar la cmara del dispositivo
mvil, haciendo que incluso desaparezca del terminal el icono asociado, al encontrarse el
dispositivo en una ubicacin determinada, como por ejemplo las oficinas principales de la
organizacin.
74. El objetivo principal de esta medida es evitar que puedan tomarse fotografas de informacin
confidencial dentro de la organizacin a travs del dispositivo mvil. Sin embargo, debe
tenerse en cuenta que es posible hacer uso de otras cmaras de fotos, de pequeo tamao o
incluso embebidas en un bolgrafo, por lo que este control en los dispositivos mviles puede
ser intil si no se complementa con controles adicionales que apliquen a otros dispositivos y
al acceso fsico a los edificios de la organizacin.
4.3
INVENTARIO Y MONITORIZACIN DE LOS DISPOSITIVOS MVILES
75. La solucin MDM debe disponer de capacidades de inventario y monitorizacin de los

dispositivos mviles gestionados por la organizacin y permitir responder a una serie de
preguntas en todo momento, en tiempo real, as como de manera histrica.
76. Las capacidades de inventario de la solucin MDM deben permanecer constantemente
actualizadas, con el objetivo de ofrecer una visin lo ms precisa posible de la situacin real
de la organizacin.
77. El siguiente conjunto de preguntas constituye un ejemplo concreto del tipo de informacin
que debera estar disponible a travs de la solucin MDM (y otros mecanismos de
monitorizacin complementarios):
Qu dispositivos mviles hay conectados en mi red actualmente?
15
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-457
- Con qu frecuencia se conectan (individualmente y por tipo)?
Cuntos dispositivos mviles son utilizados por cada usuario para acceder a los
datos y servicios corporativos?
Cul es el estado o nivel de seguridad de cada dispositivo mvil?

- Tienen instalada la ltima versin de sistema operativo?
- Cumplen con la poltica de seguridad de la organizacin?
- Qu vulnerabilidades pblicamente conocidas afectan a cada
dispositivo? (adicionalmente debera conocerse a travs de fuentes
externas si existe solucin para mitigar esas vulnerabilidades)
Qu hace cada dispositivo mvil en mi red concretamente?

- A qu servicios y datos estn accediendo (acceso a Internet, acceso a
datos corporativos, acceso aserviciosyaplicacionesinternas)?
Qu controles de seguridad se estn aplicando en los propios dispositivos?

(adicionalmente debera correlarse esa informacin con los controles de
seguridad disponibles en la red de la organizacin)
- Cul es el estado actual de cada uno de esos controles?
- Por ejemplo, cuntos dispositivos mviles BYOD tienen un cdigo de
acceso habilitado? o cuntos dispositivos mviles propiedad de la
organizacin tienen el cifrado completo del dispositivo habilitado?
Etc.3
FIGURA 1.- Ejemplo de informacin disponible a travs de la solucin MDM.
78. El objetivo principal de las capacidades de inventario y monitorizacin es disponer de una

visin precisa, actualizada y realista del estado y de la utilizacin de los recursos de la
organizacin por parte de los dispositivos mviles, y en particular, de su nivel de seguridad
para poder evaluar el riesgo asociado a su utilizacin real.
79. El objetivo final es permitir nicamente el acceso a los recursos de la organizacin a aquellos
dispositivos mviles que cumplen con la poltica de seguridad y que, por tanto, no suponen un
riesgo segn los requisitos de seguridad establecidos.
80. Las capacidades de inventario y monitorizacin (ver apartado 5.3. INVENTARIO Y
MONITORIZACIN) deben permitir, a travs del anlisis de los logs o registros de la
3
Imagen obtenida de http://www.air-watch.com/solutions/mobile-security.
16
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-457
solucin MDM, la red Wi-Fi corporativa, los servidores de autentificacin y las herramientas
de seguridad empresariales, obtener detalles sobre las violaciones de la poltica de seguridad
de la organizacin, su nivel de cumplimiento, los consumos de ancho de banda y
almacenamiento, etc.
81. Especficamente, es fundamental que las capacidades de monitorizacin permitan la deteccin
y notificacin automtica e inmediata de violaciones en la poltica de seguridad de la
organizacin.
82. Una vez se detectan violaciones en la poltica de seguridad, la solucin MDM puede notificar
al usuario y/o al administrador TIC, restringir el acceso del dispositivo mvil a los servicios y
datos corporativos, o incluso realizar un borrado remoto completo del mismo.
83. Algunos motivos vinculados a la violacin o incumplimiento de la poltica de seguridad
incluyen, por ejemplo, disponer de una versin desactualizada del sistema operativo o del
agente de la solucin de gestin MDM, haber realizado el proceso de jailbreak o root, o
emplear un terminal de un fabricante o modelo de dispositivo mvil no soportados.
84. La solucin MDM debe proporcionar capacidades de monitorizacin y bsqueda en base a
diferentes criterios, como por grupos de usuarios (Ej. altos ejecutivos y responsables de
departamento), por tipo de dispositivo o plataforma mvil (Ej. Android) o incluso por el
operador de telecomunicaciones empleado.
4.4
BYOD (BRING YOUR OWN DEVICE) Y BYOA (BRING YOUR OWN APP)
85. Una de las principales tendencias de la industria mvil durante los ltimos aos es BYOD
(Bring Your Own Device), es decir, un escenario en el que se permite a los usuarios y
empleados de la organizacin hacer uso de sus dispositivos mviles personales para el acceso
al entorno, servicios y datos corporativos.
86. Esta tendencia tuvo una adopcin inicial muy alta, principalmente en los departamentos
financieros de las organizaciones, debido al ahorro de costes asociado a la adquisicin inicial
de los dispositivos mviles, frente a la opcin de que los dispositivos mviles sean
subvencionados por la organizacin y proporcionados a los usuarios como una herramienta de
trabajo ms.
87. Debido a que los dispositivos mviles actuales son sistemas complejos, avanzados y estn de
moda, su precio es bastante elevado, hecho que tiene influencia especialmente en las
decisiones de la organizacin cuando es necesario adquirir un nmero elevado de stos
(decenas, cientos o miles de dispositivos mviles).
88. El hecho de que la organizacin no tenga que hacer ese desembolso inicial, y el coste del
dispositivo mvil sea financiado por el usuario, al ser este su propietario en lugar de la
organizacin, conllev una reduccin de costes inmediata para muchas organizaciones.
89. Sin embargo, es necesario tener en cuenta que un entorno BYOD ms heterogneo conlleva
una serie de gastos e inversiones adicionales de gestin, mantenimiento e integracin de los
dispositivos mviles en los entornos TIC de las organizaciones, que normalmente no es tenido
en cuenta.
90. La ventaja principal de BYOD para el usuario es que ste puede hacer uso libremente del
dispositivo mvil que mejor se adapta a l, qu ms le gusta o con el que est ms
familiarizado.
17
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-457
91. La desventaja principal de BYOD para la organizacin es que tiene que acomodar las dos
facetas del dispositivo mvil, personal y profesional, en el entorno TIC y de manera segura,
as como definir y conjugar los requisitos y necesidades de ambos mundos.
92. La tendencia BYOD debe asumir que los dispositivos mviles personales no son de confianza
desde el punto de vista de seguridad, salvo que hayan sido configurados con unos requisitos
mnimos de seguridad y pasen a ser gestionados y monitorizados por la organizacin.
93. Una aproximacin intermedia adoptada por algunas organizaciones conocida como CYOD
(Choose Your Own Device), con el objetivo principal de intentar obtener lo mejor de ambos
mundos, es que el usuario pueda elegir el dispositivo mvil que utilizar, pero en lugar de
hacerlo de todos los disponibles en el mercado, nicamente lo seleccionar de una reducida
lista preaprobada de dispositivos mviles que cumplen con los requisitos de seguridad y
tecnolgicos de la organizacin.
94. Estas aproximaciones complementan el escenario dnde el dispositivo mvil es propiedad de
la organizacin y slo puede ser empleado para tareas profesionales, o un escenario
intermedio, conocido como COPE (Corporataly-Owned, Personally-Enabled), donde el
dispositivo mvil es propiedad de la organizacin pero se permite su utilizacin para ciertas
tareas personales (normalmente, una variante de CYOD) [Ref.- 54].
95. Finalmente, debe considerarse tambin otro modelo de uso reciente en la industria basado en
la posibilidad de compartir un dispositivo mvil entre diferentes empleados de la
organizacin, debiendo la solucin MDM proporcionar capacidades multiusuario para
permitir y segmentar el acceso a los datos y servicios a cada uno de los usuarios, o en su
defecto, permitir una rpida y segura transicin del dispositivo mvil al ser transferido de un
usuario a otro.
96. La definicin de una poltica de seguridad para los dispositivos mviles, mencionada
previamente como requisito bsico antes de la adopcin de una solucin MDM, se hace an
ms patente en entornos BYOD, siendo necesario que la poltica diferencie entre los
requisitos asociados a los dispositivos de la organizacin y los dispositivos mviles
personales empleados en el entorno corporativo.
97. Existen numerosas implicaciones legales asociadas al uso de dispositivos mviles, y los datos
que stos gestionan, en entornos BYOD, debido al carcter personal de los mismos, que
quedan fuera del alcance del presente documento.
98. A modo de referencia, algunos de los aspectos legales a considerar (especialmente si no se
dispone de consentimiento del usuario por escrito) son la monitorizacin de los dispositivos
mviles y su trfico de red para detectar violaciones en la poltica de seguridad de la
organizacin, el borrado de datos o apps personales, el acceso a datos personales almacenados
en el dispositivomviloenserviciosenlanubedurantelasauditorasolainvestigacinde
un incidente de seguridad, la monitorizacin de los dispositivos mviles fuera de las
dependencias de la organizacin, como por ejemplo mediante la utilizacin de mecanismos de
localizacin del dispositivo mvil para conocer su ubicacin fsica, o la responsabilidad a la
hora de compensar, reparar o sustituir el dispositivo mvil del usuario por haber sido robado,
perdido o daado, as como las implicaciones legales de la distribucin o uso de software
pirata o sin licencia y malware [Ref.- 53].
99. Los aspectos legales son condicin suficiente en muchas organizaciones para mantener la
propiedad de los dispositivos mviles que son entregados a los usuarios y facilitar as las
tareas de monitorizacin, el borrado remoto de datos o la realizacin de auditoras de
18
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-457
seguridad sobre los mismos, manteniendo en todo momento el control sobre la propiedad
intelectual y los derechos de autor de los contenidos por parte de la organizacin.
100. Se recomienda por tanto consultar al departamento legal de la organizacin para analizar y
profundizar en estos aspectos, que habitualmente tienen implicaciones directas sobre la
privacidad del usuario.
101. Por otro lado, una de las caractersticas deseadas de las soluciones MDM para entornos
BYOD, y potencialmente tambin para entornos nicamente corporativos, es la posibilidad de
definir el nmero de dispositivos mviles gestionados permitidos por usuario.
102. En el caso de implantar un entorno BYOD, se recomienda disponer (a travs de un servidor
web interno) de tutoriales, vdeos y documentacin qu permitan a los empleados de la
organizacin llevar a cabo el registro de sus dispositivos mviles personales en la solucin
MDM de manera sencilla y con la menor implicacin posible por parte de los administradores
TIC (ver apartado 5.2. REGISTRO DE LOS DISPOSITIVOS MVILES EN LA
SOLUCIN MDM).
103. Las guas para el usuario final deben proporcionar toda la informacin necesaria para
suscribir de forma segura los dispositivos mviles personales en la solucin MDM,
incluyendo todas las plataformas mviles soportadas, y que stos pasen a ser dispositivos
mviles gestionados por la organizacin.
104. Aunque la industria ha adoptado de forma general el trmino BYOD (Bring Your Own
Device) para referenciar este escenario de uso, el trmino correcto y que refleja el riesgo para
las organizaciones debera ser CYOD (Connect Your Own Device), ya que no existe riesgo de
seguridad asociado hasta que el usuario conecta su dispositivo mvil personal a la red (por
ejemplo, va Wi-Fi) o sistemas (por ejemplo, va USB) de la organizacin para acceder a los
servicios y datos corporativos.
105. Debido al dinamismo y continua evolucin de la industria mvil, recientemente ha surgido
otra tendencia que est siendo adoptada ampliamente por numerosas organizaciones,
denominada BYOA (Bring Your Own App(lication)).
106. En escenarios BYOA los usuarios instalan apps de los mercados de aplicaciones pblicos en
sus dispositivos mviles personales o corporativos para incrementar su productividad,
emplendolas para realizar sus tareas profesionales y manejar, por tanto, datos corporativos.
107. Para acomodar todos estos escenarios de uso, una tendencia ms reciente y prctica, desde el
punto de vista empresarial, es clasificar los dispositivos mviles en dos grandes grupos,
dispositivos gestionados y no gestionados, independientemente de quin es el propietario del
propio dispositivo mvil (o hardware).
108. Los dispositivos gestionados son aquellos que han seguido el proceso de registro o
enrollment, y por tanto, sobre los que se ha aplicado la poltica de seguridad de la
organizacin y la configuracin adecuada a los requisitos de seguridad del dispositivo y de la
informacin que maneja. Estos dispositivos estn englobados y gestionados por la solucin
MDM.
109. Por el contrario, los dispositivos no gestionados son aquellos sobre los que la organizacin no
ha llevado las tareas de configuracin previamente definidas, y por tanto, no dispone de
control sobre su configuracin o el nivel de seguridad de los mismos.
110. Esta clasificacin puede ser extendida igualmente a las aplicaciones mviles, disponiendo
entonces de dos tipos de apps, apps gestionadas frente a no gestionadas.
19
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-457
4.5
GESTIN LOCAL DE DISPOSITIVOS MVILES
111. Los diferentes fabricantes de las principales plataformas mviles proporcionan herramientas y
software para la gestin local de los dispositivos por parte del usuario.
112. Estas soluciones locales estn centradas nicamente en una plataforma mvil concreta y
permiten la gestin de un nmero muy reducido de dispositivos, de manera manual, a travs
del puerto USB del ordenador donde estn instaladas.
113. En algunos casos, a travs de las soluciones de gestin local es posible establecer parmetros
de configuracin avanzados y de seguridad, actualizar el sistema operativo y las apps del
dispositivo mvil, transferir y sincronizar datos (correo electrnico, contactos, calendario, etc)
y contenido multimedia (imgenes y fotos, vdeos, msica, documentos, etc), as como
realizar copias de seguridad de los contenidos y la configuracin.
114. Android es una plataforma mvil con limitaciones significativas en la gestin local de los
dispositivos mviles, ya que el modelo empleado por Google se basa principalmente en la
gestin y sincronizacin de los mismos a travs de los servicios disponibles en la nube,
como Google Apps.
115. En el caso de dispositivos mviles Android se dispone del kit de desarrollo de software (SDK,
Software Development Kit) [Ref.- 32], que permite llevar a cabo una gestin limitada del
dispositivo y la realizacin de otras tareas avanzadas a travs del puerto USB, ms orientadas
a desarrolladores que al usuario final.
116. Los dispositivos mviles BlackBerry 7.x disponen del BlackBerry Desktop Software tanto
para PC (Windows) como para Mac OS X [Ref.- 33].
117. Para los dispositivos mviles basados en BlackBerry 10.x debe hacerse uso de BlackBerry
Link [Ref.- 34], tambin disponible para PC (Windows) y Mac OS X.
118. Apple proporciona diferentes herramientas para la gestin local de los dispositivos mviles
iOS, desde iTunes [Ref.- 35] (para Mac y PC) hasta iPhone Configuration Utility (iPCU)
[Ref.- 20] o Apple Configurator [Ref.- 21] (ver apartado 6.3.3. SOLUCIONES MDM A
PEQUEA ESCALA PARA iOS).
119. Microsoft emple durante muchos aos la herramienta Microsoft ActiveSync para la gestin
local de dispositivos mviles Windows Mobile desde ordenadores Windows, complementada
posteriormente con otras soluciones, como Security Configuration Manager PowerToy for
Windows Mobile (SCMPT).
120. Posteriormente, la gestin de Windows Phone 7.x se realiz a travs de Zune para Windows
[Ref.- 29] y de Windows Phone 7 Connector para Mac OS X [Ref.- 30] (sustituida por [Ref.31]).
121. Finalmente, para la gestin local de Windows Phone 8 se dispone de la aplicacin Windows
Phone tanto para ordenadores de escritorio como para Mac OS X [Ref.- 31].
122. Pese a las capacidades existentes en las soluciones de gestin locales para las diferentes
plataformas mviles, no es posible su aplicacin a nivel empresarial, ya que su utilizacin se
hace impracticable cuando es necesario gestionar un nmero significativo de dispositivos
mviles.
123. Por este motivo, entre otros, es necesario disponer de soluciones MDM empresariales para
gestionar los dispositivos mviles existentes en la organizacin de manera centralizada,
sencilla, remota y homognea.
20
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-457
4.6
SOLUCIONES MDM EN LA INDUSTRIA
124. Cada uno de los fabricantes de las principales plataformas mviles proporciona sus propias
soluciones de gestin empresarial de los dispositivos, centradas principalmente o nicamente
en su plataforma mvil.
125. Las soluciones MDM pueden, en primera instancia, ser clasificadas en dos grandes grupos:
aquellas que proporcionan sus servicios de forma remota a travs de arquitecturas en la
nube (cloud computing) y aquellas ms tradicionales que requieren disponer de una
arquitectura de gestin dentro de la propia organizacin (on-premises), compuestas
habitualmente por uno o varios servidores MDM.
126. En el caso de soluciones MDM que se despliegan en la propia organizacin, es fundamental
analizar la arquitectura o arquitecturas soportadas por el fabricante de la solucin MDM y
entender en detalle las comunicaciones desde y hacia los servidores MDM.
127. Este conocimiento permitir identificar el modelo de arquitectura a emplear para la
integracin de la solucin MDM en la organizacin, diseando y definiendo cul ser la
ubicacin de los servidores MDM (por ejemplo, en la DMZ o en una red interna de la
organizacin) y las reglas de filtrado necesarias en los cortafuegos perimetrales o internos de
la organizacin.
128. A continuacin se describen brevemente las soluciones MDM proporcionadas por los
fabricantes de las principales plataformas mviles.
4.6.1 GOOGLE (ANDROID)
129. Google promueve una solucin de gestin de dispositivos mviles basada entorno a su
modelo de negocio con servicios en la nube, y concretamente a travs de la plataforma
Google Apps [Ref.- 36] y Google Apps For Business and Government[Ref.- 72].
130. Google App for Business es un marco de trabajo empresarial, tanto para el uso de
aplicaciones comunes entre los empleados, creacin de dominios y polticas con estos
dominios y subdominios, como gestin de terminales y aplicaciones de los mismos.
131. Las organizaciones con cuenta en Google Apps de tipo Business, Government o Education,
disponen de la aplicacin mvil GoogleAppsDevicePolicy [Ref.- 37] en Google Play que
permite al administrador TIC realizar una gestin limitada de los dispositivos mviles de los
usuarios, incluyendo la aplicacin de polticas de seguridad, por ejemplo relativas a los
requisitos del cdigo de acceso o al cifrado del dispositivo (Android 3.x & 4.x o iOS 3.1+),
eliminacin y localizacin del mismo.
132. A travs de esta app, o agente de gestin, es posible hacer sonar el dispositivo mvil o
localizarlo, bloquear el dispositivo o cambiar el cdigo de acceso remotamente, llevar a cabo
el borrado remoto de datos (wipe; excluyendo la tarjeta de almacenamiento externa), o auditar
las apps de los dispositivos Android que acceden a datos corporativos en Google Apps.
21
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-457
FIGURA 2.- Panel de Administracin avanzada de dispositivos de Googel Apps Business[Ref.- 72]
133. Si un dispositivo mvil est configurado para utilizar Google Apps Device Policy con
varias cuentas de Google Apps, cada una de ellas con polticas de seguridad distintas, se
aplicar la poltica ms restrictiva.
134. Las tareas de gestin pueden ser realizadas por el administrador TIC mediante la consola del
administrador de Google o, en algunos casos, por el propio usuario a travs del panel de
controlMisdispositivos(oMyDevices) de Google Apps4.
135. La solucin de Google aplica a dispositivos Android desde la versin 2.2 y otros dispositivos
mviles soportados por Google Sync, como iPhone y iPad, Windows Phone y dispositivos
con soporte para Microsoft Exchange ActiveSync (EAS) [Ref.- 38].
136. Adicionalmente, a travs de Google Apps es posible gestionar la distribucin de apps a los
dispositivosmvilescorporativosatravsdeGooglePlayPrivateChannel [Ref.- 39]. Esta
plataforma permite la creacin de un mercado de apps privado va Google Play para distribuir
las aplicaciones propias e internas de la organizacin entre sus usuarios.
137. Por otro lado, Android dispone del servicio Google Cloud Messaging (GCM) [Ref.- 68] que
permite establecer comunicaciones a travs de mensajes desde los servidores de un servicio o
app concretos, como por ejemplo los servidores de la solucin MDM y su agente o app
asociada,hacialosdispositivosmvilesgestionados(verapartado6.1.1. ARQUITECTURA
DE GESTIN MDM DE ANDROID).
138. Sedisponedemsinformacinenelapartado6.1. GESTIN DE ANDROID.
Google Apps - My Devices [Ref.- 63]: https://www.google.com/apps/mydevices.
22
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-457
4.6.2 BLACKBERRY
139. La plataforma BlackBerry fue pionera al proporcionar mecanismos sofisticados, homogneos
y centralizados para la monitorizacin y gestin empresarial de los dispositivos mviles,
concretamente a travs de una arquitectura e infraestructura propietaria de BlackBerry (ver
apartado6.2.1. ARQUITECTURA DE GESTIN MDM DE BLACKBERRY).
140. Los mecanismos de aplicacin de polticas de seguridad de BlackBerry permiten establecer
polticas individuales, por grupos funcionales, por departamentos o globales a toda la
organizacin, as como distribuir ajustes de configuracin muy granulares a todos los
dispositivos gestionados.
141. Recientemente las soluciones de gestin propietarias de BlackBerry (como el Universal
Device Service) permiten la gestin de otras plataformas mviles, como Android e iOS,
siguiendo la tendencia empresarial BYOD.
142. Debe tenerse en cuenta que BlackBerry ha introducido cambios muy significativos con el
lanzamiento de la versin 10, en relacin a versiones previas de su plataforma mvil (5.x-7.x).
143. Sedisponedemsinformacinenelapartado6.2. GESTIN DE BLACKBERRY.
4.6.3 APPLE (IOS)
144. Apple promueve una solucin de gestin de dispositivos mviles basada en el Apple Push
Notification Service (APNS), con un protocolo y arquitectura propietarios para la
comunicacin entre los servidores de gestin, los dispositivos mviles iOS gestionados y la
infraestructura propia de Apple (ver apartado 6.3.2. ARQUITECTURA DE GESTIN
MDM DE iOS).
145. La arquitectura y mecanismos de gestin proporcionados por Apple son exclusivos para los
dispositivos mviles iOS, aunque se permite la integracin de soluciones MDM
(multiplataforma o nicamente para iOS) de terceros para la gestin empresarial de los
mismos.
146. Apple proporciona a los usuarios a nivel particular, no corporativo, desde la versin 5.x de
iOS una solucin bsica de gestin de los dispositivos mviles a travs de la plataforma
iCloud [Ref.- 40] (previamentedenominadaMobileMe)paralagestindedispositivosenla
nube.
147. A travs de la misma los usuarios pueden de forma remota mostrar un mensaje o hacer sonar
el dispositivo mvil, localizarlo, bloquear el dispositivo, o llevar a cabo el borrado remoto de
datos (wipe).
148. Alternativamente, iCloud permite realizar copias de seguridad del correo electrnico,
calendario, lista de contactos, notas, recordatorios, datos de otras apps, y, recientemente, el
accesoaaplicacionesofimticasenlanube(comoPages,NumbersyKeynote).
149. Adicionalmente, Apple proporciona diferentes soluciones y herramientas para la gestin
individual y local de dispositivos mviles en entornos de pequeo y mediano tamao, por
ejemplo a travs de iTunes [Ref.- 35] (ver apartado 6.3.3. SOLUCIONES MDM A
PEQUEA ESCALA PARA iOS).
150. Sedisponedemsinformacinenelapartado6.3. GESTIN DE iOS.
23
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-457
4.6.4 MICROSOFT (WINDOWS PHONE)

151. Tradicionalmente, Microsoft, como lder de soluciones TIC a nivel empresarial, ha
proporcionado capacidades de gestin para diferentes plataformas mviles a travs de
Microsoft Exchange, y en concreto a travs de Microsoft Exchange ActiveSync (EAS o
MEAS) [Ref.- 8], al considerarse ste servidor de correo electrnico y productividad un
elemento comn en la mayora de entornos corporativos.
152. EAS permite disponer de capacidades de gestin, tanto al usuario final (autogestin) como al
administrador TIC de la organizacin, a travs de Outlook Web Access (OWA) o de la
Exchange Management Console (EMC) respectivamente.
153. Adicionalmente, Microsoft proporciona capacidades de gestin empresarial ms avanzadas a
travs de Microsoft System Center Mobile Device Manager (2008 y 2010, MSCMDM o
SCMDM) [Ref.- 15] y System Center 2012 [Ref.- 9].
154. La principal ventaja de emplear Microsoft Exchange y EAS para la gestin de dispositivos
mviles es que, asumiendo que se dispone de un entorno Microsoft Exchange previamente,
slo es necesario definir y aplicar la poltica de seguridad corporativa en los dispositivos
mviles.
155. Sin embargo, aunque todas las plataformas mviles actuales disponen de capacidades de
integracin con EAS, lo hacen en diferentes grados y niveles de funcionalidad, principalmente
en funcin de la plataforma mvil y su versin, y de la versin de Microsoft Exchange
empleada (2003, 2007, 2010 2013).
156. De manera general debe considerarse que la gestin de dispositivos mviles mediante EAS
slo hace uso de un conjunto mnimo y muy limitado de controles disponibles (aplicando esta
situacin a todas las referencias a EAS a lo largo del presente documento).
157. Esta situacin dificulta el despliegue de polticas de seguridad comunes para todas las
plataformas mviles, y en caso de hacerlo, stas deben ser muy generales e imponer
restricciones mnimas en los dispositivos mviles.
158. Sedisponedemsinformacinenelapartado6.4. GESTIN DE WINDOWS PHONE.
4.6.5 SOLUCIONES MDM DE TERCEROS
159. Adicionalmente a las soluciones proporcionadas por los fabricantes de las principales
plataformas mviles, se dispone de soluciones MDM de otros fabricantes cuyo foco de
negocio es especficamente la gestin de dispositivos mviles, o de fabricantes TIC de mayor
tamao que han incluido en sus soluciones empresariales estas capacidades.
160. Con el objetivo de comparar las distintas funcionalidades y caractersticas ofrecidas por las
diferentes soluciones MDM se recomienda tanto consultar los estudios de mercado publicados
por los analistas de referencia en la industria (Gartner, IDC, etc), como comparativas
especficas centradas en los aspectos ms especficos y/o tcnicos de cada solucin MDM.
161. Anualmente, o incluso con mayor frecuencia, analistas como Gartner e IDC publican
diferentes estudios centrados en las diferentes soluciones MDM disponibles en el mercado:
Gartner 2013: MagicQuadrant forMobileDeviceManagementSoftware. 23

May 2013. [Ref.- 10]
Gartner 2013: CriticalCapabilitiesforMobileDeviceManagementSoftware.
23 May 2013. [Ref.- 11]
24
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-457
Gartner 2012: MagicQuadrant forMobileDeviceManagementSoftware. 17

May 2012. [Ref.- 12]
Gartner2011: MagicQuadrant forMobileDeviceManagementSoftware. 13
April 2011. [Ref.- 13]
IDC 2012: Worldwide Mobile Enterprise Management Software 2012 2016
Forecast andAnalysisand2011VendorShares.September 2012. [Ref.- 14]
Forrester 2012: Market Overview: Cloud-Hosted Mobile Device Management
Solutions And ManagedServices.January 3, 2012. [Ref.- 55]
Forrester 2012: Market Overview: On-Premises Mobile Device Management
Solutions,Q32011.January 3, 2012. [Ref.- 56]
Info-Tech2011:VendorLandscape:MobileDeviceManagement[Ref.- 57]
The Radicati Group, Inc. (December 2012): Mobile Device Management MarketQuadrant2012[Ref.- 60]
162. La evolucin del cuadrante mgico de Gartner para las soluciones MDM en los ltimos aos
(2011-2013) es la siguiente:
FIGURA 3.-
Cuadrante mgico de Gartner para las soluciones MDM 2013 [Ref.- 10]
25
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-457
FIGURA 4.- Cuadrante
mgico de Gartner para las soluciones MDM 2012 [Ref.- 12]
FIGURA 5.- Cuadrante
mgico de Gartner para las soluciones MDM 2011 [Ref.- 13]
163. Complementando los estudios generales de mercado previos, se dispone de comparativas de

referencia de terceros entre las diferentes soluciones MDM que permiten analizar de forma
especfica las capacidades proporcionadas por los distintos fabricantes 5:
Comparison of MDM Providers. Enterprise iOS:

http://www.enterpriseios.com/wiki/Comparison_MDM_Providers
Compare MDM Providers:
Debido a que se publican nuevos estudios con frecuencia comparando las diferentes soluciones MDM, se recomienda emplear los
buscadoresdeInternetparasulocalizacin,empleandoeltrminoMDM comparison.
26
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-457
http://www.mdmcomparison.com
MDM Comparison Chart:
http://www.bluefishwireless.net/wp-content/uploads/2012/06/Bluefish-MGMTMDM-Comparison-Chart.pdf
MDM Tools: Features and Functions Compared:
https://www.computerworld.com/s/article/9238981/MDM_tools_Features_and_f
unctions_compared
Amododereferenciayparafacilitarsuconsulta,elApndiceA(verapartado0.
27
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-457
164. APNDICE A: FABRICANTES DE SOLUCIONES MDM) incluye una lista ordenada

alfabticamente con algunos de los fabricantes de soluciones MDM actuales.
4.6.6 SOLUCIONES DE GESTIN BASADAS EN UN CONTENEDOR
165. Por ltimo, dentro de los tipos de soluciones MDM es importante diferenciar dos grandes
grupos: aquellas que se basan en la gestin completa de la plataforma o dispositivo mvil en
base a las capacidades proporcionadas por cada uno de los fabricantes, y aquellas que se
basan en la gestin de los datos, aplicaciones y servicios corporativos.
166. El segundo grupo engloba soluciones MDM de tipo contenedor (o container en ingls), una
aproximacin a la gestin de dispositivos mviles que considera la plataforma mvil como un
entorno inseguro y que proporciona una app segura para llevar a cabo todas las actividades y
tareas corporativas.
167. En lugar de gestionar la plataforma mvil completa y todas sus apps, la gestin se centra en
una nica app, que es la que tiene acceso a los datos y servicios corporativos.
NOTA: A modo de referencia se proporcionan ejemplos de soluciones MDM de tipo contenedor,
como Good for Enterprise (GFE) de Good Technology (con soporte para Android, iOS, y
Windows Phone), o Excitor DME (con soporte para Android e iOS).
168. Este tipo de soluciones hacen un uso extensivo de mecanismos de seguridad, proporcionando
un entorno restringido o sandbox para proteger los datos que son gestionados por la app
contenedora de la solucin MDM.
169. Entre los mecanismos de seguridad empleados por la app contenedora se encuentran sistemas
de autentificacin adicionales a los del dispositivo mvil (y habitualmente centralizados),
cifrado de datos en reposo y trnsito, es decir, al almacenarlos localmente y al enviarlos por la
red, sistemas de prevencin de fuga de datos que establecen restricciones para el movimiento
de datos local (a travs de la captura de pantalla, de la funcionalidad de copiar y pegar, del
envo de datos a cuentas de correo electrnico externas, del intercambio o comparticin local
de datos entre apps, de las capacidades de impresin, etc), o controles de acceso en base al
tiempo (slo se puede usar la app a ciertas horas o puede expirar llegada una fecha) o a la
ubicacin (slo se puede usar la app en ciertos lugares, o lo contrario, no puede ser utilizada
en ciertos lugares).
170. En el caso de que la app contenedora disponga de mecanismos de autentificacin, situacin
ms habitual y recomendada, la solucin MDM debera proporcionar mecanismos de gestin
del cdigo de acceso o autentificacin (complejidad, longitud, renovacin, etc ver apartado
5.5.2. GESTIN DEL CDIGO DE ACCESO).
171. Algunas soluciones MDM aaden capacidades de autentificacin de dos (o ms) factores
sobre la app contenedora, con el objetivo de proteger con mecanismos de seguridad ms
robustos los datos corporativos.
172. Dentro de la industria, este tipo de soluciones estn teniendo ms xito en entornos BYOD, ya
que toda la gestin corporativa afecta nicamente a la app contenedora y es ms sencilla su
implantacin (y eliminacin) en los dispositivos mviles personales de los usuarios, y permite
establecer una separacin entre datos personales y corporativos.
173. Por el contrario, la mayor desventaja identificada por parte de los usuarios es que no disponen
de todas las capacidades de integracin, comparticin de informacin y facilidad de uso
proporcionadas por la plataforma mvil empleada, ya que las aplicaciones a emplear para el
28
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-457
acceso a los datos corporativos deben ser las existentes dentro de la app contenedora (con una
experiencia de usuario ms restringida).
174. As por ejemplo, los usuarios no pueden hacer uso del calendario, contactos, cliente de correo
electrnico o el navegador web nativos existentes en la plataforma mvil por defecto, o
instalados posteriormente por el usuario, debiendo emplear en su lugar las aplicaciones
equivalentes existentes dentro de la app contenedora y su interfaz de usuario, potencialmente
ms seguras pero menos atractivas para el usuario.
175. Por otro lado, la app contenedora no dispone de acceso a las capacidades hardware avanzadas
de cifrado para el almacenamiento de claves (por ejemplo, en iOS), ni dispone de la
posibilidad de establecer restricciones o controles de acceso en el hardware y capacidades del
dispositivo mvil (por ejemplo, el acceso a la cmara).
176. Debe tenerse en cuenta que los mecanismos de seguridad de la app contenedora podran verse
potencialmente vulnerados, al ejecutar sta sobre una plataforma mvil (potencialmente)
insegura, que podra ser manipulada, por ejemplo mediante la insercin de cdigo daino,
para modificar el comportamiento de la app contenedora.
177. Otros fabricantes, aunque proporcionan soluciones MDM estndar, ofrecen como elemento
adicional soluciones de tipo contenedor especficas para el acceso a ciertos servicios o
contenidos, a travs de apps para la navegacin web o el acceso al correo electrnico.
178. Cada vez es ms habitual disponer de apps complementarias a la solucin MDM que actan
como contenedores seguros para el acceso a los contenidos corporativos, tanto para los
servicios habituales (por ejemplo, e-mail) como para servicios ms especficos del negocio a
travs de apps empresariales.
NOTA: A modo de referencia se proporcionan ejemplos de soluciones MDM de tipo contenedor
especficas para un propsito concreto, como las proporcionadas por AirWatch (AirWatch
Browser o AirWatch Email Container).
179. Existen actualmente diferentes modelos para compartimentalizar el mundo profesional y el
personal dentro del mismo dispositivo mvil. Una opcin es hacerlo a travs de una app
contenedora asociada a la solucin MDM mencionada previamente. Otra opcin es disponer
de las capacidades de particionar el dispositivo mvil en la propia plataforma, como en el
casodeBlackBerry10(verapartado4.6.6.1. BLACKBERRY 10 BALANCE).Porltimo,
otro modelo es el adoptado por iOS 7 centrado en compartimentalizar o aislar los datos
corporativos, en lugar de crear reas de trabajo diferenciadas (ver apartado 6.3.1. iOS 7).
Adicionalmente, la solucin Samsung KNOX para Android [Ref.- 67] emplea un modelo
hbrido que hace uso tanto de modificaciones en la plataforma mvil como de apps
contenedoras para implementar esta compartimentalizacin.
4.6.6.1
BLACKBERRY 10 BALANCE
180. Esta idea de compartimentalizar y separar el entorno personal del profesional ha sido
extendida a nivel de la propia plataforma mvil en el caso de BlackBerry con la versin 10 y
una nueva arquitectura denominada BlackBerry Balance [Ref.- 46], dnde existen dos perfiles
o reas de trabajo (work spaces), la personal y la profesional.
181. Los mecanismos de control de acceso de BlackBerry 10 no permiten compartir datos entre
estas dos reas, manteniendo as los datos y comunicaciones corporativas seguras, y separadas
de las fotos, apps y documentos personales y de su privacidad.
29
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-457
182. Esta separacin tambin permite llevar a cabo el borrado remoto (wipe) nicamente de los
datos corporativos, es decir, del rea de trabajo profesional (tanto del dispositivo como de las
tarjetas de almacenamiento externas), y no de la totalidad del dispositivo mvil, una
caracterstica con aplicacin directa en entornos BYOD.
183. Por ejemplo, el acceso al mercado oficial de apps de BlackBerry, BlackBerry (App) World,
desde el rea de trabajo profesional slo mostrar las apps aprobadas a nivel corporativo.
Otras apps no aprobadas podrn ser instaladas en el rea personal del dispositivo, fomentando
as la implantacin de entornos BYOD.
184. Adicionalmente, y con el objetivo de compartimentalizar el rea de trabajo profesional y el
personal en otros dispositivos mviles soportados por su solucin de gestin empresarial,
como Android e iOS (ver apartado 6.2.2. BLACKBERRY 10), BlackBerry dispone de
Secure Work Space [Ref.- 47], una app integrada en su entorno de gestin BlackBerry
Enterprise Service 10 que proporciona un contenedor para el acceso al entorno corporativo
desde dispositivos personales.
185. La aproximacin adoptada es exactamente la misma descrita previamente para otras
soluciones MDM de tipo contenedor de terceros (ver apartado 4.6.6. SOLUCIONES DE
GESTIN BASADAS EN UN CONTENEDOR).
186. BlackBerry Secure Work Space permite el acceso al correo electrnico (con un visor de
ficheros adjuntos), calendario, contactos (con acceso al directorio corporativo), visor de
documentos, y navegacin web (para el acceso a servidores web de la Intranet y contenido
corporativo).
4.6.6.2
SAMSUNG KNOX
187. Samsung KNOX para Android [Ref.- 67] es una plataforma de seguridad diseada para
compartimentalizar los datos y apps corporativas de los personales (BYOD) en dispositivos
mviles basados en Android.
188. Para ello emplea un modelo hbrido que hace uso tanto de modificaciones en la plataforma
mvil como de apps contenedoras para implementar esta compartimentalizacin.
189. KNOX implementa seguridad en la plataforma mvil mediante una estrategia en tres niveles,
empleando un gestor de arranque seguro, una arquitectura basada en zonas de confianza
propia de los procesadores ARM, y un kernel de sistema operativo basado en SE (Security
Enhancements) para Android.
190. La proteccin de los datos corporativos se lleva a cabo a travs de una app contenedora, que
permite la utilizacin de mltiples apps empresariales protegidas, y que hace uso de cifrado
(AES-256) para el almacenamiento y transmisin de los datos (mediante VPNs por app).
191. Adicionalmente. KNOX proporciona capacidades a travs de numerososas polticas
predefinidas y de libreras (APIs) para su integracin en las soluciones MDM de gestin
empresarial, asociadas a las capacidades MDM de las soluciones Samsung SAFE.
5 CARACTERSTICAS Y CAPACIDADES DE LAS SOLUCIONES MDM

192. El presente apartado detalla numerosas caractersticas y funcionalidades disponibles en las
diferentes soluciones MDM que existen actualmente en la industria, clasificadas en base a las
mltiples capacidades que ofrecen.
193. Debe tenerse en cuenta que algunas de las caractersticas ms especficas descritas a
continuacin no son aplicables a todas las plataformas mviles habituales, ya que no todas
30
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-457
ellas implementan esa funcionalidad o disponen de mecanismos que permitan la

configuracin y gestin de determinados aspectos del dispositivo mvil.
194. El presente apartado incluye por tanto el mayor o ms completo conjunto de capacidades
disponible actualmente para la gestin y proteccin de los dispositivos mviles.
195. Es por tanto fundamental antes de elegir una solucin MDM concreta evaluar cuales de todas
las caractersticas (o conjuntos de caractersticas) proporcionadas por la solucin MDM
aplican a cada una de las plataformas mviles soportadas por la organizacin.
5.1
CARACTERSTICAS GENERALES Y FORMATO DE LA SOLUCIN MDM
196. Las soluciones MDM pueden ser proporcionadas en diferentes formatos de distribucin
habituales en la industria, desde servicios remotos en la nube conocidos como SaaS
(Software as a Service, ya sea ubicados en las dependencias de la organizacin o en Internet),
pasando por dispositivos hardware que contienen toda la solucin MDM (conocidos como
appliances), hasta como distribucin de software tradicional para los principales sistemas
operativos: Windows, Unix/Linux o Mac OS X.
197. Algunas soluciones MDM adoptan aproximaciones hbridas, combinando servicios en las
instalacionesdelaorganizacinconserviciosenlanube, mientras que algunos fabricantes
ofrecen incluso dos soluciones diferenciadas en base a estos dos modelos de negocio o
despliegue [Ref.- 60].
198. Por otro lado, algunos fabricantes ofrecen dos versiones, una solucin MDM bsica y otra
ms avanzada, que incluye todas las capacidades necesarias para organizaciones de gran
tamao (MDM, MAM, MCM, app contenedora, tienda de apps de la organizacin, etc),
mientras que otros ofrecen cada uno de esos componentes mediante una arquitectura modular,
lo que permite a las organizaciones adquirir nicamente aquellos mdulos que sean realmente
necesarios segn sus requisitos tcnicos y financieros actuales, pudiendo incrementar la
funcionalidad y complejidad del entorno MDM en el futuro.
199. Alternativamente, las organizaciones interesadas en la gestin de sus dispositivos mviles
pueden optar por externalizar la gestin y administracin de su solucin MDM a los
operadores de telecomunicaciones o a las grandes empresas de la industria que ofrecen
servicios TIC gestionados [Ref.- 56], aunque desde el punto de vista de seguridad no se
recomienda esta solucin de gestin.
200. Otros aspectos generales a considerar en la evaluacin de una solucin MDM son:
El modelo de licencias, siendo habitual una licencia nica (o perpetua) para la

solucin MDM o una licencia que debe ser renovada peridicamente (por
ejemplo, mensualmente o anualmente).
Debe tenerse en cuenta que habitualmente las licencias de las soluciones MDM
suelen aplicarse por dispositivo mvil a gestionar, y no por servidor. Otra opcin
es aplicar las licencias por usuario, independientemente del nmero de
dispositivos mviles asignados a ste.
El contrato de soporte y mantenimiento, debiendo considerar si se incluyen en el

mismo las actualizaciones a nuevas subversiones y versiones principales, las
actualizaciones de seguridad y de resolucin de errores, el tipo de acceso al
servicio de soporte (e-mail, telfono, presencial, etc), el horario de soporte (12x5,
12x7, 24x7), etc.
31
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-457
Debe evaluarse si el precio de la licencia incluye el contrato de mantenimiento y

soporte, habitual en licencias de suscripcin temporales y abonado aparte
normalmente en las licencias de un nico pago o perpetuas.
Adicionalmente, en el caso de organizaciones con presencia en mltiples pases,

es importante tener en cuenta en qu pases dispone de presencia y de
capacidades de soporte el fabricante de la solucin MDM.
Los idiomas soportados por el interfaz de autoprovisionamiento para el registro

por parte de los usuarios, por el interfaz de administracin y por el interfaz
asociado a los diferentes servicios de la solucin MDM.
La posibilidad de personalizar el interfaz de usuario con el logo, colores y otras

preferencias de la organizacin (custom branding).
La gestin y monitorizacin de los procesos de auditoria de las aplicaciones y el

terminal.
La gestin y administracin de los logs tanto de los terminales gestionados por

las soluciones MDM como de ella misma.
201. En el caso de implantar una solucin MDM en un entorno crtico o con implicaciones de
negocio relevantes, muy habitual en la mayora de organizaciones debido a la constante y
creciente dependencia en los dispositivos mviles, es necesario evaluar las capacidades frente
a tolerancia a fallos, carga y escalabilidad de la solucin (o nmero mximo de dispositivos
mviles soportados):
La solucin MDM debera disponer de la posibilidad de integrar uno o varios

servidores trabajando todos ellos en modo activo, o en modo activo-pasivo
(failover).
Debera disponer de capacidades para ajustar, de forma automtica o manual, el

balanceo de carga, especialmente durante situaciones de carga elevada, ya sea al
realizar tareas de gestin especficas (por ejemplo, la consulta del nmero de
apps y versiones en todos los dispositivos mviles de la organizacin) o tareas de
negocio en momentos puntuales (por ejemplo, en el cierre del mes).
Debera ser posible aadir nuevos servidores a la solucin MDM en el caso en

que el nmero de dispositivos mviles a gestionar crezca significativamente
respecto a la estimacin contemplada inicialmente.
Debera disponer de capacidades de administracin independientes por cada

departamento o ubicacin de la organizacin, permitiendo la existencia de
administradores independientes para cada grupo a gestionar, que pueden incluso
requerir polticas de seguridad diferentes.
202. Desde un punto de vista ms tcnico, debe evaluarse los diferentes interfaces disponibles para
la administracin de la solucin MDM, pudiendo disponerse de un interfaz web para acceder
a travs de cualquier navegador o de una aplicacin cliente de escritorio tradicional. En el
primer caso es importante evaluar qu navegadores web estn soportados por la solucin: IE,
Firefox, Safari, Chrome, Opera, etc). En el segundo caso es importante evaluar s esta
aplicacin cliente est disponible nicamente para sistemas operativos tradicionales
(Windows, Linus/Unix, Mac OS X) o si tambin permite el acceso desde dispositivos mviles
(Android, iOS, etc).
32
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-457
203. Desde el punto de vista de seguridad se recomienda llevar a cabo la gestin de los dispositivos
mviles desde un entorno cliente tradicional y seguro, y no desde otros dispositivos mviles.
204. Un elemento fundamental para la gestin de los dispositivos mviles de la organizacin por
parte del administrador TIC es la consola de gestin, panel de control o dashboard de la
solucin MDM, qu permita tanto la realizacin de consultas y bsquedas, la ejecucin de
acciones en el entorno mvil corporativo, as como la visualizacin de alertas automticas.
205. Desde el punto de vista de seguridad de la propia solucin MDM, como elemento crtico en la
arquitectura de la organizacin, es necesario analizar las capacidades de cifrado de las
comunicaciones entre la solucin MDM y el dispositivo mvil (OTA), incluyendo un estudio
detallado de los protocolos y algoritmos de cifrado empleados.
206. Complementando los mecanismos de cifrado, es crtico tambin disponer de mecanismos de
autentificacin mutua robustos entre los dispositivos mviles y los servidores de la solucin
de gestin MDM.
207. Aparte de las caractersticas y funcionalidades especficas de la solucin MDM, es
fundamental para cualquier organizacin evaluar las capacidades de integracin de la solucin
MDM con el resto de soluciones de gestin, monitorizacin y administracin TIC ya
existentes en el entorno, con el objetivo de que el proceso de implantacin e integracin en la
arquitectura actual sea lo ms sencillo y homogneo posible.
208. El interfaz de la solucin MDM puede proporcionar una API (o interfaz de programacin) o
SDK (o kit de desarrollo) para su integracin estndar o a medida con otras soluciones de
gestin y software empresarial.
209. Asimismo, y desde el punto de vista de seguridad, se recomienda evaluar las capacidades de
integracin de la solucin MDM con las soluciones o suites de seguridad con capacidades de
antivirus y antimalware mvil, tanto del mismo fabricante como de terceros.
5.2
REGISTRO DE LOS DISPOSITIVOS MVILES EN LA SOLUCIN MDM
210. Uno de los pasos iniciales y fundamentales a considerar en toda solucin MDM es como se
llevar a cabo el registro o suscripcin, es decir, la incorporacin inicial de los dispositivos
mviles a la solucin (proceso conocido como enrollment), para que estos pasen a estar
gestionados por la organizacin.
211. Una vez configurada la solucin MDM se debe llevar a cabo el registro de los dispositivos
mviles en la misma, con el objetivo de establecer una relacin entre ambos, y que el
dispositivo mvil pase a estar gestionado por la organizacin sin ser necesaria la intervencin
posterior del usuario.
212. En entornos de tamao reducido es posible realizar este proceso de forma manual, debiendo
los administradores TIC plataformar (o preparar para su uso adecuado en la organizacin)
todos y cada uno de los dispositivos mviles de manera local.
213. Normalmente en este escenario la conexin entre el dispositivo mvil y la solucin MDM se
realiza a travs del puerto USB del servidor de gestin, estableciendo as la poltica de
seguridad y configuracin adecuada en el dispositivo mvil.
214. Se recomienda llevar a cabo este proceso antes de que los dispositivos mviles sean
entregados por primera vez al usuario, como parte fundamental del proceso de configuracin
inicial y distribucin de nuevos dispositivos mviles de la organizacin.
33
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-457
215. En entornos de mayor tamao, por motivos de escalabilidad, puede ser el propio usuario el
que puede llevar a cabo el proceso de registro del dispositivo mvil en la solucin MDM (self
enrollment) a travs de un portal web o mediante la instalacin de una app o agente de la
propia solucin MDM. Ambos mtodos harn uso de la API de gestin proporcionada por el
fabricante de la plataforma mvil.
216. Adicionalmente, la solucin MDM debe proporcionar mecanismos que permitan al
administrador TIC realizar el registro por lotes o grupos grandes de dispositivos mviles de
forma sencilla.
217. El proceso de registro o enrollment debe ser seguro y sencillo, con el objetivo de promover y
facilitar la suscripcin de los dispositivos mviles a la solucin MDM, configurarlos
adecuadamente y asegurar el cumplimiento de la poltica de seguridad de la organizacin,
apoyndose en manuales y documentacin orientada al usuario final (tanto en entornos
corporativos como BYOD, ver apartado 4.4. BYOD (BRING YOUR OWN DEVICE) Y
BYOA (BRING YOUR OWN APP)).
218. Las soluciones MDM permiten la identificacin y autentificacin del usuario durante el
proceso de auto-registro mediante su integracin con los directorios corporativos que
disponen de las credenciales corporativas del usuario.
219. Una vez el usuario ha sido identificado, el registro permite aplicar los ajustes de
configuracin, restricciones y controles de acceso especficos para ese usuario en base a las
pautas definidas en la poltica de seguridad de la organizacin.
220. Este proceso de registro se lleva a cabo normalmente de forma remota empleando las
capacidades de comunicacin inalmbricas de los dispositivos mviles, va Wi-Fi o telefona
mvil (2/3/4G), comunicaciones conocidas como OTA (Over-the-Air).
221. El proceso de registro o enrollment conlleva una serie de pasos, dentro de los que se incluyen:
La autentificacin del usuario: para validar que tanto el usuario como el

dispositivo mvil estn autorizados en la solucin MDM.
Opcionalmente, la distribucin y el registro de certificados digitales para la

identificacin del dispositivo mvil o el usuario por la arquitectura de la
organizacin y la solucin MDM, por ejemplo, mediante SCEP (ver apartado
5.2.1. SCEP).
La configuracin del dispositivo: una vez que el servidor MDM y el dispositivo

mvil pueden autentificarse mutuamente y establecer un canal de comunicacin
seguro (tpicamente mediante SSL/TLS), se puede enviar la configuracin del
servidor MDM al terminal.
A partir de ese momento es posible comenzar la gestin del terminal empezando

por su configuracin inicial en base a la poltica de seguridad definida por la
organizacin.
222. Uno de los aspectos de seguridad ms relevantes a la hora de permitir el registro del
dispositivo mvil por parte del usuario es como realizar el proceso de autentificacin del
usuario, para asegurar que realmente cada persona registra nicamente el dispositivo mvil
que le ha sido asignado o de su propiedad (Ej. BYOD), y con la configuracin adecuada.
223. La autentificacin de los usuarios se puede realizar a travs de directorios centralizados
corporativos ya existentes, como el directorio activo en entornos Microsoft, o empleando
34
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-457
otras soluciones de directorio, como por ejemplo servidores LDAP o a travs de soluciones
propietarias, en otros entornos.
224. En los entornos empresariales las soluciones basadas en el protocolo LDAP estn muy
extendidas para la gestin de grupos, usuarios y para el establecimiento de mecanismos de
autentificacin y autorizacin (controles de acceso).
225. La solucin MDM debe disponer de capacidades de integracin con servidores LDAP tanto
para la autentificacin de usuarios como para permitir la aplicacin de diferentes polticas de
seguridad por usuario, grupo, unidad organizativa (OU), o cualquier otro atributo de LDAP
(ver apartado 5.4. GESTIN DE LA(S) POLTICA(S) DE SEGURIDAD
CORPORATIVA(S)).
226. En el caso de emplear un portal web para el registro inicial se recomienda hacer uso de
cifrado mediante HTTPS (SSL/TLS) para todas las comunicaciones, as como emplear
mecanismos robustos de autentificacin para asegurar que solo usuarios previamente
registrados en la organizacin y con autorizacin pueden llevar a cabo el registro de los
dispositivos mviles en la solucin MDM.
227. Si se detectan dispositivos mviles no autorizados intentando acceder a recursos corporativos,
este acceso debera ser bloqueado, y el administrador TIC debera ser notificado.
228. Pese a que la solucin de monitorizacin puede permitir iniciar automticamente el proceso
de registro por parte del usuario en la solucin MDM, pasando previamente por las
autorizaciones correspondientes, no se recomienda hacer uso de estas capacidades.
229. En su lugar, debe establecerse una poltica de seguridad, y los procedimientos asociados, que
no permitan el acceso a los recursos y datos corporativos hasta que el dispositivo mvil no
est siendo gestionado adecuadamente por la organizacin.
5.2.1 SCEP: SIMPLE CERTIFICATE ENROLLMENT PROTOCOL
230. El protocolo SCEP (Simple Certificate Enrollment Protocol), un estndar en versin borrador
del IETF [Ref.- 62], ha sido diseado para simplificar el proceso de solicitud, emisin,
distribucin, gestin y revocacin de certificados digitales en entornos de gran tamao (o a
gran escala).
231. El proceso de registro o suscripcin (enrollment) de los dispositivos mviles en la solucin
MDM puede requerir disponer de certificados digitales, y el protocolo SCEP permite su
generacin y distribucin de manera sencilla y automtica, reduciendo la sobrecarga en la
realizacin de estas tareas manuales para el administrador TIC.
232. Por tanto, SCEP permite a los dispositivos mviles la solicitud y obtencin de certificados
digitales durante el proceso de registro en la solucin MDM y, adicionalmente, para el acceso
a otros recursos y servicios corporativos que hacen uso de certificados digitales durante el
proceso de autentificacin, como ActiveSync, redes Wi-Fi o redes VPN, e-mail, SharePoint,
aplicaciones web, etc 6.
http://blogs.gartner.com/mark-diodati/2012/07/02/mobile-device-certificate-enrollment-are-you-vulnerable/
35
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-457
FIGURA 6.- Esquema
de funcionamiento del protocolo SCEP.
233. Plataformas mviles como Android, BlackBerry o iOS disponen de soporte para SCEP, con el
objetivo de facilitar la distribucin de certificados va OTA que permitan identificar los
dispositivos mviles autorizados a travs de los mecanismos de autentificacin de los
servicios corporativos (basados en certificados digitales).
234. A la hora de implantar SCEP a travs de la solucin MDM deben tenerse en cuenta
potenciales vulnerabilidades de seguridad descubiertas en el ao 2012 y asociadas al proceso
de registro de los dispositivos mviles y la posibilidad de suplantar a otros usuarios
(potencialmente usuarios con ms privilegios) o dispositivos mviles [Ref.- 64].
5.3
INVENTARIO Y MONITORIZACIN
235. Una de las caractersticas ms relevantes de las soluciones MDM es la monitorizacin

automtica y la generacin de alertas al incumplirse la poltica de seguridad establecida.
236. Por un lado debe evaluarse qu tipo de alertas pueden ser generadas por la solucin MDM, ya
sea mediante SNMP, e-mail, SMS, etc.
237. Por otro lado debe evaluarse frente a qu tipo de eventos pueden generarse alertas, como por
ejemplo cuando no es posible contactar con un dispositivo mvil, cuando el dispositivo est
siendo usado en el extranjero (roaming), cuando se detecta un intento de instalacin de una
app no permitida, etc.
238. Por otro lado, otra de las principales y ms bsicas caractersticas de una solucin MDM
debera ser la posibilidad de disponer de un inventario lo ms real y actualizado posible de los
dispositivos mviles que gestiona, y por tanto, que existen en la organizacin.
239. La informacin que debera obtenerse para el inventario debera incluir, entre otros, el tipo de
dispositivo mvil, fabricante y modelo exacto, el sistema operativo de la plataforma mvil y
su versin concreta, el operador de telecomunicaciones empleado actualmente, el estado de
diferentes mdulos hardware y elementos asociados a su configuracin, las apps instaladas en
el mismo, etc.
36
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-457
240. Adicionalmente, la solucin de inventario debe gestionar un registro con los diferentes
identificadores asociados a un dispositivo mvil (si son aplicables), como por ejemplo:
Nmero de serie o identificador nico del dispositivo mvil segn el fabricante.
IMEI (International Mobile Equipment Identity).
Nmero de telfono asociado.
IMSI (International Mobile Subscriber Identity), correspondiente a la tarjeta

SIM.
241. La solucin MDM debe proporcionar informacin de inventario sobre la configuracin

general del dispositivo mvil, as como sobre su configuracin de seguridad, automatizando la
deteccin de violaciones en la poltica de seguridad y tomando acciones para remediar estos
incumplimientos lo antes posible, ya sea mediante notificaciones o alertas personalizables, o
mediante la realizacin de acciones automticas.
242. Las capacidades de inventario debera proporcionar la posibilidad de consultar en todo
momento (en tiempo real y bajo demanda), o con una periodicidad establecida, cul es el
estado de un dispositivo mvil gestionado y de las apps de las que dispone actualmente.
243. Para ello deben disponer de capacidades de bsqueda en funcin de mltiples criterios
asociados a la solucin de gestin, como por ejemplo el usuario, tipo de dispositivo mvil,
versin del sistema operativo, ajustes de configuracin especficos, apps, etc.
244. Asimismo, las capacidades de inventario deberan almacenar un histrico de los datos
recolectados a lo largo del tiempo (por ejemplo, diario, semanal mensual y anual),
fundamental para poder hacer un seguimiento de la evolucin en la adopcin de dispositivos
mviles dentro de la organizacin, de la evolucin de la aplicacin de una nueva poltica de
seguridad o cambios sobre sta, e identificar tendencias o extraer estadsticas que ayuden a la
toma de decisiones relacionadas con el entorno mvil de la organizacin.
245. Complementariamente al inventario de dispositivos mviles, debera disponerse de un
inventario exhaustivo de apps instaladas en todos y cada uno de los dispositivos mviles
gestionados, incluyendo en el mismo la versin de la app disponible en cada dispositivo.
246. Adicionalmente, la solucin MDM debe proporcionar capacidades de exportacin de datos en
diferentes formatos (XML, CSV, HTML, PDF, texto, etc), con el objetivo de poder generar
informes y extraer la informacin que la solucin gestiona y poder importar estos en otras
soluciones de gestin y software empresarial.
247. Las capacidades para la generacin de todo tipo de informes por parte de la solucin MDM,
asociados a sus capacidades de inventario y monitorizacin, deben ser evaluadas en detalle
para su utilizacin en la gestin de los dispositivos mviles, tanto en tareas reactivas como
proactivas.
248. Es especialmente interesante la disponibilidad en la solucin MDM de plantillas previamente
definidas por el fabricante que puedan ser utilizadas directamente por la organizacin o
personalizadas con el menor esfuerzo posible, no siendo necesario disear cada nueva
plantilla para un nuevo informe desde cero.
249. Las capacidades de monitorizacin, especialmente en entornos BYOD, deben ser capaces de
filtrar los datos e informacin personal o propia del usuario, que puede permitir su
identificacin y localizacin, y estar afectados por las leyes de privacidad del pas de
aplicacin.
37
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-457
250. Por ejemplo, la solucin MDM debe permitir filtrar o no acceder a los correos electrnicos,
contactos y calendarios personales, datos de apps personales, contenido de los mensajes de
texto, lista de llamadas y acceso al buzn de voz, la ubicacin del dispositivo mvil, etc.
251. En cualquier caso y promoviendo la transparencia de la solucin MDM, es conveniente
informar al usuario de la existencia de capacidades de monitorizacin, qu tipo de
informacin va a ser accedida y recolectada, y obtener su autorizacin previa por escrito.
252. En el caso de integrar la solucin MDM con soluciones de gestin de contenidos, o disponer
directamente de estas capacidades en la solucin MDM (ver apartado 5.5.13.5. GESTIN
DE LOS CONTENIDOS Y DATOS MANEJADOS POR LAS APPS),lafuncionalidadde
inventario y monitorizacin debe ser capaz de proporcionar informacin sobre quin tiene
acceso a qu contenidos, quin ha descargado ciertos contenidos o documentos corporativos,
incluyendo las versiones especficas de un documento que han sido obtenidas.
253. Las capacidades de monitorizacin del entorno mvil corporativo deben verse
complementadas con capacidades de monitorizacin y registro de la propia solucin MDM,
pudiendo obtenerse registros detallados (o logs) de las diferentes acciones y actividades
llevadas a cabo a travs de los mecanismos de gestin, como por ejemplo cundo y sobre qu
dispositivos mviles se remite la accin para aplicar una poltica de seguridad concreta, o se
realiza la instalacin de una app determinada, o se restringe la utilizacin de un mdulo
hardware del dispositivo mvil, etc.
5.4
GESTIN DE LA(S) POLTICA(S) DE SEGURIDAD CORPORATIVA(S)
254. Las soluciones MDM empresariales deben disponer de capacidades para la configuracin y
aplicacin de las polticas de seguridad corporativas en los dispositivos mviles gestionados.
255. Las polticas de seguridad incluyen diferentes ajustes de configuracin que afectan a los
mltiples elementos y componentes del dispositivo mvil, como los interfaces de
comunicaciones, los mdulos hardware, la utilizacin de apps, etc. Los detalles de
configuracin de los diferentes componentes son analizados en los siguientes apartados.
256. Es fundamental que la solucin MDM proporcione capacidades para configurar los
dispositivos mviles y aplicar la poltica de seguridad de forma remota independientemente
de dnde se encuentre ubicado el dispositivo a gestionar, comunicacin inalmbrica conocida
como OTA (Over-the-Air) y que se puede llevar a cabo a travs de redes Wi-Fi o de telefona
mvil 2/3/4G.
257. Habitualmente, la solucin MDM permite la definicin de perfiles de configuracin que son
aplicados en el dispositivo mvil en base a la poltica de seguridad corporativa segn el tipo
de dispositivo mvil, el tipo de usuario, y el nivel de acceso asociado (pudiendo emplearse los
servidores LDAP corporativos).
258. La solucin MDM debe permitir la definicin de polticas de seguridad en los dispositivos
mviles que sern aplicadas de forma permanente.
259. Adicionalmente y de manera opcional, la solucin MDM puede permitir definir perfiles y
polticas de seguridad temporales, con un tiempo de expiracin definido (pudiendo establecer
el da de comienzo y finalizacin de aplicacin de la poltica de seguridad), y que se
eliminarn automticamente del dispositivo mvil llegado ese momento.
260. Estas polticas temporales pueden emplearse para disminuir o aumentar los controles,
restricciones y el nivel de seguridad de un dispositivo mvil frente a diferentes escenarios,
38
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-457
como la realizacin de un viaje al extranjero, o su utilizacin para una tarea especfica o un

proyecto concreto durante un periodo de tiempo definido.
261. Las soluciones MDM pueden permitir establecer controles de acceso y la aplicacin de
ajustes de configuracin en base a perfiles dependientes del tiempo (que aplican mayores o
menores restricciones segn el momento del da) o de la ubicacin (la configuracin del
dispositivo mvil es modificada o restringida en ciertos lugares).
262. As mismo, es necesario disponer de capacidades para la gestin de versiones de la poltica de
seguridad establecida en los dispositivos mviles, con el objetivo de poder acomodar
actualizaciones en la poltica segn el tipo de dispositivo mvil y segn evolucione la poltica
de seguridad en la organizacin.
263. Complementariamente, debe definirse si hay posibilidad de devolver el dispositivo mvil a su
estado previo antes de la aplicacin de la poltica de seguridad (rollback), o si por el contrario,
la eliminacin de la poltica de seguridad implica un borrado completo del dispositivo, wipe o
restauracin de la configuracin de fbrica.
264. Dentro de la poltica de seguridad corporativa pueden establecerse recomendaciones relativas
a la utilizacin de cortafuegos (o firewalls) personales y soluciones antivirus y antimalware en
los dispositivos mviles.
265. Se recomienda evaluar las capacidades de la solucin MDM para gestionar especficamente el
cortafuegos y antivirus del dispositivo mvil, aunque debe tenerse en cuenta que muchas de
las plataformas mviles no disponen de capacidades para la instalacin de este tipo de
soluciones de seguridad, o si disponen de ellas, no son equivalentes a las existentes en
dispositivos ms tradicionales (por ejemplo, ordenadores porttiles o de escritorio).
5.5
CARACTERSTICAS DE LA(S) POLTICA(S) DE SEGURIDAD CORPORATIVAS
266. Los siguientes apartados proporcionan informacin sobre los diferentes elementos,
caractersticas, capacidades y funcionalidades que deben ser contemplados por la(s)
poltica(s) de seguridad de los dispositivos mviles de la organizacin y, por tanto, por los
mecanismos de gestin asociados a las soluciones MDM. Cada una de estas capacidades ha
sido englobada dentro de una categora en funcin de la funcionalidad que proporciona.
5.5.1 RESTRICCIONES EN EL HARDWARE Y SOFTWARE DEL DISPOSITIVO MVIL
267. La solucin MDM debe disponer de capacidades para poder restringir, con la mayor
granularidad posible, los diferentes mdulos y componentes hardware existentes en los
dispositivos mviles, siempre que las capacidades de gestin de la plataforma mvil lo
permitan.
268. Por ejemplo, debera ser posible deshabilitar aquellos elementos hardware que permiten la
adquisicin de informacin y datos, como la cmara, el mdulo de localizacin GPS, la tarjeta
de almacenamiento externa o el micrfono.
269. Igualmente, debera ser posible deshabilitar todos los interfaces de comunicaciones existentes
en el dispositivo mvil, tanto cableados como inalmbricos, como el puerto USB, o los
interfaces NFC, Bluetooth, Wi-Fi, telefona mvil 2/3/4G, etc.
270. Complementariamente, al restringirse el acceso a ciertos elementos hardware del dispositivo
mvil debe restringirse tambin el acceso a las apps o elementos software que hacen uso de
ese hardware.
39
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-457
271. Por ejemplo, al deshabilitar la cmara del dispositivo mvil, el icono de la app asociada y
disponible por defecto en todas las plataformas mviles para hacer uso de la cmara y poder
hacer fotografas o grabar vdeos debera desaparecer.
272. Independientemente de su vinculacin con el hardware del dispositivo mvil, las soluciones
MDM pueden proporcionar capacidades para restringir el uso del software, servicios y
aplicaciones disponibles por defecto en la plataforma mvil, como el navegador web, el
cliente de correo electrnico, la gestin de contactos y agenda, etc.
273. Estas capacidades de gestin del software directamente asociado al hardware o disponible por
defecto son independientes de las capacidades de gestin de apps de terceros de la solucin
MDM(verapartado5.5.13. GESTIN DE APPS).
274. Un elemento fundamental a la hora de proteger los dispositivos mviles es mantener
actualizados los diferentes elementos software que componen el mismo, con el objetivo de
solucionar o mitigar vulnerabilidades de seguridad pblicamente conocidas que afectan a una
plataforma mvil concreta, una solucin MDM o una app especfica.
275. Por este motivo, la solucin MDM debe proporcionar capacidades avanzadas de gestin de
actualizaciones del sistema operativo de la plataforma mvil, de la app contenedora o agente
MDM, as como de todas las apps instaladas en el dispositivo mvil (va mecanismos de
comunicacin remotos OTA).
5.5.2 GESTIN DEL CDIGO DE ACCESO
276. La solucin MDM debe permitir definir la poltica de autentificacin asociada al cdigo (o
mecanismo) de acceso necesario para desbloquear y utilizar el dispositivo mvil.
277. En primer lugar, debe ser posible verificar y establecer que es necesario disponer de un
cdigo (o mecanismo) de acceso en el dispositivo mvil, y cul ser el mecanismo de acceso
concreto a emplear, ya que el nivel de seguridad no es equivalente para todos ellos.
278. Dependiendo de la plataforma mvil se dispone de diferentes implementaciones para el
cdigo (o mecanismo) de acceso, desde el PIN de cuatro dgitos ms tradicional, hasta el uso
de contraseas alfanumricas ms robustas, o patrones de desbloqueo o el desbloqueo
mediante la imagen de la cara del usuario, en el caso de Android.
279. La poltica de seguridad debe establecer que es imprescindible disponer de un cdigo de
acceso en el dispositivo mvil para poder acceder a los recursos corporativos y considerar al
dispositivo mvil como gestionado, y qu ste debe estar basado en un cdigo de acceso
robusto (contrasea numrica o alfanumrica), no permitindose el uso de mecanismos ms
dbiles como patrones o el reconocimiento facial.
280. El activar el cdigo de acceso en el dispositivo mvil habilita adicionalmente diferentes
mecanismos de proteccin de las distintas plataformas mviles, como por ejemplo las
capacidades de cifrado del terminal.
281. Adicionalmente, la poltica de autentificacin debe definir los requisitos que debe cumplir el
cdigo de acceso, incluyendo (en el caso de una contrasea):
Longitud mnima.
Complejidad (dentro de los cuatro conjuntos de caracteres habituales: letras

minsculas, letras maysculas, dgitos y smbolos).
Periodo de expiracin mximo tras el cual ser necesario renovar el cdigo de

acceso.
40
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-457
Periodo de renovacin mnimo antes del cual no ser posible modificar de nuevo
el cdigo de acceso tras su renovacin.
Mantenimiento de un histrico de cdigos de acceso utilizados anteriormente

para evitar su reutilizacin.
282. En caso de permitirse otros mecanismos de acceso diferentes, tambin debe ser posible definir
los requisitos necesarios, como por ejemplo el nmero de puntos (entre 3 y 9) del patrn de
desbloqueo de Android.
283. Estas capacidades de gestin detalladas de las propiedades asociadas al cdigo de acceso
empleado por el dispositivo mvil tambin deberan estar disponibles para el cdigo
empleado en el proceso de autentificacin de apps contenedoras (ver apartado 4.6.6.
SOLUCIONES DE GESTIN BASADAS EN UN CONTENEDOR).
284. En relacin con el cdigo de acceso y la pantalla de desbloqueo es necesario establecer el
periodo de tiempo (o temporizador) de inactividad tras el cual el dispositivo mvil se
bloquear automticamente.
285. Adicionalmente, se puede definir un periodo de tiempo (o de gracia) durante el cual no ser
necesario introducir de nuevo el cdigo de acceso una vez el dispositivo se ha bloqueado,
manualmente o automticamente por falta de actividad.
286. Es posible establecer que el cdigo de acceso sea solicitado inmediatamente despus de
haberse bloqueado el dispositivo mvil, es decir, que el periodo de gracia sea nulo.
287. Un mecanismo habitual en las plataformas mviles actuales, asociado al cdigo de acceso y a
la proteccin de los datos almacenados en el dispositivo mvil, es el que permite realizar un
borrado completo del dispositivo mvil tras llevarse a cabo un nmero determinado de
intentos de acceso fallidos.
288. La solucin MDM debe disponer de capacidades para habilitar este mecanismo, as como para
definir el nmero de intentos fallidos en funcin de la confidencialidad y criticidad de la
informacin almacenada en el dispositivo mvil.
289. Algunas soluciones MDM pueden disponer de mecanismos ms avanzados que, tras detectar
un nmero determinado de intentos de acceso fallidos, bloqueen el acceso a los servicios y
datos corporativos por parte del usuario (cuentas y credenciales) asociado al dispositivo
mvil. Estos mecanismos deben ser habilitados en funcin de la poltica de seguridad
definida.
5.5.3 PROTECCIN REMOTA
290. La solucin MDM debe proporcionar ciertas caractersticas de seguridad que permitan la
proteccin del dispositivo mvil y su gestin de manera remota.
291. Estas caractersticas deberan estar disponibles para el administrador TIC, pero igualmente y
con el objetivo de minimizar los recursos TIC, algunas de ellas deben estar tambin
disponibles directamente para el usuario final, si la poltica de seguridad de la organizacin
as lo determina, como por ejemplo el cambio del cdigo de acceso, la localizacin del
dispositivo mvil y el borrado remoto de sus datos (wipe).
292. El usuario debera disponer de acceso a un portal web de autogestin, propio de la solucin
MDM, que le permita llevar a cabo estas acciones remotas, as como comprobar en todo
momento si el dispositivo mvil cumple con la poltica de seguridad de la organizacin, y en
caso de no hacerlo, el motivo asociado.
41
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-457
293. La solucin MDM puede permitir eliminar el cdigo de acceso de forma remota, en caso de
que el usuario haya olvidado el actual y se dese restaurar el acceso al dispositivo mvil.
294. Este tipo de funcionalidad, que puede ser muy til en momentos puntuales, es muy crtica
desde el punto de vista de seguridad, ya que permite disponer de control absoluto del
dispositivo mvil desde la solucin MDM.
295. Es por tanto necesario evaluar detalladamente si se desea activar estas capacidades en la
solucin MDM y quin tendr acceso a las mismas, cualquier usuario (sobre sus dispositivos
mviles) o nicamente el administrador TIC.
296. Igualmente, debera permitir bloquear en cualquier momento el dispositivo mvil de forma
remota (en caso de que actualmente no estuviera bloqueado por haber sido usado
recientemente por el usuario, no habiendo expirado el temporizador de bloqueo, y se
encontrara en una ubicacin insegura), empleando el cdigo de acceso existente en la
actualidad, o empleando un nuevo cdigo de acceso (en caso de que no tuviera uno
configurado, situacin completamente desaconsejada desde el punto de vista de seguridad, o
incluso modificando el valor actual, si la plataforma mvil lo permite).
297. Con el objetivo de recuperar el dispositivo mvil en el caso de prdida, la solucin MDM
debera permitir forzar de forma remota al dispositivo mvil a emitir un sonido que permita su
localizacin por parte del usuario o de un tercero.
298. Este escenario es similar al de llamar al nmero de telfono asociado al dispositivo mvil,
pero tambin aplica a dispositivos mviles sin capacidades de telefona (como tabletas) o a
situaciones donde el dispositivo mvil no dispone de cobertura mvil pero s de conectividad
de datos a travs, por ejemplo, de una red Wi-Fi.
299. Complementariamente, debera permitir enviar un mensaje o notificacin de texto (propio de
las capacidades de gestin y diferente a un SMS) al dispositivo mvil que permita
proporcionar informacin sobre su propietario y estado, con el objetivo de que si alguien lo
encuentra y lee el mensaje, pueda ponerse en contacto con el propietario y devolverlo.
300. La solucin MDM debe permitir eliminar toda la informacin almacenada en el dispositivo
mvil, mediante el borrado completo del mismo y su restauracin a los ajustes de fbrica,
operacin conocida en ingls como wipe (verapartado5.5.4. GESTIN Y BORRADO DE
DATOS REMOTO).
301. Una caracterstica ms avanzada para la proteccin remota del dispositivo mvil es el poder
eliminar informacin parcial o selectiva del mismo, mediante el borrado de la relacin de
confianza entre la solucin MDM y el dispositivo mvil, lo que conlleva la eliminacin de los
datos (por ejemplo, datos corporativos), cuentas y ajustes de configuracin gestionados por el
servidor MDM, sin afectar a otros datos del usuario (por ejemplo, datos personales),
funcionalidad muy conveniente para entornos BYOD.
302. Algunas plataformas mviles y sus soluciones de gestin disponen de capacidades avanzadas
asociadas a la introduccin del cdigo de acceso bajo amenaza, como las notificaciones de
coaccin (Duress Notification Address) de BlackBerry [Ref.- 6].
303. Dentro de las polticas asociadas al cdigo de acceso, BlackBerry permite establecer una
direccin de correo electrnico (por ejemplo, la del administrador de la solucin MDM) para
notificar que el usuario est introduciendo el cdigo de acceso del dispositivo bajo coaccin o
amenaza fsica.
304. El introducir el cdigo de acceso actual, pero posicionando el primer carcter del mismo al
final (por ejemplo, para el cdigo de acceso secreto el usuario introducira ecretos),
42
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-457
permite al usuario indicar qu est bajo coaccin y que se genere la notificacin o alerta
correspondiente.
305. Una vez el administrador de la solucin MDM ha sido notificado de la situacin de amenaza
puede tomar medidas de proteccin en el dispositivo mvil gestionado, como por ejemplo
eliminar todos sus datos remotamente (wipe).
306. Si el MDM gestiona usuarios y aplicaciones quehaganusodedatosennubesprivadasdebe
implementar la posibilidad de bloquear al usuario el acceso a los datos en estas nubes desde el
dispositivo robado o perdido, o bloquear el acceso a dicho usuario.
5.5.4 GESTIN Y BORRADO DE DATOS REMOTO
307. Una de las caractersticas que tiene relacin directa con la proteccin remota del dispositivo
mvil (ver apartado 5.5.3. PROTECCIN REMOTA)eslaquepermiteelborradoremoto
completo del dispositivo (accin conocida como wipe).
308. La operacin de borrado restaura en el dispositivo mvil los ajustes de fbrica y elimina todos
los datos existentes, dejando el dispositivo mvil como si se tratase de un dispositivo nuevo
recin adquirido.
309. Esta caracterstica es muy habitual en la mayora de soluciones MDM, incluyendo las
capacidades bsicas de gestin de EAS.
310. Si ninguna de las caractersticas previas de proteccin remota del dispositivo mvil tiene xito
y permite recuperar fsicamente el dispositivo mvil, las organizaciones pueden establecer
qu, con el objetivo de proteger los datos corporativos almacenados en el dispositivo, as
como el acceso automtico a los servicios corporativos desde ste a travs de las credenciales
almacenadas en l, debe llevarse a cabo un borrado completo del mismo.
311. La secuencia natural por tanto de actuacin frente a un dispositivo mvil perdido o robado
podra ser la siguiente si se desea balancear el equilibrio entre la posibilidad de recuperar el
dispositivo mvil y proteger los datos que contiene:
Intentar localizar la ubicacin fsica del dispositivo mvil a travs de la solucin

MDM (ver apartado 5.5.5. SERVICIOS DE LOCALIZACIN).
Bloquear el dispositivo mvil remotamente para no permitir el acceso no

autorizado al mismo.
Llamar al nmero de telfono del dispositivo, o forzar de forma remota al

dispositivo mvil a emitir un sonido (a travs de las capacidades de gestin) que
permita su localizacin.
Enviar de forma remota al dispositivo mvil un mensaje (a travs de las

capacidades de gestin) que permita proporcionar informacin del propietario
para su localizacin o devolucin.
Llevar a cabo el borrado de datos remoto (wipe), selectivo o completo, del

dispositivo mvil.
312. En entornos que gestionan informacin confidencial y sensible, la poltica de seguridad puede
establecer un orden de actuacin diferente, dando ms prioridad o valor a la informacin que
al propio hardware o recuperacin del dispositivo mvil.
313. En este escenario ms crtico, la secuencia de pasos a seguir podra comenzar por intentar
localizar la ubicacin fsica del dispositivo mvil, y en el caso de no tener xito, proceder
43
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-457
directamente a la eliminacin o borrado de datos remoto (wipe), selectivo o completo, del

dispositivo mvil
314. En ese caso, la operacin de borrado puede definirse como una de las primeras acciones a
llevar a cabo para evitar el acceso a la informacin y datos corporativos, frente por ejemplo a
los intentos de localizacin y recuperacin del propio dispositivo mvil.
315. La operacin de borrado puede ser realizada bajo demanda y de forma manual por parte del
administrador TIC de la solucin MDM, o cuando se cumplen ciertas condiciones, como por
ejemplo tras introducir un cdigo de acceso no vlido un nmero determinado de veces.
316. La poltica de seguridad de la organizacin puede establecer que si los dispositivos mviles
no disponen de las ltimas dos versiones del sistema operativo (es decir, estn
significativamente desactualizados), o si no han cumplido con la poltica de seguridad durante
ms de una semana, o si se detecta que el dispositivo mvil ha sido infectado con malware, se
lleve a cabo el borrado remoto de forma automtica.
317. Algunas soluciones MDM proporcionan estas capacidades de borrado remoto automtico si se
produce una violacin crtica de la poltica de seguridad corporativa. En entornos crticos que
gestionan datos e informacin sensible y confidencial, deben habilitarse estas capacidades de
borrado automtico.
318. Tambin es posible aplicar este procedimiento de borrado remoto antes de retirar un
dispositivo mvil antiguo que vaya a ser sustituido, o que no vaya a seguir estando gestionado
por la organizacin. Este procedimiento debe aplicarse siempre que un dispositivo mvil deje
de estar gestionado por la organizacin.
319. Debe tenerse en cuenta que para que la operacin de borrado sea efectiva, se debe cumplir
una condicin indispensable, qu el dispositivo mvil disponga de conectividad de datos (ya
sea a travs de las redes mviles 2/3/4G o de Wi-Fi) para que la solucin MDM pueda enviar
(mensaje push) la orden de borrado remoto.
320. Si un atacante obtiene acceso no autorizado a un dispositivo mvil, una de las primeras
acciones que puede llevar a cabo es la extraccin de la tarjeta SIM para evitar cualquier
comunicacin va redes mviles 2/3/4G, especialmente en aquellos dispositivos mviles
dnde es posible extraer el SIM sin extraer la batera (por ejemplo, dispositivos iOS de
Apple), y por tanto sin tener que apagar necesariamente, el terminal.
321. En el caso de verse forzado a apagar el terminal, necesitara conocer el cdigo de acceso para
poder acceder al mismo tras encenderlo de nuevo.
322. Sin embargo, un potencial atacante puede decidir apagar el dispositivo mvil antes de que se
reciba la orden de borrado y podra aplicar tcnicas de anlisis de la memoria del dispositivo
mvil para intentar extraer la informacin almacenada, siendo el cifrado de la misma un
elemento de proteccin bsico.
323. Respeto a las redes Wi-Fi, el atacante slo debe situar el dispositivo mvil en una ubicacin
dnde no exista ninguna red Wi-Fi conocida, con el objetivo de evitar que el terminal se
conecte a stas y pueda recibir la orden de borrado.
324. En ambos casos, redes mviles 2/3/4G y redes Wi-Fi, un atacante avanzado podra situar el
terminal en un entorno aislado de comunicaciones inalmbricas, como por ejemplo una jaula
de Faraday, para poder interactuar con el terminal sin haberlo manipulado previamente.
325. En el caso de algunos dispositivos mviles el proceso para evitar cualquier comunicacin
inalmbrica es ms sencillo, ya que basta con poner el dispositivo mvil en modo avin.
44
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-457
Desafortunadamente, algunos dispositivos mviles permiten habilitar este modo desde la

propia pantalla de desbloqueo sin conocer el cdigo de acceso, como por ejemplo el Nexus 7
y el Nexus 4 con Android 4.2.2 [Ref.- 53] a travs del botn de activacin.
326. La nica solucin frente a este tipo de acciones por parte de un atacante pasa por disponer de
capacidades de borrado remoto en la plataforma mvil y solucin MDM que permitan que el
terminal inicie un borrado automticamente (sin ninguna comunicacin previa con la solucin
MDM) al cumplirse una condicin, como por ejemplo, no haber establecido comunicacin
alguna con la solucin MDM durante los ltimos 30 das (o cualquier otro periodo de tiempo
definido por la poltica de seguridad de la organizacin). Por ejemplo, estas capacidades estn
disponibles en los dispositivos mviles BlackBerry.
327. En cualquier caso, es fundamental que la solucin MDM disponga de capacidades para
verificar y confirmar si la operacin de borrado remoto ha sido recibida y ejecutada con xito
en el dispositivo mvil gestionado.
328. Debe tenerse en cuenta que esta funcionalidad puede proporcionar una falsa sensacin de
seguridad a las organizaciones, tanto por los motivos expuestos previamente, como por el
hecho de desconocer si el potencial atacante ha podido copiar los datos almacenados en el
dispositivo mvil antes de realizarse el borrado remoto del mismo.
329. Para poder llevar a cabo la operacin de borrado es necesario que la poltica de seguridad de
la organizacin refleje claramente la autorizacin por parte del usuario, o incluso de forma
explcita, mediante una autorizacin firmada especficamente con este propsito. En algunas
organizaciones no se considera aceptable el poder realizar esta operacin de borrado a la
totalidad del dispositivo mvil (al incluir datos personales del usuario).
330. Algunas soluciones MDM disponen de capacidades de borrado remotas parciales, es decir,
que permiten de forma ms selectiva y granular especificar qu informacin ser eliminada
del dispositivo mvil.
331. Esta granularidad permite eliminar nicamente los datos y acceso a servicios corporativos, no
afectando a los datos y acceso a servicios personales del usuario.
332. Este escenario es muy habitual en soluciones MDM de tipocontenedor(verapartado4.6.6.
SOLUCIONES DE GESTIN BASADAS EN UN CONTENEDOR), dnde nicamente se
eliminan los ajustes de configuracin, la app y los datos gestionados por la app contenedora o
agente de la solucin MDM.
333. Otras plataformas mviles como iOS no disponen de mecanismos de gestin con esta
granularidad (al menos en la versin actual), por lo que algunas soluciones MDM
implementan soluciones virtuales de borrado de datos en el acceso a los servicios
corporativos.
334. Para ello, establecen polticas de acceso granulares a los datos corporativos, una especie de
cortafuegos de aplicacin o de datos, permitiendo o no la obtencin remota de la informacin
corporativa a cada dispositivo mvil.
335. Esta solucin sin embargo no es aplicable a los datos que ya han sido almacenados en el
dispositivo mvil, sino nicamente a los datos accesibles remotamente a travs de servicios
corporativos, como por ejemplo el correo electrnico o repositorios de documentos.
NOTA: A modo de referencia se proporciona un ejemplo de solucin MDM con estas
capacidades, como por ejemplo MobileIron Sentry y su integracin con servidores de correo
Microsoft Exchange y ActiveSync.
45
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-457
336. Esta caracterstica no slo se emplea ante la amenaza de prdida o robo de un dispositivo
mvil, sino tambin cuando un empleado deja la organizacin pero mantiene el acceso al
dispositivo mvil, por ejemplo, en entornos BYOD o cuando los dispositivos mviles
corporativos no son devueltos a la organizacin.
5.5.5 SERVICIOS DE LOCALIZACIN
337. Una de las funcionalidades caractersticas de los dispositivos mviles actuales es la
disponibilidad de mltiples capacidades o servicios de localizacin que permiten obtener su
ubicacin fsica, con mayor o menor exactitud dependiendo de las condiciones y los mtodos
empleados.
338. Habitualmente las plataformas mviles disponen de dos tipos de mecanismos de localizacin
que permiten obtener su ubicacin actual:
Localizacin de mayor precisin, en el exterior y/o espacios abiertos, a travs del

mdulo GPS del dispositivo mvil y de los satlites GPS.
Localizacin de menor precisin, pero que funciona incluso en recintos cerrados

y en el interior de edificios, a travs de las torres de telefona mvil y redes WiFi cercanas.
339. Los servicios de localizacin tienen implicaciones directas sobre la privacidad del usuario, y
son utilizados extensamente por redes sociales, buscadores de Internet, y otros servicios que
hacen uso o se basan en la ubicacin actual del usuario.
340. La obtencin no autorizada de la ubicacin concreta del usuario en un momento dado facilita
la realizacin de ataques dirigidos sobre ste y sobre las actividades que lleva a cabo en dicha
ubicacin.
341. Debe tenerse en cuenta qu para que las capacidades de localizacin remota del dispositivo
mvil sean efectivas, se deben cumplir dos condiciones indispensables:
Que el dispositivo mvil disponga de las capacidades de localizacin activas,

preferiblemente ambos tipos (mencionados previamente).
Que el dispositivo mvil disponga de conectividad de datos (ya sea a travs de

las redes mviles 2/3/4G o de Wi-Fi) para que pueda comunicar su ubicacin a la
solucin MDM.
342. Algunas soluciones MDM no slo permiten localizar la ubicacin de un dispositivo mvil en
un momento dado, por ejemplo si ha sido perdido o robado, sino que tambin permiten
realizar un seguimiento detallado de la ubicacin del dispositivo de manera peridica o
permanente (tracking), rastreando as la ubicacin y el desplazamiento del dispositivo mvil a
lo largo del da.
343. Debe prestarse especial atencin a las implicaciones de privacidad y posible violacin de las
leyes de proteccin de datos si se desea hacer uso de este tipo de capacidades de seguimiento
del usuario.
344. La solucin MDM debe disponer de capacidades para deshabilitar los servicios de
localizacin o, al menos, poder restringir su utilizacin por parte de ciertas apps o elementos
hardware, como por ejemplo la cmara.
345. Debe tenerse en cuenta que algunas soluciones MDM hacen uso de los servicios de
localizacin para aplicar distintas polticas de seguridad sobre el dispositivo mvil en funcin
46
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-457
de su ubicacin. Si se desea aplicar distintas polticas de seguridad segn la ubicacin del

dispositivo mvil, es necesario habilitar estas capacidades y asegurarse que los servicios de
localizacin estn siempre activos, al ser necesarios para su correcto funcionamiento.
5.5.6 GESTIN DE LOS DATOS ALMACENADOS EN EL DISPOSITIVO MVIL
346. Adicionalmente a las capacidades de borrado remoto de datos (ver apartado 5.5.4. GESTIN
Y BORRADO DE DATOS REMOTO) y de la proteccin del acceso al dispositivo mvil
(verapartado5.5.2. GESTIN DEL CDIGO DE ACCESO),lasprincipalesplataformas
mviles actuales disponen de capacidades de cifrado de los datos que almacenan.
347. Las plataformas mviles actuales disponen de capacidades nativas para el cifrado completo
del dispositivo mvil, funcionalidad asociada normalmente a la existencia de un cdigo de
acceso.
348. Por otro lado, algunas plataformas mviles tambin disponen de capacidades de cifrado de las
tarjetas de almacenamiento externas (por ejemplo, tarjetas SD o SD cards).
349. Complementariamente, la plataforma mvil puede disponer de libreras especficas para el
cifrado de datos por parte de las apps, de forma que stas puedan proteger la informacin que
gestionan dentro del sandbox o entorno de trabajo que tienen asociado en la plataforma
mvil.
350. Las soluciones MDM deben proporcionar capacidades que permitan especificar y aplicar
requisitos de cifrado sobre el dispositivo mvil y las tarjetas de almacenamiento externas por
parte de la poltica de seguridad de la organizacin, con el objetivo de evitar que la
informacin almacenada est accesible en el caso de que un potencial atacante disponga de
acceso fsico no autorizado al dispositivo mvil.
351. La funcionalidad que habilita el cifrado del dispositivo mvil y las tarjetas de almacenamiento
externas debe ser habilitada siempre que sea posible en funcin de la plataforma mvil
gestionada.
352. Adicionalmente, podran establecerse requisitos de seguridad asociados al cifrado en las
propias apps, aunque su aplicacin queda habitualmente en manos del desarrollador de la app,
no disponindose de granularidad suficiente a travs de los mecanismos de gestin (a menos
que se haga uso de apps contenedoras o de soluciones de app wrapping ver apartado
5.5.13.5. GESTIN DE LOS CONTENIDOS Y DATOS MANEJADOS POR LAS APPS).
353. Otro de los elementos a tener en cuenta en toda solucin MDM respecto a la proteccin de
datos es su capacidad de integracin con entornos colaborativos y plataformas, soluciones y
servidores empresariales para la comparticin de documentos, como por ejemplo Microsoft
SharePoint, facilitando el acceso seguro a contenidos corporativos.
354. As, algunas soluciones MDM proporcionan capacidades propias de entornos colaborativos,
proporcionando o integrndose con repositorios centralizados para la comparticin de
documentos corporativos y su acceso remoto, incluyendo la distribucin segura de
documentos a travs de e-mail (mediante enlaces al repositorio centralizado).
5.5.7 DETECCIN DE JAILBREAK O ROOT
355. Uno de los procesos que pueden afectar significativamente el nivel de seguridad de los
dispositivos mviles es el que permite al usuario tomar control completo del terminal y evitar
o deshabilitar as los mecanismos de seguridad y proteccin existentes por defecto en la
47
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-457
plataforma mvil, as como evitar la poltica de seguridad definida por la organizacin y

aplicada a travs de la solucin MDM.
356. Este proceso se conoce como jailbreak en el caso de la plataforma mvil iOS o como root (o
rooting) en el caso de la plataforma mvil Android, y permite disponer de los mximos
privilegios administrativos sobre el dispositivo mvil.
357. En la actualidad, otras plataformas mviles como BlackBerry o Windows Phone no tienen
asociado un proceso similar que permita obtener el mismo nivel de privilegios y un control a
bajo nivel de estas plataformas mviles.
358. Las soluciones MDM disponen de capacidades de deteccin para identificar si un dispositivo
mvil gestionado ha sufrido el proceso de jailbreak o root, con el objetivo de notificar acerca
de esta situacin al administrador TIC.
359. La poltica de seguridad de la organizacin debe establecer que no se puede llevar a cabo este
proceso en los dispositivos mviles gestionados por la organizacin, y la solucin MDM debe
detectar si el proceso ha sido realizado.
360. Para realizar la deteccin, la solucin MDM verifica mediante distintos mtodos y funciones
diferentes indicadores tcnicos habituales en dispositivos mviles con el jailbreak o root
realizado, como por ejemplo la existencia de un servidor SSH, la ejecucin de ciertos
procesos a nivel de sistema operativo, la existencia de ciertos ficheros, etc.
361. La efectividad del mecanismo de deteccin depende de si el dispositivo mvil implementa
contramedidas para evitarla. Por ejemplo, el proyecto xCon (disponible en Cydia) [Ref.- 49]
para plataformas mviles iOS, dado que puede ejecutar con los mximos privilegios,
implementa mltiples contramedidas para evitar la deteccin del proceso de jailbreak
realizada por diferentes apps y soluciones MDM.
362. Se recomienda prestar atencin a la evolucin del proyecto xCon peridicamente para
confirmar si implementa mtodos de evasin del proceso de deteccin del jailbreak o root por
parte de la solucin MDM empleada por la organizacin.
363. Una vez detectada y notificada la situacin, la solucin MDM debe permitir al administrador
TIC llevar a cabo acciones automticas sobre el dispositivo mvil que no cumple la poltica
de seguridad, como por ejemplo, el borrado remoto del mismo (ver apartado 5.5.4.
GESTIN Y BORRADO DE DATOS REMOTO), o bloquear el acceso a los recursos
corporativos, como deshabilitar el acceso al buzn de correo electrnico del usuario.
5.5.8 GESTIN DE CERTIFICADOS DIGITALES
364. La gestin de certificados digitales en los dispositivos mviles es un elemento crtico que
afecta a su nivel de seguridad, tanto para establecer el nivel de confianza con servicios
remotos de terceros, como para la propia autentificacin del dispositivo mvil o el usuario.
365. A la hora de evaluar las capacidades de gestin de certificados digitales de la solucin MDM
debe tenerse en cuenta que existen, como mnimo, dos repositorios para el almacenamiento de
certificados en los dispositivos mviles:
Certificados digitales personales: permiten almacenar los certificados propios del

dispositivo mvil y/o usuario y que pueden ser utilizados como mecanismos de
autentificacin robusto en lugar de, por ejemplo, usuario y contrasea. El
almacenamiento de este tipo de certificados incluye tanto la clave pblica como
la clave privada asociadas al mismo.
48
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-457
Certificados digitales de las autoridades certificadoras (CAs) de confianza:

permitenestablecerquCAssernconsideradasdeconfianzaporeldispositivo
mvil, incluyendo tanto CAs raz como intermedias. La lista de CAs de
confianza existente por defecto es establecida por el fabricante de la plataforma
mvil.
366. Adicionalmente puede disponerse de repositorios para almacenar la confianza en servidores o

serviciosconcretos,oporelcontrario,laausenciadeconfianzaenservidoresoCAscuyos
certificados han sido revocados por cualquier causa.
367. Las soluciones MDM pueden disponer de capacidades de gestin de certificados digitales
tantoparaloscertificadospersonalescomodenuevasCAspropiasdelaorganizacin(ode
servidores concretos de la organizacin) para las siguientes funcionalidades de conexin:
Redes Wi-Fi
Redes VPN
Navegacin web (SharePoint, aplicaciones web, etc)
Correo electrnico (e-mail) y S/MIME
Cuentas de Microsoft Exchange ActiveSync (EAS)
Comunicacin con la solucin MDM
368. Adicionalmente a las capacidades de gestin de certificados por dispositivo mvil, la solucin
MDM debera proporcionar esas capacidades para las apps cliente nativas de la plataforma
mvil (como por ejemplo las mencionadas previamente, e-mail o navegacin web) e incluso
para apps empresariales especficas.
369. Algunas soluciones MDM proporcionan capacidades de autoridad certificadora (CA) 7,
encargndose de la emisin, registro y gestin de certificados digitales, mientras que otras
soluciones MDM proporcionan capacidades similares a travs de la integracin con otras
CAs externas, como por ejemplo la asociada al directorio activo de Microsoft.
370. En relacin directa con el proceso de registro de losdispositivosmviles(verapartado5.2.
REGISTRO DE LOS DISPOSITIVOS MVILES EN LA SOLUCIN MDM), la solucin
MDM puede permitir la gestin de certificados para llevar a cabo el proceso de registro
mediante SCEP, ya sea a travs de una integracin completa con un servidor SCEP externo
existente dentro de la organizacin, o mediante la utilizacin de una CA propia del servidor
MDM que dispone de un servidor SCEP propio.
371. Debe tenerse en cuenta que las diferentes plataformas mviles ofrecen por defecto
capacidades muy variadas para la gestin de certificados digitales.
372. En la plataforma iOS, Apple no ofrece a travs del interfaz de usuario capacidades para la
gestindelos certificadosdelasCAsdeconfianza,ofreciendonicamentedocumentacin
sobrelalistadeCAsexistentespordefectosegnlaversindeiOS:
iOS 3.x: http://support.apple.com/kb/HT3580
iOS 4.x: https://support.apple.com/kb/HT4415
iOS 5.x & 6.x: https://support.apple.com/kb/HT5012
Las referencias a lo largo de la presente gua al trmino CA incluyen tanto las capacidades de autoridad certificadora (CA) como de
autoridad de registro (RA, Registration Authority).
49
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-457
373. En la plataforma Android, en funcin de la versin, las capacidades de gestin de certificados

han cambiado notablemente. En la versin Android 2.x prcticamente no se dispona de
capacidades paragestionarloscertificadosdelasCAsdeconfianza,mientrasqueenAndroid
4.x las capacidades disponibles son muy avanzadas, incluyendo un nuevo repositorio
(KeyChain API y TrustStore) a nivel del sistema que permite la gestin completa de
certificados de las CAs y de usuario, incluyendo la revocacin granular de certificados no
vlidos[Ref.- 65].
5.5.9 GESTIN DE LAS COMUNICACIONES
374. Desde un punto de vista genrico, la solucin MDM debe gestionar los mecanismos de
conectividad y la disponibilidad y estado de los diferentes interfaces de comunicaciones
inalmbricas del dispositivo mvil, como NFC (Near Field Communications), Bluetooth, WiFi, telefona mvil 2/3/4G, etc.
375. Las organizaciones deben tener en cuenta que los dispositivos mviles se conectarn a redes
de terceros (por ejemplo, para acceder a Internet) sobre las que la organizacin no dispone de
ningn control, salvo que se implanten controles especficos en los dispositivos mviles para
evitarlo.
376. La solucin MDM puede permitir disponer de un mayor control sobre todas las
comunicaciones de datos originadas desde el dispositivo mvil, por ejemplo, forzando el
establecimiento y la utilizacin de una conexin VPN cifrada antes de enviar ningn trfico,
asegurando la utilizacin de mecanismos de autentificacin mutua antes de transmitir ningn
trfico, o seleccionando el interfaz de comunicaciones a emplear en cada momento, Wi-Fi o
telefona mvil 2/3/4G.
377. Desde el punto de vista general de transmisin de datos a travs de redes TCP/IP, la solucin
MDM debe permitir configurar un proxy (o gateway) global en el dispositivo mvil para
cursar todas las comunicaciones de datos a travs de la infraestructura de red de la
organizacin, especialmente para el acceso a recursos corporativos.
378. Los siguientes apartados proporcionan ejemplos del tipo de capacidades de gestin de las
comunicaciones mviles requeridas en las soluciones MDM, pero sin ser completamente
exhaustivos. Se recomienda consultar las guas especficas para cada plataforma mvil con el
objetivo de profundizar en todos los aspectos relacionados con la configuracin y seguridad
enelusodeestastecnologas(verreferenciasalfinaldelapartado2. OBJETO).
379. La proteccin de cualquier comunicacin inalmbrica comienza con las capacidades para
deshabilitar el interfaz asociado (ver apartado 5.5 Caractersticas de la(s) Poltica(s) de
Seguridad Corporativa).
380. Debe tenerse en cuenta que algunas plataformas mviles s proporcionan una granularidad
muy avanzada para la configuracin de los interfaces de comunicaciones inalmbricos, como
por ejemplo la gestin del interfaz Bluetooth en BlackBerry, mientras que otras plataformas
mviles no disponen de algunas tecnologas (al menos actualmente) o de la granularidad de
configuracin deseada, como por ejemplo la ausencia de NFC o la limitada gestin del
interfaz Bluetooth en iOS, respectivamente.
5.5.9.1
NFC
381. Las opciones de configuracin disponibles en la actualidad en los dispositivos mviles con
soporte para NFC son muy limitadas, por lo que la solucin MDM debera al menos de
50
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-457
disponer de la capacidad para habilitar o deshabilitar el interfaz NFC, as como para gestionar
los servicios asociados, como por ejemplo Android Beam.
5.5.9.2
BLUETOOTH
382. La solucin MDM debera permitir configurar el dispositivo mvil de forma permanente
como no visible u oculto, siendo necesario que durante los emparejamientos sea el otro
dispositivo Bluetooth el que est visible. Esta es la configuracin recomendada desde el punto
de vista de seguridad.
383. Adicionalmente, es interesante disponer de capacidades avanzadas de gestin de la
configuracin Bluetooth, como por ejemplo poder establecer el nombre Bluetooth del
dispositivo mvil o los perfiles Bluetooth disponibles y habilitados segn la poltica de
seguridad corporativa.
384. A nivel de los perfiles Bluetooth, podra disponerse de capacidades para establecer de forma
independiente los mecanismos de autentificacin y autorizacin de cada perfil.
385. Con un mayor nivel de granularidad, podra gestionar y restringir los dispositivos Bluetooth
con los que puede emparejarse el dispositivo mvil, tanto por tipo de dispositivo, como por
ejemplo impresoras, ordenadores, otros dispositivos mviles, manos libres, etc, como por
dispositivos Bluetooth concretos.
386. Si los emparejamientos permitidos por la organizacin son realizados durante la
configuracin inicial del dispositivo mvil, podra configurarse el mismo para restringir la
posibilidad de realizar nuevos emparejamientos va Bluetooth.
387. La solucin MDM podra establecer una poltica de seguridad sobre el PIN empleado durante
los emparejamientos Bluetooth, fijando unos requisitos mnimos sobre el mismo (longitud,
complejidad, etc).
388. Al hacer usodelascapacidadesBluetoothdel dispositivo mvil,seirnalmacenandoenla
basededatosdeemparejamientoreferenciasatodosaquellosdispositivosBluetoothconlos
quesehayaestablecidounaconexin. La solucin MDM debera disponer de capacidades de
gestin y borrado selectivo peridico de dicha base de datos para que nicamente contenga
aquellos dispositivos con los que se establecen comunicaciones Bluetooth habitualmente.
389. La poltica de seguridad corporativa debera establecer que la versin de la especificacin
Bluetooth a emplear por los dispositivos mviles de la organizacin sea al menos la 2.1, ya
que sta aade mecanismos como Secure Simple Pairing (SSP). En caso de que un dispositivo
mvil no disponga de esta versin o una superior, podra decidirse deshabilitar el interfaz
Bluetooth.
5.5.9.3
WI-FI
390. Las comunicaciones a travs de redes Wi-Fi es uno de los mtodos de conectividad de datos
principales empleados por los dispositivos mviles hoy en da, por lo que es muy
recomendable que la solucin MDM disponga de capacidades avanzadas de gestin de esta
tecnologa.
391. En primer lugar la solucin MDM debera definir con qu tipo de redes Wi-Fi se permite al
dispositivo mvil establecer una conexin, es decir, redes con infraestructura basadas en un
punto de acceso, redes ad-hoc entre dispositivos, o ambas.
392. La poltica de seguridad corporativa podra ser mucho ms restrictiva y definir nicamente un
conjunto determinado, lista blanca, de redes Wi-Fi a las que pueden conectarse los
51
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-457
dispositivos mviles gestionados. La solucin MDM debera disponer de capacidades para

aplicar esas restricciones (si la plataforma mvil lo permite).
393. La opcin recomendada desde el punto de vista de seguridad sera establecer una
configuracin Wi-Fi restrictiva a travs de la solucin MDM que slo permita al dispositivo
mvil conectarse a la red Wi-Fi corporativa, y que prohiba establecer conexiones con
cualquier otra red, especialmente las redes Wi-Fi pblicas sin ningn mecanismo de
proteccin.
394. La seguridad de la red Wi-Fi corporativa debera emplear WPA2 Empresarial, y los clientes
deben configurarse adecuadamente para verificar su identidad a travs de los parmetros y
certificados digitales correspondientes.
395. Los dispositivos mviles tienden a establecer una conexin automtica con las redes Wi-Fi
conocidas, por lo que desde el punto de vista de seguridad se debera poder gestionar y
deshabilitar esta funcionalidad de conexin automtica (si la plataforma mvil lo permite).
396. Desde un punto de vista ms general, se debera establecer una poltica de seguridad detallada
para no permitir la conexin a redes Wi-Fi inseguras, considerando como tal aquellas que
hacen uso (por ejemplo) de comunicaciones sin cifrar (abiertas u open) o con cifrado dbil
(WEP).
397. La solucin MDM podra tambin establecer una poltica de seguridad sobre la contrasea
(clave precompartida o PSK. Pre-Shared Key) a emplear en la conexin a redes Wi-Fi WPA y
WPA2 Personal, fijando unos requisitos mnimos sobre la misma (longitud, complejidad, etc)
que de no cumplirse, no permitiran la conexin del dispositivo mvil a la red asociada.
398. Asimismo, debera permitir llevar a cabo la configuracin avanzada de las redes WPA y
WPA2 Empresariales, pudiendo definir y restringir los mecanismos de autentificacin
(EAP/802.1x) y cifrado (Ej. AES)aemplear,ascomolosservidoresRADIUSylasCAsde
confianza empleados para los mecanismos de autentificacin basados en certificados
digitales.
399. Al hacer uso de las capacidades Wi-Fi deldispositivomvil,seirnalmacenando en la base
de datos de redes Wi-Fi conocidas (o PNL, Preferred Network List) referencias a todas
aquellas redes Wi-Fi a las que se ha conectado previamente el dispositivo mvil. La solucin
MDM debera disponer de capacidades de gestin(aadir, modificar y borrar) de la PNL para
quenicamentecontengaaquellas redes Wi-Fi a las que se conecta el usuario habitualmente.
400. Complementando la gestin de la PNL, la solucin MDM debera poder identificar que redes
Wi-Fi de la PNL estn configuradas como ocultas y cuales como visibles, adems de poder
modificar o editar su configuracin para cambiar el tipo de red.
401. La solucin MDM debera disponer de capacidades de gestin para restringir y configurar la
funcionalidad de punto de acceso Wi-Fi existente en los dispositivos mviles actuales.
5.5.9.4
TELEFONA MVIL 2/3/4G
402. Respecto a las comunicaciones mviles, debera ser posible habilitar o deshabilitar de forma
independiente las comunicaciones de voz (y SMS/MSM) y las comunicaciones de datos
(2/3/4G).
403. La solucin MDM debera permitir gestionar las capacidades de comparticin de la conexin
de datos con otros dispositivos (conocidas como tethering), incluyendo la aplicacin de
restricciones sobre los mtodos de tethering permitidos (Bluetooth, Wi-Fi y/o USB) y los
ajustes de seguridad de las redes de comunicaciones asociadas.
52
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-457
404. La opcin recomendada desde el punto de vista de seguridad sera permitir nicamente hacer
uso de las capacidades de tethering del dispositivo mvil a travs del puerto USB.
405. Como elemento fundamental para la proteccin de este tipo de comunicaciones, debera ser
posible seleccionar el tipo de red de telefona mvil a emplear, 2G (con numerosas
vulnerabilidades conocidas) 3/4G.
406. Esta seleccin del tipo de red debera ser aplicable tanto para voz (GSM o UMTS) como para
datos (GPRS y EDGE, frente a UMTS y LTE).
407. Una funcionalidad complementaria que puede ser proporcionada por la solucin MDM es la
que permite llevar un control del gasto de los servicios de telefona mvil (voz, SMS y datos)
de cada dispositivo mvil en tiempo real.
408. Adicionalmente, la solucin MDM debera poder gestionar los parmetros de conectividad en
el extranjero (roaming), tanto para voz y SMS, como para datos.
409. En el caso de las comunicaciones a travs de las redes de telefona mvil 2/3/4G, la solucin
MDM puede permitir la configuracin y gestin de un APN (Access Point Name) privado y
propio de la organizacin, que ha sido contratado previamente al operador de telefona.
5.5.10
GESTIN DE VPN
410. La solucin MDM debe permitir la gestin y actualizacin de la configuracin de las

conexiones VPN de la organizacin en los dispositivos mviles, incluyendo tanto la
configuracin general de la arquitectura y servidores VPN (direcciones IP, puertos, etc) como
la configuracin de los secretos precompartidos y de las credenciales asociadas a la cuenta de
acceso por VPN del usuario.
411. Una de las tendencias ms recientes respecto al establecimiento de conexiones VPN desde
dispositivos mviles es la posibilidad de establecer VPNs por app, en lugar de una VPN nica
y genrica para todo el sistema.
412. La posibilidad de establecer VPNs por app (o VPNs selectivas) permite proteger con ms
granularidad la transferencia de datos corporativos, minimizando colateralmente el consumo
de batera y reduciendo el trfico de red de apps personales (no asociadas al negocio y cuya
transferencia no tiene porqu ser protegida necesariamente).
5.5.11
GESTIN DE CORREO ELECTRNICO
413. El correo electrnico o e-mail es un mecanismo de comunicacin fundamental hoy en da para

cualquier organizacin. El acceso al correo electrnico desde los dispositivos mviles puede
introducir nuevas amenazas y riesgos asociados a la informacin confidencial y sensible
intercambiada a travs de este servicio.
414. Por este motivo, los clientes de e-mail en los dispositivos mviles son una de las apps
iniciales dnde se comenzaron a aplicar mecanismos de seguridad ms avanzados (por
ejemplo, cifrado de los datos) y capacidades de contenedor, por ejemplo, para limitar la
exposicin de los ficheros corporativos adjuntos (verapartado5.5.13.5. GESTIN DE LOS
CONTENIDOS Y DATOS MANEJADOS POR LAS APPS).
415. Uno de los elementos a tener en cuenta en toda solucin MDM es su capacidad de integracin
con plataformas, soluciones y servidores de correo electrnico empresariales, como por
ejemplo Microsoft Exchange, Microsoft Office 365, IBM Lotus Notes/Domino o Google
Apps.
53
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-457
416. La solucin MDM debe disponer de capacidades para permitir o denegar en cualquier
momento el acceso al e-mail de un usuario, por ejemplo, cuando ste deja la organizacin.
417. Algunas soluciones MDM ms avanzadas disponen de capacidades automticas para bloquear
el acceso al correo electrnico de un usuario cuyo dispositivo mvil no ha sido registrado an
en la solucin MDM o ha violado la poltica de seguridad de la organizacin.
418. Sin embargo, se recomienda que la solucin MDM establezca una poltica de seguridad que
no permita el acceso al correo electrnico corporativo, ni al resto de recursos corporativos, a
dispositivos mviles que no hubieran sido registrados previamente y que por tanto estn
siendo gestionados. La gestin de los dispositivos mviles permite aplicar la poltica de
seguridad, que incluye entre otros los parmetros de configuracin para el acceso al correo
electrnico.
419. Adicionalmente, la solucin MDM debe asegurarse de que los ajustes de configuracin de
acceso a los servidores de correo son seguros y hacen uso de mecanismos de cifrado para el
acceso y transmisin de e-mails, por ejemplo, mediante los protocolos IMAPS, POP3S,
SMTPS o HTTPS.
420. Debido a que los dispositivos mviles pueden disponer de mltiples clientes de e-mail y
mltiples cuentas de correo electrnico configuradas simultneamente, tanto personales como
profesionales, es importante segregar los datos gestionados por todos ellos.
421. Complementariamente, se recomienda evaluar las capacidades de la solucin MDM para
impedir que se configuren cuentas de correo no corporativas adicionales, tanto en la app
cliente de correo existente por defecto en la plataforma mvil, como a travs de otras apps
que actan como clientes de correo (por ejemplo, no permitiendo ni siquiera la instalacin de
estas apps).
422. Al igual que se ha descrito previamente para otros contenidos corporativos, el acceso al
servicio de e-mail y el almacenamiento de los mensajes de correo electrnico y ficheros
adjuntos corporativos pueden ser aislados en una app contenedora que permita establecer
medidas y protecciones adicionales de seguridad, como por ejemplo restringir las operaciones
de copiar y pegar contenidos, o las opciones de impresin.
423. Una de las caractersticas principales a verificar en la app de acceso al correo electrnico es
que todos los contenidos obtenidos a travs de este servicio (mensajes y ficheros adjuntos)
sean cifrados localmente al ser almacenados en el dispositivo mvil.
424. El acceso a los ficheros adjuntos a los mensajes de correo electrnico requiere en ocasiones
disponer de apps que permitan su lectura. Esta gestin de ficheros adjuntos puede integrarse
con una solucin de gestin de contenidos para su almacenamiento y acceso seguro (ver
apartado5.5.13.5. GESTIN DE LOS CONTENIDOS Y DATOS MANEJADOS POR LAS
APPS).
425. La distribucin segura de documentos adjuntos a travs de e-mail se basa normalmente en la
utilizacin de enlaces (o links, en lugar de incluir el propio fichero en el mensaje) que
referencian al fichero dentro de la solucin de gestin de contenidos corporativos.
426. Adicionalmente, la solucin MDM puede establecer controles alternativos sobre los ficheros
adjuntos a los mensajes de correo electrnico y no permitir la recepcin o envo de ciertos
ficheros segn su tipo.
427. Se recomienda que la poltica de seguridad defina qu tipos de ficheros pueden ser
intercambiados a travs del servicio de correo electrnico y establecer restricciones para que
slo puedan adjuntarse o recibirse este tipo de ficheros.
54
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-457
428. En ocasiones, los mecanismos de gestin para las capacidades de acceso al correo electrnico
(e-mail) de los dispositivos mviles se referencian como MEM (Mobile E-mail Management).
5.5.12
GESTIN DE NAVEGACIN WEB
429. Adicionalmente al correo electrnico, el otro servicio estndar en toda organizacin hoy en
da es la navegacin web, ya sea nicamente hacia las aplicaciones web corporativas
existentes en la infraestructura de la organizacin, o tambin hacia Internet.
430. La solucin MDM debe disponer de capacidades de gestin y configuracin granulares del
navegador web, por ejemplo, para deshabilitar el aceptar cookies de terceros o el motor de
JavaScript.
431. En entornos crticos debe evaluarse el impacto asociado a deshabilitar las capacidades de
JavaScript y Java en el navegador web del dispositivo mvil, as como no permitir cookies,
del propio sitio web o de terceros. Est configuracin ms restrictiva es la recomendada desde
el punto de vista de seguridad, aunque desde el punto de vista de la funcionalidad y segn el
tipo de sitios webs accedidos, puede ser necesario disponer de capacidades para la gestin de
cookies y hacer uso de JavaScript.
432. La solucin MDM puede disponer de capacidades para la creacin y distribucin de web clips
(iconos con enlaces a aplicaciones web) en los dispositivos de la organizacin, as como
gestionar la pgina de inicio o aadir favoritos al navegador web.
433. Adicionalmente a los controles corporativos existentes en los proxies de la organizacin, la
solucin MDM puede establecer restricciones a travs de la creacin de listas blancas y
negras de navegacin web, que permitan o denieguen el trfico web desde los dispositivos
mviles hacia Internet.
434. En ocasiones se referencian los mecanismos de gestin para las capacidades de navegacin
web de los dispositivos mviles como MBM (Mobile Browsing Management).
5.5.13
GESTIN DE APPS
NOTA: Las aplicaciones cliente analizadas en los dos apartados previos, correo electrnico y
navegacin web, son dos ejemplos concretos de apps existentes por defecto en todas las
plataformas mviles actuales. Sobre ellas aplican igualmente las consideraciones de seguridad
analizadas a continuacin para cualquier aplicacin mvil o app.
435. Uno de los elementos fundamentales a considerar en las plataformas mviles modernas, y
motivo principal por el que a los terminales mviles actuales se les referencia con el trmino
smartphones, es la posibilidad de instalar aplicaciones mviles o apps en los mismos, al
poderse considerar a estos dispositivos como ordenadores de propsito general de reducido
tamao.
436. Las apps permiten extender las capacidades y funcionalidad existente por defecto en el
dispositivo mvil hasta lmites inimaginables, existiendo actualmente cientos de miles de apps
disponibles en los mercados oficiales para las diferentes plataformas mviles.
437. Debe tenerse en cuenta que las plataformas mviles promueven y estn diseadas para
encontrar de forma sencilla, adquirir, instalar y usar apps de los mercados de aplicaciones
mviles, con los riesgos asociados, motivo por el que es fundamental imponer restricciones y
controles sobre las apps disponibles.
55
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-457
438. Las apps pueden ser clasificadas en diferentes categoras, por ejemplo, desde apps
profesionales de productividad ampliamente utilizadas en entornos corporativos, pasando por
apps de acceso a servicios en Internet (como redes sociales, portales web, servicios en la
nube,etc), hasta apps de juegos o entretenimiento, o de acceso a contenidos multimedia, ms
utilizadas en el mbito personal.
439. Uno de los objetivos fundamentales de la gestin de aplicaciones empresarial (MAM) es
poder proporcionar a los usuarios de la organizacin desde el primer momento el conjunto de
apps necesario para su trabajo, situacin habitual con los ordenadores porttiles
plataformados.
440. Cuando un usuario comienza a trabajar en la organizacin se le facilita un ordenador, porttil
o de escritorio, ya plataformado y con todas las herramientas y aplicaciones necesarias.
441. Lo mismo debera ocurrir con los dispositivos mviles, de forma que estos sean
aprovisionados con las apps necesarias en funcin del perfil del usuario y del departamento en
el que trabaja ste dentro de la organizacin.
5.5.13.1
GESTIN DE LOS MERCADOS PBLICOS DE APPS
442. En primer lugar, la solucin MDM debe permitir gestionar si se permite la instalacin de apps
desde los mercados pblicos oficiales disponibles en Internet para cada una de las plataformas
mviles, como Google Play (Android), BlackBerry World, Apples App Store (iOS) o
Microsoft Windows Phone Store, o si por el contario la instalacin de apps estar circunscrita
nicamente al mercado corporativo de apps de la organizacin.
443. En el caso de permitirse la instalacin de apps desde mercados pblicos, es necesario definir
si se permiten nicamente los mercados oficiales vinculados al fabricante de la plataforma
mvil, opcin recomendada desde el punto de vista de seguridad, o tambin otros mercados
oficiales, como el Amazon AppStore. En ningn caso se recomienda permitir la instalacin de
apps de mercados no oficiales.
444. En el caso de no permitirse y disponer nicamente de un mercado corporativo de apps (ver
apartado5.5.13.2. GESTIN DE LAS APPS Y LOS MERCADOS CORPORATIVOS DE
APPS),lasolucinMDMdebe eliminar los iconos y apps de acceso a los mercados de apps
pblicos de cada plataforma, y bloquear el acceso a estos a travs de un navegador web
estndar.
445. Adicionalmente, para aquellas plataformas mviles que permiten de forma sencilla la
instalacin de apps desde mercados de terceros o desde otras fuentes, como por ejemplo
pginas web, la solucin MDM debe proporcionar mecanismos que permitan configurar el
dispositivo mvil para restringir la obtencin de apps de estas fuentes no fiables.
5.5.13.2
GESTIN DE LAS APPS Y LOS MERCADOS CORPORATIVOS DE APPS
446. Ante la innumerable cantidad de apps disponibles en los mercados oficiales de aplicaciones
mviles de las diferentes plataformas, muchas organizaciones han optado por establecer
controles estrictos sobre qu apps estn disponibles para ser instaladas en los dispositivos
mviles de los usuarios.
447. Los controles deben realizarse a travs de la solucin MDM mediante listas blancas
(preferiblemente desde el punto de vista de seguridad) o listas negras de apps. Las primeras
establecen qu conjunto de apps pueden ser instaladas en los dispositivos porque se
consideran relevantes para el negocio y la productividad y no tienen implicaciones negativas
56
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-457
de seguridad. Las segundas establecen el modelo opuesto, qu apps se consideran no deseadas

o dainas desde el punto de vista de seguridad, prohibiendo su instalacin y uso.
448. Para aquellas plataformas mviles que proporcionan ms granularidad para seleccionar qu
permisos estn asociados a una app, como por ejemplo BlackBerry, la solucin MDM debe
permitir definir y asignar a la app nicamente los permisos necesarios determinados por la
organizacin.
449. La gestin de apps debe contemplar tanto la instalacin de apps corporativas en dispositivos
mviles personales (habitual en entornos BYOD), como la instalacin de apps personales en
dispositivos mviles corporativos (habitual en entornos BYOA).
450. Por otro lado, algunas organizaciones slo permiten (o permiten complementariamente) la
instalacin de apps qu han sido desarrolladas dentro de la organizacin, o desarrolladas por
terceros slo para la organizacin, con el objetivo de permitir la ejecucin de procesos de
negocio desde los dispositivos mviles, conocidas como in-house apps o line-of-business
(LOB) apps.
451. Las diferentes plataformas mviles y algunas soluciones MDM permiten establecer y
gestionar un mercado privado de aplicaciones mviles propio de la organizacin.
452. Estos mercados privados suelen ser referenciados como mercados corporativos de apps, o
Enterprise App Stores [Ref.- 61]. Normalmente, las soluciones MDM proporcionan estas
capacidades de gestin de apps a travs de un mercado corporativo como un componente ms
integrado en la propia solucin de gestin.
453. Uno de los elementos iniciales a evaluar respecto a la funcionalidad del mercado corporativo
de apps en las soluciones MDM es el conjunto de plataformas mviles soportadas, as como la
disponibilidad de funcionalidad avanzada para cada una de ellas.
454. Al igual que se mencion inicialmente la tendencia actual asociada a la gestin integrada de
los mltiples dispositivos asignados a un usuario, algunas soluciones MDM proporcionan
capacidades de gestin de software y apps no slo para las plataformas mviles, sino tambin
para los dispositivos ms tradicionales (como ordenadores porttiles y de escritorio).
455. El mercado corporativo de apps tambin permite llevar a cabo la gestin de licencias y la
adquisicin y pago de apps comerciales disponibles en los mercados pblicos y oficiales,
recomendndose realizar una gestin de compra de apps a nivel corporativo (o de las
diferentes unidades de negocio o departamentos), en lugar de hacerlo de manera individual
por parte de cada usuario, con el objetivo de obtener acuerdos ms ventajosos (por ejemplo,
descuentos) para la organizacin.
456. Este mercado incluye nicamente el catlogo personalizado de aquellas apps, oficiales y
pblicas (ya sean gratuitas o de pago) o privadas (in-house), que han sido aprobadas como
vlidas para su uso en los dispositivos mviles de la organizacin.
457. La disponibilidad de un mercado corporativo de apps no slo permite definir qu apps estarn
disponibles para los usuarios, sino tambin establecer controles y polticas ms avanzadas
para su instalacin y uso en funcin del perfil del usuario u otros factores.
458. La solucin MDM debera requerir que el usuario se autentifique para acceder al mercado
corporativo de apps, siendo posible por tanto proporcionar un catlogo de apps personalizado
por usuario y por dispositivo mvil.
57
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-457
459. Se recomienda por tanto establecer a travs de la solucin MDM un listado de aplicaciones
permitidas (lista blanca) o prohibidas (lista negra) en los dispositivos mviles gestionados por
la organizacin.
460. Adicionalmente es posible establecer una lista de apps requeridas por la organizacin, que
deben estar disponibles obligatoriamente en todos los dispositivos mviles gestionados, segn
indique la poltica de seguridad de la organizacin.
461. Los criterios para considerar una app como aceptada o prohibida pueden ser muy diversos, y
deben estar contemplados en la poltica de seguridad de la organizacin.
462. En algunos casos, puede ser necesaria una inversin relevante en tiempo y recursos para
realizar un anlisis detallado de una app antes de su aprobacin o prohibicin.
463. Este estudio puede conllevar la utilizacin de tcnicas de anlisis de cdigo esttico de la app
y de tcnicas de anlisis del comportamiento de la misma, con el objetivo de identificar si la
app almacena y transfiere datos de forma segura, o si dispone de funcionalidad adicional no
deseada.
464. Un elemento fundamental a tener en cuenta antes de la aprobacin de una app en algunas
plataformas mviles, como por ejemplo Android, BlackBerry o Windows Phone (no en iOS,
al no estar disponibles), es el conjunto de permisos y privilegios solicitados por la app. Debe
evaluarse en detalle qu los permisos solicitados sean coherentes con la funcionalidad
ofrecida por la app.
465. En otras ocasiones, y debido a la limitacin de recursos disponibles, la decisin para incluir o
no una app en una de las categoras mencionadas se basa en la reputacin de la misma en los
mercados oficiales de aplicaciones mviles.
466. Algunos aspectos a tener en cuenta de cara a evaluar la reputacin de una app son quin es el
autor o desarrollador de la misma y su propia reputacin, el tiempo que la app lleva publicada
y el nmero de versiones existentes, y los comentarios, revisiones y valoraciones de la
comunidad, es decir, de otros usuarios de la app.
467. En cualquier caso, siempre deben tenerse en cuenta los trminos y acuerdos de uso de cada
app y de sus servicios asociados, ya que incluso los servicios asociados a proveedores de
referencia en la industria puede especificar que no se garantiza la confidencialidad de los
datos intercambiados por el usuario.
NOTA: Estn empezando a aparecer en la industria servicios de reputacin de las aplicaciones
mviles, que pueden ser integrados con las soluciones MDM, con el objetivo de identificar y
clasificar el riesgo de seguridad asociado a la utilizacin de apps disponibles en los mercados
pblicos o en los mercados corporativos, como por ejemplo Veracode MARS (Mobile Application
Reputation Service)8. Estos servicios se basan en el anlisis de las capacidades y comportamientos
de las apps.
468. Pese a realizar un anlisis de todos los factores mencionados previamente, no es posible
asegurar que una app no contenga cdigo malicioso sin realizar un estudio tcnico detallado
de la misma, por lo que las organizaciones deben disponer de mecanismos de gestin de
incidentes de seguridad para gestionar este tipo de escenarios.
https://www.veracode.com/products/veracode-mars.html
58
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-457
469. Por ejemplo, se recomienda que las organizaciones establezcan una poltica que no permita el
uso de ninguna app que facilite la lectura de cdigos QR (Quick Response), o de forma ms
general, que haga uso de la cmara, ya que estos cdigos pueden ser utilizados para redirigir
al dispositivo mvil a una URL o sitio web malicioso.
470. Pese a que la amenaza asociada a los cdigos QR podra mitigarse con una correcta
concienciacin en su uso por parte de los usuarios, la organizacin puede decidir establecer
este tipo de restricciones para proteger an ms los dispositivos mviles gestionados.
471. Si se dispone de la granularidad suficiente, dependiente de la app y plataforma mvil
empleada, las apps que procesan cdigos QR podran ser configuradas a travs de la solucin
MDM para siempre mostrar la URL contenida en el cdigo QR antes de navegar a ella,
permitiendo al usuario aceptar o rechazar la accin asociada. En cualquier caso, la decisin
final estara en manos del usuario y su criterio para identificar URLs sospechosas.
472. La solucin MDM debe configurarse para que imponga restricciones que no permitan ejecutar
una app determinada si el dispositivo mvil no cumple con la poltica de seguridad
corporativa.
473. Por otro lado, la solucin MDM debera disponer de granularidad suficiente para imponer
restricciones en las apps respecto al uso y los permisos asociados a los servicios, mdulos y
elementos que constituyen la plataforma mvil, como por ejemplo la cmara, los servicios de
localizacin, el acceso a los contactos, etc.
474. Esta granularidad es completamente dependiente de la plataforma mvil y del modelo de
permisos utilizado para las apps, siendo muy diferente la gestin de permisos por ejemplo en
Android, BlackBerry e iOS.
475. En el caso en el que no sea posible la aplicacin de listas blancas para la instalacin de apps,
como por ejemplo en entornos BYOD no restrictivos, la solucin MDM debe proporcionar
restricciones que permitan especificar que las apps que no hayan sido aprobadas
explcitamente por la organizacin, en caso de poder ejecutar, no puedan acceder a datos e
informacin sensible.
476. Adicionalmente, otra aproximacin a la proteccin de los datos y servicios corporativos
dentro de una app en los dispositivos mviles es la de hacer uso de una app contenedora (ver
apartado4.6.6. SOLUCIONES DE GESTIN BASADAS EN UN CONTENEDOR).
477. Algunas soluciones MDM proporcionan kits de desarrollo (SDKs) y libreras (o APIs) para el
desarrollo de apps seguras que hagan uso de las capacidades de seguridad y gestin
proporcionadas por la solucin MDM, como mecanismos de autentificacin nicos (SSO,
Single Sign On, certificados, etc) entre apps, mecanismos de cifrado (para el almacenamiento,
OTA, etc), controles basados en la localizacin (geofencing) o facilitar el intercambio seguro
de datos entre apps.
NOTA: A modo de referencia se proporcionan ejemplos de soluciones MDM con estas
capacidades, como por ejemplo AirWatch SDK, MobileIron AppConnect SDK, o Good Dynamics
SDK.
478. Otras soluciones MDM proporcionan una plataforma que permite englobar o envolver
(wrapping) las apps ya existentes mediante libreras de seguridad especficas, proporcionando
un entorno ms seguro para apps previamente desarrolladas.
59
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-457
NOTA: A modo de referencia se proporcionan ejemplos de soluciones MDM con estas

capacidades, como por ejemplo AirWatch App Wrapping o MobileIron AppConnect Wrapping.
479. Estas capacidades pueden ser empleadas por la organizacin para el desarrollo de apps
propias ms seguras y plenamente integradas en la solucin de gestin.
5.5.13.3
GESTIN EN LA DISTRIBUCIN DE LAS APPS
480. La solucin MDM debe permitir la distribucin de apps, por ejemplo mediante la recepcin
automtica (notificaciones push) por parte del usuario de un mensaje que le indica la
existencia de una nueva app (o una nueva versin de una app) para su instalacin (o
actualizacin).
481. En otros casos, puede ser interesante que las apps gestionadas sean instaladas
automticamente en los dispositivos mviles gestionados por la organizacin sin intervencin
por parte del usuario.
482. En el caso de iOS, desde la versin 5.x, las apps que son gestionadas y distribuidas a travs de
una solucin MDM se consideran apps gestionadas. Tanto las propias apps como sus datos
(por ejemplo, datos corporativos) pueden ser eliminadas de los dispositivos mviles por el
administrador de la solucin MDM sin afectar a los datos de otras apps (por ejemplo, datos
personales), funcionalidad muy conveniente especialmente en entornos BYOD.
483. La solucin MDM debe proporcionar capacidades de distribucin de apps granulares, en
funcin del tipo de dispositivo mvil, del usuario asociado y del departamento al que ste
pertenece en la organizacin, ya que ste tendr asociadas unas necesidades de negocio y, por
tanto de apps, particulares.
484. Adicionalmente a la gestin de la instalacin de nuevas apps, la solucin MDM debe
proporcionar capacidades para la distribucin de actualizaciones de apps previamente
instaladas.
485. Estas capacidades deben complementarse con mecanismos de monitorizacin que permitan en
todo momento el nivel de actualizacin de los dispositivos mviles de la organizacin para
una app determinada.
486. De manera complementaria, la solucin MDM debe disponer de capacidades para eliminar
remotamente una app de uno o mltiples dispositivos mviles, por ejemplo, porque se
identifique un comportamiento no apropiado o inseguro por parte de la organizacin.
5.5.13.4
GESTIN DE LOS SERVICIOS ACCEDIDOS POR LAS APPS
487. La gestin de apps tiene una relacin directa con la gestin de los servicios remotos, tanto
corporativos como pblicos (disponibles en Internet), que pueden ser accedidos desde el
dispositivo mvil.
488. Los accesos a los servicios on-line se realizan desde el navegador web o cliente de correo
electrnico existentes por defecto en la plataforma mvil, o desde las apps instaladas
posteriormente por la organizacin o por el usuario.
489. Mediante la restriccin de las apps permitidas se restringe parcialmente el acceso a ciertos
servicios corporativos, evitando el acceso a datos confidenciales, o a servicios pblicos,
evitando la fuga de informacin corporativa hacia Internet.
490. Sin embargo, debe tenerse en cuenta que muchas apps mviles actan como navegadores web
restringidos, por lo que potencialmente es tambin posible disponer de acceso al servicio
60
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-457
remoto que emplea la app haciendo uso de un navegador web estndar, siendo necesario
tambin imponer restricciones adicionales en ste o en las redes de comunicaciones
empleadas.
491. Debe tenerse en cuenta que el acceso directo desde el navegador web no est necesariamente
protegido por las recomendaciones de gestin de apps descritas previamente.
492. nicamente si se imponen restricciones en el uso del navegador web existente en la
plataforma mvil (verapartado5.5.12. GESTIN DE NAVEGACIN WEB), o se obliga a
que toda la navegacin deba transcurrir por un proxy o dispositivo intermedio gestionado por
la organizacin, ser posible monitorizar y aplicar controles para el acceso remoto a servicios
y sitios web.
493. Debido a la importancia y criticidad de los servicios web hoy en da, desde el punto de vista
de seguridad es necesario aplicar este tipo de configuracin, restricciones y controles tanto en
los dispositivos mviles como en la infraestructura de comunicaciones.
494. De nuevo, otra aproximacin a la proteccin de los datos y servicios corporativos accedidos
desde el navegador web en los dispositivos mviles es la de hacer uso de una app contenedora
que disponga de su propio navegador web seguro (ver apartado 4.6.6. SOLUCIONES DE
GESTIN BASADAS EN UN CONTENEDOR).
5.5.13.5
GESTIN DE LOS CONTENIDOS Y DATOS MANEJADOS POR LAS APPS
495. La gestin de contenidos y datos en los dispositivos mviles debe analizarse desde dos puntos
de vista: la sincronizacin y realizacin de copias de seguridad con dispositivos locales o
servicios remotos, y la gestin de contenidos corporativos asociados a las apps.
496. Muchas plataformas mviles, e incluso apps especficas, disponen de capacidades de
transferencia de datos, sincronizacin o realizacin de copias de seguridad en servicios o
ubicaciones remotas, o en ordenadores o dispositivos locales.
497. La interaccin con equipos locales se suele llevar a cabo a travs del puerto USB o mediante
una conexin inalmbrica, como Bluetooth o Wi-Fi, mientras que la interaccin con servicios
remotos suele conllevar el envo automtico de datos va Wi-Fi o 2/3/4G a una solucin de
almacenamientoenlanube.
498. Los datos corporativos pueden estar bajo riego de ser almacenados en localizaciones
inseguras y externas a la organizacin en diferentes escenarios, como por ejemplo la conexin
de un dispositivo mvil personal a un ordenador de la organizacin, la conexin de un
dispositivo mvil de la organizacin a un ordenador personal, a otro dispositivo mvil
personal, a un servicio remoto o a un cargador de electricidad de un tercero [Ref.- 58].
499. La solucin MDM debe proporcionar capacidades para restringir con qu otros equipos puede
sincronizarse el dispositivo mvil, ya sea mediante una conexin fsica a travs del puerto
USB o mediante conexin inalmbrica, y stas deben ser aplicadas en funcin de la poltica
de seguridad definida.
500. Asimismo, debera proporcionar restricciones ms granulares sobre los servicios de
sincronizacin remotos disponibles en numerosas apps, con el objetivo de gestionar si se hace
o no uso de estos servicios, as como los ajustes de configuracin especficos para cada uno
de ellos.
501. Por ejemplo, en iOS es posible definir una poltica a nivel del dispositivo mvil que restrinja
que los datos de apps gestionadas no sean incluidos en las copias de seguridad a travs de
iTunes (locales) o iCloud (remotas).
61
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-457
502. Desafortunadamente, es muy habitual en la actualidad que los usuarios de la organizacin

utilicen servicios de comparticindeficherosdisponiblesdeformagratuitaenlanubepara
intercambiar documentos corporativos. Si estos documentos no son cifrados
convenientemente, los contenidos propiedad de la organizacin estarn expuestos a terceros.
503. Por este motivo, deben establecerse restricciones para el uso de este tipo de servicios, o en su
defecto y en caso de ser necesario, la solucin MDM debe proporcionar o se debe integrar con
soluciones de gestin de contenidos corporativos, es decir, que proporcionen un repositorio
seguro para la comparticin y distribucin de contenidos.
504. Estas capacidades de gestin de contenidos corporativos y comparticin de documentos son
referenciadas habitualmente como EFSS (Enterprise File Synchronization and Sharing).
505. La gestin de los dispositivos mviles puede ser integrada directamente con la gestin de
contenidos de la organizacin, etiquetando los diferentes documentos, datos e informacin
corporativa disponible y aplicando controles de acceso sobre los mismos desde y hacia los
dispositivos mviles.
506. Existe incluso la posibilidad de crear contenidos corporativos temporales, con un tiempo de
expiracin definido, y que se eliminarn automticamente del dispositivo mvil llegado ese
momento.
507. Asimismo, debe bloquearse el acceso a los datos y contenidos corporativos por parte de
dispositivos mviles que violen la poltica de seguridad de la organizacin, hasta que se
lleven a cabo las tareas que permitan cumplir con dicha poltica.
508. Una tendencia cada vez ms popular en lassolucionesMDMesOpenIn,mecanismoque
permite establecer controles de acceso que definan en qu apps o servicios de la plataforma
mvil es posible abrir (o acceder a) un documento concreto.
509. Estas restricciones son aplicadas habitualmente a la funcionalidad local que permite enviar o
compartir un documento o datos desde una app hacia otra app en el mismo dispositivo mvil,
o capacidades de la plataforma mvil, como la impresin de dicha informacin.
510. A travs de soluciones contenedoras y de comparticin y gestin de contenidos es posible
cifrar los documentos intercambiados, y restringir su acceso, edicin, distribucin (e-mail,
SharePoint, servidores de ficheros o carpetas compartidas, NFS, servidores WebDAV y otros
repositorios de contenidos), y su utilizacin desde los dispositivos mviles sin conexin al
repositorio (offline).
511. Los controles de acceso pueden imponer restricciones en el acceso a los contenidos con
mecanismos de autentificacin adicionales de dos o ms factores, en funcin de la
localizacin del dispositivo mvil (geofencing), o del tipo de conexin de datos empleada
(Wi-Fi frente a 2/3/4G, por ejemplo, en escenarios de roaming).
512. Otra tendencia reciente para la gestin e incremento de la seguridad de los datos corporativos
y privados accedidos desde los dispositivos mviles est basada en el uso de tcnicas de
virtualizacin.
513. A travs de estas tecnologas se permite el acceso a la informacin corporativa por parte del
usuario sin que los datos sean copiados en ningn momento al dispositivo mvil, ya que estos
residen en los servidores corporativos y la app acta como un simple cliente que permite su
visualizacin.
62
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-457
514. Este tipo de soluciones, recomendadas desde el punto de vista de seguridad, requiere de un
mayor ancho de banda para permitir una utilizacin de la app y un acceso a los datos fluido
por parte del usuario.
515. En algunos casos, la aplicacin que procesa los datos ejecuta completamente en los servidores
corporativos, mientras que en otros est disponible en la nube, opcin no recomendada
desde el punto de vista de seguridad. En cualquier caso, es necesario evaluar las capacidades
de acceso a los datos corporativos cuando el dispositivo mvil no dispone de conexin de red
(offline), pero es necesario acceder a la informacin.
5.5.13.6
GESTIN DE APPS ESPECFICAS SEGN LA PLATAFORMA MVIL
516. A modo de ejemplo, se proporcionan a continuacin detalles especficos para la gestin de

apps de una de las plataformas mviles bajo estudio, iOS.
517. Se recomienda consultar la documentacin para desarrolladores del resto de plataformas
mviles mencionadas, con el objetivo de obtener los detalles asociados. Por ejemplo,
BlackBerry 5.x-6.x dispone de controles y permisos granulares para la gestin y desarrollo de
apps, mientras que otras plataformas como Android o Windows Phone disponen de
capacidades ms limitadas (ver la serie CCN-STIC de guas de seguridad para dispositivos
mviles,referenciadasenelapartado2. OBJETO).
5.5.13.7
GESTIN DE APPS EN DISPOSITIVOS MVILES IOS
518. En el caso de iOS, para poder llevar a cabo el desarrollo de in-house apps y su distribucin
OTA (Over-the-Air) a travs del mercado corporativo,esnecesarioestarregistradoeneliOS
Developer Enterprise Program (iDEP) [Ref.- 18] ($299/ao),diferente del iOS Developer
Program($99/ao),queslopermitelapublicacindeappsenlaAppStoreoficialypblica.
519. iOS permite la distribucin de apps va OTA [Ref.- 23] mediante un servidor web interno de
la organizacin (con autentificacin y cifrado), las apps a distribuir (ficheros con extensin
.ipa), un manifiesto (fichero manifest con extensin .plist) en formato XML, e informacin de
configuracin de red para la conexin a los servidores iTunes y OCSP de Apple.
520. La instalacin de apps gestionadas se puede realizar desde el servidor MDM, pero requiere de
la aceptacin manual por parte del usuario (hasta la versin 7 de iOS y en ciertos escenarios
dispositivos supervisados).
521. iOS permite especificar que ciertas apps gestionadas y sus datos asociados sean eliminados
bajo demanda o automticamente cuando se elimina el perfil de configuracin de la solucin
MDM, muy til para apps corporativas en entornos BYOD.
522. Por otro lado, recordar que iOS tambin permite evitar que los datos de apps gestionadas sean
incluidos en las copias de seguridad a travs de iTunes o iCloud.
6 CARACTERSTICAS Y CAPACIDADES DE GESTIN DE LAS

DIFERENTES PLATAFORMAS MVILES
523. El presente apartado describe las caractersticas principales y particulares asociadas a las
capacidades de gestin de las plataformas mviles de referencia existentes actualmente:
Android, BlackBerry, iOS y Windows Phone.
63
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-457
6.1
GESTIN DE ANDROID
524. Android no dispone de una herramienta o mecanismo de gestin universal, homogneo e

independiente. En su lugar, es necesario hacer uso de soluciones MDM propietarias de
terceros que implementan las capacidades de gestin requeridas a travs de un agente
software o app que debe ser instalada en el dispositivo mvil.
525. Esta app o agente de las soluciones MDM hace uso de la Android Device Administration API
[Ref.- 42] (disponible desde la versin Android 2.2) y debe ser instalada con permisos de
administrador del dispositivo mvil en Android, en concreto, con el permiso
BIND_DEVICE_ADMIN.
526. As por ejemplo, desde Android 2.2 es posible realizar la gestin de los dispositivos mviles
AndroidatravsdeGoogleApps(verapartado4.6.1. GOOGLE)mediantelaapp Google
Apps Device Policy [Ref.- 37], que acta como un agente para permitir la gestin de los
dispositivos mviles Android de forma remota a travs de los servicios de Google en la
nube.
527. El mismo modelo es empleado por los fabricantes de otras soluciones MDM, proporcionando
sus propias apps o agentes, que se comunican con sus servidores MDM.
528. Esta librera o API de gestin y administracin, en funcin de la versin de Android, define el
tipo de operaciones y acciones disponibles para este tipo de agentes de gestin.
529. Por otro lado, y como ejemplo especfico, existen fabricantes de dispositivos mviles basados
en Android, como Samsung, que proporcionan sus propias libreras y APIs de gestin
empresarial a travs de las soluciones Samsung SAFE y KNOX [Ref.- 67].
530. El modelo de gestin de Android ofrece ms flexibilidad a los fabricantes de soluciones
MDM para implementar controles y capacidades adicionales, sin embargo, stas siguen
estando limitadas por la funcionalidad expuesta por Android a travs de la API de gestin.
NOTA: Por ejemplo, desde iOS 5.x se dispone en APNS de la capacidad de configurar una
poltica de seguridad que no permita el establecimiento de conexiones a travs de HTTPS con
servicios en los que no es posible validar el certificado digital, funcionalidad no disponible en la
API de Android para la versin 4.0, Ice Cream Sandwich (ICS).
531. Por tanto, la gestin de los dispositivos mviles Android se puede realizar a travs de EAS,a
travs de soluciones MDM propietarias o con Google Apps.
532. La configuracin inicial que permite la integracin y la obtencin de los datos del servidor
MDM para realizar el proceso de registro en dispositivos mviles Android se lleva a cabo
normalmente a travs de la instalacin de una app asociada a la solucin MDM.
6.1.1 ARQUITECTURA DE GESTIN MDM DE ANDROID
533. Las soluciones MDM de gestin de la plataforma Android no disponen obligatoriamente de
una arquitectura universal, ya que dependen de la implementacin realizada por el fabricante
de la solucin y su app o agente de gestin.
534. Sin embargo, Google proporciona un servicio gratuito, denominado Google Cloud Messaging
(GCM) [Ref.- 68] (inicialmente se denomin C2DM, Cloud to Device Messaging), para el
envo de mensajes desde los servidores de la solucin MDM hacia los dispositivos mviles
Android gestionados, y en concreto hacia al app o agente de gestin de la solucin MDM, y
64
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-457
viceversa (permite recibir mensajes del dispositivo mvil empleando la misma conexin a
travs de CCS, analizado posteriormente).
535. El servicio GCM, aunque puede ser empleado por cualquier servidor y app de terceros de
Android (no necesariamente para la gestin empresarial del terminal a travs de las soluciones
MDM), es ampliamente utilizado como plataforma para el envo de notificaciones push por
los fabricantes de las soluciones MDM que disponen de soporte para los dispositivos mviles
Android.
536. Alternativamente a las soluciones de Google, la solucin MDM puede optar por emplear
servidores push propios, como por ejemplo los utilizados por el servicio de notificaciones
push de Samsung, y la app Samsung Push Service.
537. En la arquitectura GCM el cliente es el agente o app de gestin que ejecuta en el dispositivo
mvil Android (que debe disponer al menos de la versin 2.2 o superior, y disponer de una
cuenta de Google configurada en versiones previas a la 4.0.4 [Ref.- 68]), y que debe
registrarse en GCM y recibir como resultado un identificador de registro. El servidor MDM
implementa el protocolo GCM y se comunica con la app instalada en el dispositivo mvil a
travs de los servidores de conexin GCM de Google, y los servidores de conexin GCM se
encargan de encolar, almacenar y reenviar (cuando el dispositivo mvil est disponible u
online) las notificaciones entre los servidores MDM y las apps:
FIGURA 7.- Arquitectura de notificaciones
push de Google Cloud Messaging [Ref.- 68].
538. La comunicacin entre el servidor MDM y los servidores de conexin de GCM se realiza
mediante HTTP [Ref.- 70], empleando conexiones cifradas HTTPS, mediante peticiones
POST
basadas
en
JSON
o
texto
plano,
hacia
el
servidor
https://android.googleapis.com/gcm/send..
539. La autentificacin se realiza a travs de cabeceras HTTP mediante el identificador de API
(API key).
540. Es necesario configurar adecuadamente los cortafuegos perimetrales corporativos para
permitir el trfico desde los servidores MDM hacia GCM en el puerto 443/tcp (HTTPS).
541. Desde el 2013 (conferencia Google IO 2013) GCM est integrado con Google Play Services,
lo que permite sincronizar el estado de las notificaciones GCM entre diferentes dispositivos
mviles Android de un mismo usuario.
542. Adicionalmente, debe permitirse el trfico con GCM desde los dispositivos mviles Android
para que puedan recibir las notificaciones, y en concreto los puertos TCP 5228, 5229, y 5230.
Normalmente GCM slo usa el puerto 5228, pero a veces se hace uso de los puertos 5229 y
5230. Dado que GCM no hace uso de un conjunto especfico de direcciones IP, es necesario
permitir en los cortafuegos conexiones salientes a todos los rangos de direcciones contenidos
en el sistema autnomo (ASN) de Google nmero 15169 [Ref.- 70].
65
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-457
543. Adicionalmente, la utilizacin del servicio de GCM Cloud Connection Server (CCS) [Ref.69] por parte de los servidores de la solucin MDM permite a travs de una conexin TCP
permanente con los servidores de Google mediante el protocolo XMPP la comunicacin con
los dispositivos mviles Android, permitiendo conexiones rpidas y bidireccionales, es decir,
tambin permite el envo de mensajes desde el dispositivo mvil hacia el servidor (upstream).
544. Este mecanismo de comunicacin mediante XMPP puede ser usado por los servidores MDM
simultneamente a las comunicaciones estndar de GCM mediante HTTP.
545. De cara a permitir las comunicaciones del servidor MDM hacia Google, el servidor CCS est
disponibleenhttp://gcm.googleapis.comenelpuerto5235/tcp,siendonecesariohaceruso
de cifrado mediante TLS (Transport Layer Security).
546. La autentificacin empleada en CSS hace uso de mecanismos basados en SASL (PLAIN)
empleando el identificador del emisor en GCM y el identificador de API (API key) como
contrasea.
547. En general, la comunicacin entre el dispositivo mvil, en concreto la app de gestin
empresarial, y los servidores MDM se realiza habitualmente a travs de HTTPS, con el
objetivo de autentificar y cifrar la comunicacin.
548. Sin embargo, algunas soluciones MDM pueden implementar sus propios mecanismos de
comunicacin empleando protocolos propietarios. Si este es el caso, se recomienda analizar
en detalle los mecanismos de seguridad existentes en dichos protocolos.
6.2
GESTIN DE BLACKBERRY
549. El modelo de gestin empresarial de BlackBerry permite la aplicacin granular de controles y

ajustes de configuracin sobre los dispositivos mviles gestionados, como por ejemplo la
gestin individual de perfiles Bluetooth, forzar el cifrado completo del dispositivo mvil,
establecer cdigos de acceso y sus requisitos, habilitar y deshabilitar las diferentes
funcionalidades hardware de los dispositivos mviles, distribuir certificados digitales, etc.
550. La gestin de los dispositivos mviles BlackBerry se puede realizar a travs de las soluciones
propietarias de BlackBerry, o a travs de EAS.
MDM para realizar el proceso de registro en dispositivos mviles BlackBerry puede llevarse a
cabo a travs de su activacin previa en BES y del establecimiento y utilizacin de las
credenciales asignadas al usuario.
6.2.1 ARQUITECTURA DE GESTIN MDM DE BLACKBERRY
552. La arquitectura propietaria de BlackBerry, existente en sus centros de operaciones o
infraestructura, se comunica por un lado con los dispositivos mviles a gestionar, y por otro
con los servidores empresariales de gestin de las organizaciones, denominados BES
(BlackBerry Enterprise Server).
66
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-457
FIGURA 8.- Arquitectura de
gestin de BlackBerry [Ref.- 45].
553. Los dispositivos mviles gestionados BlackBerry hacen uso del protocolo Mobile Data
Service (MDS) para establecer comunicaciones cifradas (mediante 3DES o AES) entre ellos,
la infraestructura de BlackBerry y los servidores MDM empresariales (o BES).
554. El protocolo MDS hace uso del puerto 3101/tcp para sus comunicaciones a travs de redes
mviles (2/3/4G) y el puerto 4101/tcp a travs de redes Wi-Fi [Ref.- 43].
555. Desde el punto de vista de los cortafuegos perimetrales corporativos es necesario permitir el
trfico saliente hacia el puerto 3101/tcp desde el servidor BES hacia la infraestructura de
BlackBerry.
556. Debe tenerse en cuenta que la mayora de comunicaciones de los dispositivos BlackBerry
transitan a travs de la infraestructura de BlackBerry incluyendo el correo electrnico, la
gestin del calendario y los contactos, y los controles de monitorizacin y configuracin de
las polticas empresariales.
557. Las nicas comunicaciones que habitualmente no pasan por la infraestructura de BlackBerry
son la mensajera instantnea entre dispositivos mviles BlackBerry (conocidacomoPINto
PIN,Personal Identification Number), los SMS y las comunicaciones de voz.
6.2.2 BLACKBERRY 10
558. Desde el lanzamiento del BlackBerry Playbook se hace un uso ms intensivo de Exchange
ActiveSync para las comunicaciones de mensajera en la arquitectura de BlackBerry [Ref.45].
559. Con la introduccin de BlackBerry 10, una plataforma mvil completamente renovada
respecto a BlackBerry 4.x-7.x, la arquitectura de gestin tambin ha sido rediseada, basada
actualmente en BlackBerry Management Studio (BMS; previamente BlackBerry Mobile
Fusion - BMF) y sustituyendo BES (BlackBerry Enterprise Server 5.x-7.x) por BES
(BlackBerry Enterprise Service 10.x)9 [Ref.- 44].
560. Los dispositivos BlackBerry 10 disponen del Enterprise Management Agent (EMA), el
componente o agente asociado al entorno profesional que se comunica con el servicio BES
9
Ambos productos emplean el mismo acrnimo (BES) pero con distinto significado.
67
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-457
10.x para llevar a cabo todas las tareas de gestin, a travs de una red VPN corporativa o una
red Wi-Fi, el protocolo MDS y la infraestructura de BlackBerry.
561. La nueva arquitectura de gestin dispone de soporte para otras plataformas mviles, como
Android e iOS, a travs del componente Universal Device Service (UDS), y hace por tanto un
uso ms extensivo de comunicaciones HTTPS (443/tcp), junto al protocolo MDS propietario
de BlackBerry.
562. Las soluciones MDM con soporte para dispositivos mviles BlackBerry, aunque pueden
disponer de algunas capacidades nativas, normalmente se integran con el servidor BES ya
existente para disponer de todas las capacidades de gestin disponibles a travs de ste.
6.3
GESTIN DE iOS
563. La gestin y configuracin avanzada de los dispositivos mviles iOS se realiza a travs de
perfiles de configuracin, empleando ficheros XML (con la extensin .mobileconfig), que
aprovechan las capacidades de gestin de la API de iOS definidas por Apple.
564. Los perfiles de configuracin permiten establecer la poltica de seguridad corporativa en los
dispositivos mviles iOS, as como habilitar restricciones en el uso de los mismos y ajustar
diferentes parmetros de configuracin.
565. Las capacidades de los perfiles de configuracin estn definidas en la especificacin
correspondiente creada por Apple [Ref.- 16], y varan en funcin de la versin de iOS,
aadindose normalmente nuevas capacidades en las versiones ms actualizadas de iOS
(como por ejemplo en iOS 7;verapartado6.3.1. iOS 7).
566. Las capacidades de gestin de los dispositivos iOS para las soluciones MDM estn definidas
en la especificacin correspondiente creada por Apple [Ref.- 17], slo disponible para ciertas
compaas proveedoras de soluciones MDM, aprobadas previamente por Apple.
567. Las soluciones MDM para iOS [Ref.- 25] en entornos empresariales, con el objetivo de
aprovechar todos los mecanismos de proteccin disponibles en esta plataforma mvil y su
integracin con los sistemas de la organizacin [Ref.- 24], se basan en una arquitectura de
gestin propia de Apple.
568. La gestin de dispositivos mviles iOS va MDM tiene en cuenta la privacidad del usuario
final, por lo que la solucin MDM tiene acceso a datos como el nombre y modelo del
dispositivo, nmero de telfono y de serie, versin de iOS, apps instaladas, etc, pero no
dispone de acceso al correo electrnico, contactos y calendario, a los mensajes (SMS e
iMessage), registro de llamadas, o ubicacin del dispositivo (opcionalmente).
569. La soluciones MDM para iOS permiten llevar a cabo tres tipos de tareas principales [Ref.- 28]
tras su registro inicial:
Modificar y actualizar los ajustes de configuracin de manera remota a travs de

la instalacin, actualizacin y eliminacin de perfiles de configuracin y
aprovisionamiento.
El conjunto de ajustes de configuracin disponibles est definido por Apple en
funcin de la versin de iOS [Ref.- 28].
Monitorizar el cumplimiento de las polticas corporativas a travs de la

realizacin de consultas sobre el dispositivo mvil.
El tipo de informacin y consultas que pueden ser realizadas a travs de la
solucin MDM est definido por Apple en funcin de la versin de iOS [Ref.-
68
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-457
28], y el servidor MDM puede determinar con qu frecuencia obtiene esta

informacin.
Gestionar las apps y el propio dispositivo mvil, pudiendo eliminar

temporalmente el cdigo de acceso si el usuario lo ha olvidado (debiendo fijarse
uno nuevo en los siguientes 60 minutos), bloquear la pantalla de acceso o
eliminar los datos almacenados en el dispositivo (wipe). Adicionalmente, si el
dispositivo mvil no cumple con la poltica de la organizacin, ha sido robado o
perdido, o el usuario deja la organizacin, es posible eliminar el perfil de
configuracin de la solucin MDM, eliminando as todas las cuentas, datos,
apps, y configuraciones asociadas [Ref.- 28]. Alternativamente es posible
eliminar perfiles de configuracin y aprovisionamiento individualmente,
mientras el dispositivo mvil sigue estando gestionado.
Los comandos de gestin que pueden ser ejecutados a travs de la solucin
MDM estn definidos por Apple en funcin de la versin de iOS [Ref.- 28].
570. Hasta la versin 6 de iOS, las soluciones MDM no disponen de mecanismos para evitar o
detectar la instalacindeperfilesdeconfiguracinadicionalesporpartedelusuario. Mediante
estos perfiles es posible instalar, por ejemplo, certificados de desarrollador de apps en el
dispositivo mvil y ejecutar, por tanto, apps no provenientes del mercado oficial de Apple.
571. Desde un punto de vista global, la especificacin de gestin va MDM de iOS permite la
gestin de cuentas para el acceso a servicios corporativos, la gestin de la configuracin de
los dispositivos mviles, la ejecucin de acciones para incrementar la seguridad del
dispositivo, la instalacin, gestin y eliminacin de apps (pblicas e in-house), la consulta
inmediata o planificada de informacin sobre el dispositivo, su configuracin de red y
seguridad, y apps, etc.
572. A la hora de elegir una solucin MDM es necesario evaluar cules de las diferentes
capacidades disponibles en la API de iOS pueden ser configuradas y gestionadas por la
solucin MDM, como por ejemplo la poltica de seguridad del cdigo de acceso, restricciones
en el uso del hardware del dispositivo (como la cmara, la realizacin de llamadas, etc),
restricciones en los servicios avanzados del dispositivo (Siri, FaceTime, capturas de pantalla,
etc), configuracin de las redes Wi-Fi, configuracin de las redes VPN (L2TP, Cisco
Anyconnect, Juniper, F5, etc), polticas de voz y datos en el extranjero (roaming),
configuracin de la cuenta de MS Exchange, controlar el acceso a iCloud, etc.
573. Debido a que el conjunto de capacidades de gestin de los dispositivos mviles iOS est
limitado por la funcionalidad disponible en la API y la especificacin de los perfiles de
configuracin definida por Apple, las soluciones MDM slo pueden implementar (como
mximo) ese conjunto de capacidades. Por este motivo, la funcionalidad de las soluciones
MDM para iOS es muy similar entre diferentes fabricantes.
574. Algunas soluciones MDM permiten tanto la instalacin de apps gestionadas (oficiales y
pblicas, e in-house), como su eliminacin, e incluso poder especificar para qu apps no se
debe realizar una copia de seguridad a travs de iTunes o iCloud.
575. En resumen, la gestin de los dispositivos mviles iOS se puede realizar de forma local y
manual, a travs de EAS o a travs de APNS (Apple Push Notification Service; ver apartado
6.3.2. ARQUITECTURA DE GESTIN MDM DE iOS).
MDM para realizar el proceso de registro en dispositivos mviles iOS puede llevarse a cabo a
69
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-457
travs de un perfil de configuracin (y su distribucin a los usuarios), o a travs de la

instalacin de una app asociada a la solucin MDM.
6.3.1 iOS 7
577. Las capacidades de gestin a travs de las soluciones MDM en iOS 7 han sido extendidas
respecto a versiones previas, aadindose nuevas restricciones, consultas sobre qu
funcionalidad est activa en el dispositivo mvil, y comandos de gestin.
578. iOS 7 [Ref.- 7] aade nuevas opciones de configuracin, acciones y consultas a travs de los
mecanismos de gestin empresarial (MDM), como la configuracin remota de apps
gestionadas, la instalacin de fuentes personalizadas, la configuracin de opciones de
accesibilidad e impresoras AirPrint, junto a la gestin de AirPlay y a la definicin de destinos
permitidos y/o protegidos por contrasea.
579. Versiones previas de iOS (Ej. iOS 6) permitan la instalacin de apps gestionadas a travs de
la solucin MDM, as como su posterior eliminacin, o poder prevenir la realizacin de
copias de seguridad a travs de iCloud para evitar la fuga de datos corporativos.
580. iOS 7 aade nuevas capacidades para instalar apps silenciosamente en dispositivos mviles
supervisados, e incluso configurar las apps remotamente (va OTA), modificando as su
comportamiento. Adicionalmente, la nueva API para las soluciones MDM dispone de
comandos para obtener datos del usuario directamente (a travs de los protocolos de
comunicaciones MDM) de las apps y su sandbox asociado (mecanismo denominado
feedback) [Ref.- 48].
581. Adicionalmente se ha automatizado el proceso de registro en la solucin MDM para los
dispositivos mviles iOS propiedad de la organizacin (no vlido en entornos BYOD) durante
el proceso de activacin de los mismos (streamlined device enrollment) [Ref.- 48].
582. El nuevo proceso de registro permite a las organizaciones definir previamente como debe
realizarse el registro en su solucin MDM (pudiendo definir distintos criterios para
dispositivos diferentes) e integrar las configuraciones asociadas (como la URL de registro del
servidor MDM) en el proceso estndar de obtencin de fbrica y activacin de los
dispositivos mviles iOS.
583. Estas gestiones se realizan a travs de un nuevo servicio de Apple enlanubeasociado a la
compra y registro de dispositivos mviles iOS.
584. Cuando un nuevo dispositivo mvil iOS es recibido por la organizacin (va Apple), y es
activado por el usuario siguiendo los pasos del proceso de activacin estndar, el usuario ser
preguntado por sus credenciales para proceder automticamente al proceso de registro en la
solucin MDM.
585. Es posible incluso establecer que el registro en la solucin MDM sea un paso obligatorio que
de no ser completado, no permitir la activacin del dispositivo mvil.
586. iOS 7 ha comenzado la adopcin de un modelo para poder compartimentalizar la parte
profesional y personal del dispositivo mvil, y su adecuacin a entornos BYOD, basado en
proteger los datos corporativos y no permitir acceso a estos desde apps no aprobadas por la
organizacin.
587. Para ello, iOS 7 emplea la tecnologadenominadaManagedOpenInquepermite controlar
qu apps y cuentas pueden emplearse para abrir documentos y ficheros adjuntos corporativos.
70
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-457
588. Mediante controles de acceso en los propios documentos (datos) es posible definir dnde un
documento puede ir (a qu app) o como se puede compartir, limitando as el acceso a los
documentos de la organizacin nicamente desde las apps corporativas, y tambin evitando el
acceso a documentos personales desde las apps gestionadas.
589. Asimismo, iOS 7 proporciona una solucin de autentificacin nica empresarial, denominada
Enterprise Single Sign On (SSO), para compartir y reutilizar las credenciales del usuario entre
diferentes app. El modelo de integracin empleado previamente en iOS 6 para compartir las
credenciales de acceso a Twitter y Facebook se ha extendido a lo largo de todo el sistema y
todas las apps.
590. Las credenciales para distintos servicios son almacenadas en un punto nico del sistema,
desde el que pueden ser (re)utilizadas por diferentes apps, siendo posible definir su uso en
base a prefijos de URLs o identificadores de apps concretos.
591. Adicionalmente, iOS 7 incorpora la posibilidad de establecer una conexin VPN por app en
lugar de disponer de una VPN global para todo el sistema, de forma que cuando la app
gestionada es iniciada, se establece automticamente una conexin VPN hacia la organizacin
para la transmisin de los datos corporativos, contribuyendo as a la separacin y proteccin
de la transmisin de datos corporativos y personales.
592. Adems, en la versin 7 los mecanismos de proteccin de datos nativos de iOS mediante
cifrado estn disponibles automticamente para todas las apps, con el objetivo de proteger los
datos corporativos almacenados por apps de terceros (hasta el primer desbloqueo con el
cdigo de acceso tras reiniciar el dispositivo).
6.3.2 ARQUITECTURA DE GESTIN MDM DE iOS
593. La gestin de dispositivos mviles iOS a travs de las soluciones MDM debe hacer uso del
Apple Push Notification Service (APNS), mecanismo de comunicacin que permite al
servidor MDM iniciar una conexin con el dispositivo mvil a gestionar.
594. APNS emplea la infraestructura diseada por Apple que consiste en una serie de servidores
que permiten la comunicacin y el envo de mensajes (o notificaciones) entre los dispositivos
mviles gestionados y los servidores de gestin o MDM de la organizacin.
595. En teora, la notificacin push es silenciosa desde el punto de vista del dispositivo mvil y no
contiene datos confidenciales, sino que se emplea como mecanismo de notificacin para que
el dispositivo mvil contacte con el servidor MDM y compruebe las acciones pendientes de
realizar.
596. Por tanto, la conexin entre el servidor MDM y el dispositivo mvil gestionado debe
transcurrir obligatoriamente a travs de la infraestructura y los servidores de Apple, situacin
que debe ser tenida en cuenta desde dos puntos de vista: confidencialidad, confiando en las
comunicaciones y datos enviados por la solucin MDM a travs de Apple, y disponibilidad,
confiando en que la infraestructura de Apple est siempre disponible para poder realizar la
gestin de los dispositivos corporativos.
597. Una vez se ha establecido la conexin entre el servidor MDM y el dispositivo mvil, se hace
uso de las capacidades definidas en la especificacin o framework correspondiente de iOS,
diseado para mantener una comunicacin sin afectar significativamente el rendimiento o el
consumo de batera.
598. Para que el APNS funcione adecuadamente es necesario permitir comunicaciones TCP/IP
especficas entre el dispositivo mvil, la infraestructura de Apple (reflejada como APNS en la
71
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-457
imagen inferior [Ref.- 25]) y asociada a la clase A 17.0.0.0/8 (donde se encuentran los
servidores de Apple para el servicio haciendo uso de tcnicas de balanceo de carga), y el
servidor MDM de la organizacin, a travs de los cortafuegos perimetrales corporativos [Ref.27]:
FIGURA 9.- Arquitectura de
gestin de iOS [Ref.- 25]
599. Las comunicaciones TCP/IP necesarias, ya sea a travs de redes Wi-Fi o de telefona mvil
(2/3/4G), para la gestin de dispositivos mviles iOS mediante APNS son [Ref.- 26]:
Registro o suscripcin (enrollment) en la solucin MDM: iniciada por el

dispositivomvilhacialosservidores[NN-]courier.push.apple.comdeApple.
- APNS emplea por defecto el puerto 5223/tcp y los contenidos se
codifican a travs del protocolo de mensajera XMPP (Extensible
Messaging and Presence Protocol), con cifrado mediante SSL/TLS.
Envo de mensajes (notificacin push) va APNS: iniciada por el servidor MDM

hacialosservidoresgateway.[sandbox.]push.apple.comdeApple.
- Puertos 2195/tcp (notificaciones) y 2196/tcp (feedback) con los
contenidos en formato JSON (JavaScript Object Notation) y binario, con
cifrado mediante SSL/TLS.
- El servidor de Apple con el trmino sandbox en su nombre est
asociado al envo de notificaciones push en entornos de desarrollo.
Comunicacin desde el dispositivo mvil hacia el servidor MDM tras recibir la

notificacin (push): HTTPS (443/tcp).
600. La autentificacin mutua entre las diferentes entidades que participan en las comunicaciones
descritas previamente se realiza mediante certificados digitales (SSL/TLS).
601. Todos los datos de configuracin de la solucin MDM son proporcionados al dispositivo
mvil a travs de un perfil de configuracin. Cuando el perfil es instalado, el dispositivo se
registra (enrollment) en la solucin MDM y pasa a estar gestionado. Cuando el servidor
MDM quiere realizar una tarea o consulta en el dispositivo, enva un mensaje (notificacin
push) va APNS, instando al dispositivo a qu compruebe las acciones pendientes de realizar.
En ese momento, el dispositivo se conecta directamente al servidor MDM a travs de HTTPS
para recibir la consulta o las tareas a ejecutar.
602. Para hacer uso de una solucin MDM para la gestin de dispositivos mviles iOS es necesario
instalar un certificado digital en el propio servidor MDM, proporcionado por el fabricante de
72
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-457
la solucin MDM y Apple10 (Apple Push Certificates Portal), y necesario para establecer
comunicaciones SSL/TLS con Apple a travs del Apple Push Notification Service (APNS).
603. La obtencin del certificado requiere iniciar una solicitud a travs del fabricante de la
solucin MDM, que devolver una Certificate Signing Request (CSR) firmada. Empleando la
CSR y a travs del Apple Push Certificates Portal, es posible solicitar el certificado
empleando el Apple ID de la organizacin. Una vez obtenido, el certificado puede ser
instalado en el servidor MDM para hacer uso del Apple Push Notification Service (APNS).
6.3.3 SOLUCIONES MDM A PEQUEA ESCALA PARA iOS
604. Apple distribuye un conjunto de herramientas de gestin de dispositivos mviles iOS para
entornos de tamao reducido (o a pequea escala) [Ref.- 19], incluyendo iPhone
Configuration Utility (iPCU), Apple Configurator y Profile Manager, disponible nicamente
para Mac OS X Server.
605. Apple proporciona la herramienta iPhone Configuration Utility (iPCU) [Ref.- 20], qu
tambin aplica a dispositivos iPad y iPod Touch pese a su nombre, para la configuracin de
las capacidades avanzadas y empresariales de dispositivos mviles iOS a travs de perfiles de
configuracin y de aprovisionamiento.
606. Los perfiles de aprovisionamiento (ficheros con la extensin .mobileprovision) permiten la
distribucin de in-house apps o apps pblicas oficiales que han sido adquiridas
individualmente o por lotes.
607. Estos perfiles autorizan la instalacin y uso de apps de ciertos desarrolladores, como la propia
organizacin, en los dispositivos mviles gestionados.
608. iPCU est disponible para ordenadores basados en Mac OS X y en Windows, y permite la
gestin local, a travs del puerto USB, de dispositivos mviles iOS.
609. iPCU permite tanto la creacin de perfiles de configuracin como su distribucin a travs de
diferentes mtodos, incluyendo la conexin mediante USB del dispositivo mvil a gestionar
(mtodo que conlleva la firma y el cifrado del perfil), el envo del perfil a travs de correo
electrnico o su distribucin mediante un servidor web.
610. Por defecto, los perfiles de configuracin son firmados por iPCU para poder verificar su
procedencia y autenticidad, junto a su integridad (para evitar modificaciones del perfil),
mediante los certificados digitales de iPCU. Por tanto, la gestin de dispositivos mviles iOS
mediante iPCU requiere que al menos una primera vez se haya realizado la conexin a travs
de USB del dispositivo al ordenador con iPCU, de forma que se establezca una relacin de
confianza entre ambos a travs del intercambio de estos certificados digitales. Posteriormente
es posible distribuir nuevos perfiles de forma remota, o previamente si los perfiles no son
firmados ni cifrados (opcin no recomendada desde el punto de vista de seguridad).
611. Se recomienda realizar la distribucin de los perfiles de configuracin a travs de USB,
opcin ms segura y que no requiere distribuir remotamente el fichero .mobileconfig.
612. Los ficheros .mobileconfig pueden contener informacin muy sensible, como credenciales,
asociadas a la configuracin de las cuentas de correo electrnico, redes Wi-Fi, conexiones
VPN, etc. Es importante tener en cuenta que el fichero .mobileconfig es un fichero XML de
texto sin cifrar, salvo que sea generado para un dispositivo concreto, en cuyo caso s puede ser
10
Apple Push Certificates Portal: https://identity.apple.com/pushcert/.
73
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-457
cifrado para ese dispositivo, opcin ms recomendada desde el punto de vista de seguridad
para la distribucin remota de perfiles.
613. Sin embargo, la distribucin de un perfil de configuracin cifrado para un dispositivo
concreto dificulta la distribucin de un mismo perfil a mltiples dispositivos en entornos de
mediano o gran tamao, ya que es necesario generar una versin del perfil cifrada para cada
uno de los dispositivos a gestionar.
614. Una vez un perfil de configuracin ha sido instalado, slo puede ser actualizado por otro
perfil con el mismo identificador (definido con notacin DNS inversa en los ajustes generales
del perfil) y que ha sido firmado por la misma instancia de iPCU.
615. Adicionalmente, la posibilidad de eliminar el perfil de configuracin del dispositivo se define
en su configuracin de seguridad, pudiendo eliminarse por parte del usuario (opcin no
recomendada si se desea aplicar permanentemente la poltica de seguridad de la
organizacin), eliminarse con autorizacin o contrasea (debiendo tener en cuenta que el
perfil de configuracin puede no estar cifrado y por tanto la contrasea estara almacenada en
claro y fcilmente accesible), o nunca, es decir, para eliminar el perfil de configuracin es
necesario restaurar el dispositivo mvil a los ajustes de fbrica (opcin ms segura).
616. En resumen, se deberan emplear perfiles de configuracin que requieran conocer una
contrasea para su eliminacin, o que no puedan ser eliminados nunca, y su distribucin se
deberan realizar a travs de USB, o mediante perfiles cifrados individuales si se lleva a cabo
de forma remota. En el caso de emplear un servidor web para su distribucin, debera ser un
servidor web interno de la organizacin con mecanismos robustos de autentificacin (slo con
acceso a los usuarios de dispositivos mviles autorizados) y cifrado (HTTPS).
617. Complementariamente, los perfiles de configuracin de iOS pueden ser distribuidos va OTA
a travs de las soluciones MDM comerciales o de Profile Manager (referenciado
posteriormente). Las soluciones MDM permiten la gestin completa de los perfiles de
configuracin, incluyendo su eliminacin y actualizacin.
618. Por otro lado, Apple proporciona la herramienta Apple Configurator [Ref.- 21], disponible a
travs de la Mac App Store, una herramienta de gestin que define tres tipos de flujos de
trabajo o tareas: preparacin o configuracin de los dispositivos mviles iOS (preparar),
gestin de dispositivos supervisados (supervisar), y asignacin de dispositivos a usuarios
(asignar).
619. La herramienta se ha diseado principalmente para entornos empresariales de tamao
reducido como solucin MDM 11 para la configuracin de ajustes y apps en dispositivos
mviles iOS, para la supervisin de dispositivos en centros de formacin (aulas y
laboratorios) y para la personalizacin de dispositivos con los datos y documentos de usuarios
especficos.
620. Las principales ventajas de Apple Configurator frente a iPCU es que permite, tambin a
travs del puerto USB, la gestin simultnea de varios dispositivos, y la gestin de
dispositivos supervisados.
621. Los dispositivos mviles iOS pueden configurarse como supervisados, es decir, dispositivos
de uso controlado y limitados a una configuracin estndar. Para ello se establece una
relacin de confianza entre el dispositivo y el ordenador con Apple Configurator (mediante
certificados digitales de supervisin, SHIC - Supervisory Host Identity Certificate) y dnde es
11
http://www.enterpriseios.com/wiki/Apple_Configurator_vs_MDM
74
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-457
posible, por ejemplo, restringir el emparejamiento o sincronizacin con otros ordenadores e

iTunes, pudiendo as gestionar y limitar los contenidos multimedia, apps, copias de seguridad,
etc.
622. Los dispositivos supervisados pueden gestionarse por grupos, con configuraciones comunes y
asignacin de nombres secuenciales, y pueden ser restaurados de forma rpida, incluyendo
tanto la instalacin de apps y ajustes de configuracin, como la eliminacin de datos previos.
623. La asignacin de dispositivos a usuarios permite la gestin por usuarios y grupos, y la
realizacin de copias de seguridad y restauracin (incluso en otro dispositivo diferente)
personalizadas, tanto de ajustes de configuracin como de apps y datos, para usuarios
concretos.
624. Apple Configurator permite la distribucin de apps (o libros) de pago empleando cdigos o
bonos de pago (redemption codes, o URLs) adquiridos a travs del Volume Purchase
Program (VPP) de Apple [Ref.- 23]. Este programa permite la adquisicin de apps (y libros)
por lotes, asociadas a compras por volumen, junto a apps privadas, personalizadas y
especficas para negocios (B2B) no disponibles en la App Store pblica, para su posterior
distribucin e instalacin en los dispositivos mviles de la organizacin (sin que los usuarios
tengan que pagar individualmente por ellas).
625. En iOS 7 [Ref.- 7] [Ref.- 48] se permite la asignacin temporal y remota (OTA) de apps (y
libros) a usuarios a travs del VPP, mientras que la organizacin mantiene la propiedad y el
control de las licencias, pudiendo revocar las mismas en todo momento y/o asignarlas a otro
usuario.
626. Se emplea por tanto ms el concepto de licencia en lugar de cdigo de pago en iOS 7 (frente a
versiones previas), y se puede vincular (si se desea) su uso al proceso de instalacin o
eliminacin de apps a travs de la solucin MDM.
627. Por ltimo, Apple distribuye Profile Manager [Ref.- 22] como parte de Mac OS X Server
(desde la versin Lion o superior), que a diferencia de las dos opciones previas, es un servidor
MDM completo para entornos de tamao reducido.
628. Profile Manager disponer de un portal web para la administracin, monitorizacin y
configuracin de la solucin MDM, un portal web de autoservicio para los usuarios, a travs
del cual pueden registrar sus dispositivos en la solucin MDM y obtener las configuraciones
adecuadas, y el propio mdulo de servidor MDM qu permite la gestin remota de los
dispositivos mviles iOS a travs de APNS.
629. Profile Manager es una solucin limitada en comparacin a las soluciones MDM especficas
de terceros, ya quenopermite,porejemplo,lamonitorizacindelosdispositivosmviles, ni
la generacindeeventosdeundispositivo mvil concreto.
6.4
GESTIN DE WINDOWS PHONE
630. La plataforma mvil Windows Phone 7 estaba principalmente orientada al consumidor final,
y por tanto presentaba carencias notables respecto a las capacidades de gestin empresarial y
los mecanismos de seguridad disponibles.
631. Windows Phone 8, sin embargo, ha sido diseada como una plataforma mvil que conjuga los
requisitos personales y empresariales, incluyendo caractersticas necesarias desde el punto de
vista de seguridad y de los mecanismos de gestin empresariales.
632. Windows Phone 8 dispone de capacidades para su integracin directa con las plataformas de
gestin empresarial de Microsoft, como Office 365, Microsoft Exchange y EAS [Ref.- 52].
75
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-457
633. Adicionalmente, Windows Phone 8 dispone de soporte para Enterprise Device Management
Protocol [Ref.- 51] y su integracin con soluciones MDM de terceros.
634. Windows Phone 8 dispone por defecto de un agente de gestin que, a travs de este protocolo
de gestin, puede comunicarse con los servidores MDM y llevar a cabo el proceso de registro
inicial en la solucin MDM (enrollment) mediante MS-XCEP, la instalacin de una app de
tipo Company Hub que permita el acceso al mercado de apps privado de la organizacin y la
posterior instalacin de nuevas apps aprobadas por la organizacin, as como la consulta de
informacin y configuracin del dispositivo mvil segn las polticas de seguridad
corporativas.
635. La comunicacin entre Windows Phone 8 (y su agente o cliente DM, Device Management) y
el servidor MDM se lleva a cabo a travs del protocolo DM SyncML sobre HTTPS (u OMA
DM XML).
636. Por un lado, el diseo de Windows Phone 8 est orientado a homogeneizar las plataformas
cliente de acceso empleadas por los usuarios en entornos Microsoft, y presenta una notable
tendencia a poder aplicar los mecanismos de gestin empresarial habituales en dispositivos
tradicionales como las polticas de grupo (Group Policy Objects, GPOs) a travs del
directorio activo (DA) o hacer uso de plataformas como Windows Server Update Services
(WSUS) para la distribucin de actualizaciones de software.
637. Por otro lado, Microsoft tambin apuestaporsusolucindegestinenlanube(o integrada
con System Center Configuration Manager, DA o Exchange 2010) y multiplataforma
(Windows RT, Windows 8, Windows Phone 8, iOS, y Android), denominada Windows
Intune [Ref.- 50].
638. Por tanto, la gestin de los dispositivos mviles Windows Phone 8 se puede realizar a travs
de EAS o del Enterprise Device Management Protocol, con tendencia a la aplicacin de
mecanismos de gestin similares a los empleados por las polticas de grupo (GPOs) en
entornos tradicionales Microsoft Windows.
MDM para realizar el proceso de registro en dispositivos mviles Windows Phone puede
llevarse a cabo a travs del Enterprise Device Management Protocol o manualmente.
7 LISTADO RESUMEN DE CARACTERSTICAS DE LAS SOLUCIONES

MDM
640. Este apartado proporciona un listado resumen de las caractersticas comunes y recomendadas
en las soluciones MDM actuales, analizadas a lo largo de la presente gua, y que deben ser
evaluadas antes de la adquisicin de una solucin MDM.
641. Las mismas han sido clasificadas en dos categoras, en funcin del nivel de seguridad del
entorno u organizacin dnde sern aplicadas, de su complejidad y de la sensibilidad y
criticidad de la informacin que gestionan, denominadas caractersticas bsicas y avanzadas.
642. Las caractersticas bsicas engloban los requisitos mnimos que toda solucin MDM debe
proporcionar para proteger a los dispositivos mviles y poder as aplicar los mecanismos de
seguridad necesarios.
643. La clasificacin realizada es slo una referencia que permita a las organizaciones analizar la
variedad y complejidad de las diferentes caractersticas ofrecidas por las soluciones MDM,
pero queda en mano de las propias organizaciones evaluar en detalle y determinar cules de
todas las funcionalidades disponibles son requisito indispensable para la organizacin en
76
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-457
funcin de su poltica de seguridad, independientemente del nivel en el que se hayan

englobado en la presente gua.
644. Debe tenerse en cuenta que algunas de las caractersticas mencionadas slo aplican a ciertas
soluciones MDM en funcin del modelo o formato empleado por stas, como por ejemplo los
mecanismos de proteccin del dispositivo mvil ms asociados a soluciones MDM puras,
frente a mecanismos de proteccin de los datos corporativos en entornos BYOD, ms
asociados a soluciones basadas en una app contenedora.
645. Antes de proporcionar la clasificacin de las diferentes caractersticas en las dos categoras
previamente mencionadas se resumen el resto de consideraciones generales que deben ser
tenidas en cuenta antes de la adquisicin de una solucin MDM.
7.1
CONSIDERACIONES GENERALES
Modelo de gestin de dispositivos y apps mviles
Dispositivos mviles aprobados: (dispositivos gestionados frente a no gestionados)

o Dispositivos mviles corporativos nicamente.
o COPE (Corporataly-Owned, Personally-Enabled).
o CYOD (Choose Your Own Device).
o BYOD (Bring Your Own Device).
Apps mviles aprobadas: (apps gestionadas frente a no gestionadas)
o Apps corporativas nicamente.
o BYOA (Bring Your Own App(lication)).
Plataformas soportadas
Plataformas mviles principales soportadas: Android, BlackBerry, iOS y Windows Phone.

Plataformas mviles adicionales soportadas: Symbian y Windows Mobile.
Soporte para APIs de seguridad empresariales (ej. Samsung KNOX o SAFE).
Otras plataformas tradicionales soportadas:
o Ordenadores porttiles, de escritorio, de pantalla tctil, etc (Windows
XP/7/8/RT, Linux y Mac OS X).
o Impresoras, dispositivos embebidos o mdulos M2M.
Identificacin de las plataformas mviles que deben ser gestionadas:
o Se har uso de una nica solucin MDM multiplataforma o de la integracin de
mltiples soluciones MDM (algunas de ellas especficas para determinadas
plataformas mviles)?
Caractersticas generales de la solucin MDM
Formato de la solucin MDM: arquitectura de gestin tradicional en la propia organizacin

(on-premises), serviciosremotosatravsdearquitecturasenlanube(cloud computing,
SaaS en la propia organizacin o en Internet), o un modelo hbrido.
Modelo de la solucin MDM: gestin completa del dispositivo mvil, gestin mediante
una app contenedora, o ambas.
Arquitectura modular o monoltica (incluyendo todas las capacidades MDM, MAM,
MCM, etc).
Modelo de licencias:
o Licencias peridicas o perpetuas.
o Por dispositivo mvil o por usuario.
Caractersticas del contrato de soporte y mantenimiento (incluido en la licencia?).
77
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-457
Caractersticas frente a tolerancia a fallos, carga y escalabilidad de la solucin MDM.

Caractersticas de administracin de la solucin MDM: interfaz web o aplicacin cliente.
o Realizacin de consultas y bsquedas, ejecucin de acciones, visualizacin de
alertas automticas, etc.
Capacidades de gestin de la solucin MDM: (una o varias)
o Gestin del dispositivo mvil (MDM)
o Gestin de apps (MAM)
o Gestin de contenidos (MCM)
Integracin de soluciones MDM:
o Varias soluciones MDM particulares para cada plataforma mvil.
o Una solucin MDM multiplataforma nica.
Integracin de la solucin MDM con los sistemas de control de trfico de red Wi-Fi: NAC
y WIPS.
Integracin de la solucin MDM con otros entornos de gestin, monitorizacin y
administracin TIC empresariales y con el servidor de correo, directorio activo u otros
directorios corporativos (LDAP), suites de seguridad (antivirus y antimalware), etc.
Poltica de seguridad corporativa para los dispositivos mviles
Requisito imprescindible (ver apartado 4.1. NORMA DE SEGURIDAD PARA LOS

DISPOSITIVOS MVILES).
NOTA: La siguiente lista de recomendaciones aplican a cualquier app contenedora, ya sea sta el
elemento de gestin principal de la solucin MDM, o un elemento complementario que
proporciona un mayor nivel de seguridad al resto de capacidades de la solucin MDM. Las
capacidades listadas se engloban en las dos categoras mencionadas previamente, bsicas y
avanzadas (en letra cursiva para facilitar su diferenciacin).
Soluciones de gestin basadas en una app contenedora
Mecanismos de autentificacin adicionales de la app contenedora:

o Gestin de los mecanismos de autentificacin (complejidad, longitud, periodo de
expiracin y renovacin, histrico, etc).
o Mecanismos de autentificacin de dos (o ms) factores.
Cifrado de datos en reposo (al almacenarlos localmente).
Cifrado de datos en trnsito (al enviarlos por la red).
Sistemas de prevencin de fuga de datos, imponiendo restricciones para el movimiento de
datos local:
o Captura de pantalla.
o Funcionalidad de copiar y pegar.
o Envo de datos a cuentas de correo electrnico externas.
o Intercambio o comparticin local de datos entre apps.
o Capacidades de impresin.
Controles de acceso en base al tiempo (slo se puede usar la app a ciertas horas o puede
expirar llegada una fecha).
Controles de acceso en base a la ubicacin (slo se puede usar la app en ciertos lugares, o
lo contrario, no puede ser utilizada en ciertos lugares).
Funcionalidad de la app contenedora:
o E-mail
o Navegacin web
o Calendario
78
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-457
o Contactos
o Aplicaciones especficas del negocio
7.2
CARACTERSTICAS BSICAS DE LA SOLUCIN MDM
7.2.1 REGISTRO DE LOS DISPOSITIVOS MVILES EN LA SOLUCIN MDM
Mecanismo de registro (enrollment): servicio remoto o portal web, o instalacin de app o

agente.
Automatizacin del proceso de registro por lotes (o grupos) para el administrador TIC.
Autentificacin del usuario y del dispositivo mvil: directorio corporativo.
Capacidades de auto-registro (self enrollment) del dispositivo mvil por parte del usuario:
o Portal web para el proceso de registro, complementado con documentacin y
manuales de usuario.
7.2.2 INVENTARIO Y MONITORIZACIN

Inventario de los dispositivos y apps mviles
Inventario de los dispositivos mviles (hardware y software):

o Fabricante y modelo.
o Capacidades hardware.
o Versin de sistema operativo.
Registro de identificadores de los dispositivos mviles: nmero de serie, IMEI, nmero de
telfono, IMSI, etc.
Capacidades de consulta y bsqueda:
o Tiempo real (actualizadas permanentemente) y bajo demanda.
o Histricos (estadsticas).
o Periodicidad establecida.
Criterios de consulta: (ejemplos)
o Nombre de usuario.
o Nombre del grupo de usuarios.
o Tipo de dispositivo o plataforma mvil.
o Versin de sistema operativo.
Monitorizacin de los dispositivos y apps mviles
Deteccin de violaciones en la poltica de seguridad de la organizacin.

Acciones tras la deteccin de una violacin en la poltica de seguridad:
o Generacin de alertas automticas: consola de la solucin MDM, SNMP, e-mail,
SMS, etc.
Alertas personalizables.
Panel de control (dashboard) con informacin en tiempo real.
Capacidad de Establecer auditorias de los usos de las aplicaciones mviles.
Monitorizacin de:
o La versin de sistema operativo y actualizaciones de seguridad instaladas en los
dispositivos mviles.
La poltica de seguridad aplicada en los dispositivos mviles por usuario individual y/o por
grupo de usuarios y/o por dispositivo mvil.Capacidades de monitorizacin y registro
(logs) de la propia solucin MDM.
79
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-457
Generacin de informes y estadsticas
Generacin de informes bajo demanda o planificados:

o Formatos: XML, CSV, HTML, PDF, texto, etc.
Generacin de estadsticas a nivel de dispositivo mvil.
Generacin de estadsticas a nivel de app.
7.2.3 CONFIGURACIN DE LOS DISPOSITIVOS MVILES

Gestin y restricciones del hardware del dispositivo mvil
Deshabilitar la cmara.
Deshabilitar el mdulo GPS y las capacidades de localizacin (va satlites GPS, redes WiFi y torres de telefona mvil).
Deshabilitar el interfaz NFC.
Deshabilitar el interfaz Bluetooth.
Deshabilitar el interfaz Wi-Fi.
7.2.4 MECANISMOS DE SEGURIDAD

Gestin de las polticas de seguridad corporativas
Definicin y asignacin de polticas de seguridad (va OTA) por dispositivo mvil y/o por
tipo de dispositivo mvil y/o por usuario individual y/o por grupo de usuarios.
Gestin de versiones de la poltica de seguridad.
Mecanismos de proteccin y seguridad
Forzar la utilizacin de un cdigo (o mecanismo) de acceso al dispositivo mvil.

Definir el tipo de cdigo (o mecanismo) de acceso a emplear:
o PIN, contrasea, patrn de desbloqueo o desbloqueo mediante una imagen.
Definir los requisitos del cdigo (o mecanismo) de acceso:
o Longitud, complejidad, periodo de expiracin y renovacin, histrico, etc.
Definir el periodo de tiempo de inactividad para el bloqueo automtico del dispositivo
mvil.
Definir el periodo de gracia en el que no ser necesario introducir un cdigo de acceso tras
el bloqueo (automtico o manual) del dispositivo mvil.
Definir el nmero de intentos de acceso fallidos para llevar a cabo el borrado completo
(wipe) del dispositivo mvil.
Bloqueo remoto del dispositivo mvil.
Deshabilitar el cdigo de acceso actual remotamente.
Borrado remoto completo (wipe) del dispositivo mvil.
Capacidad de localizacin de la ubicacin fsica del dispositivo mvil:
o Puntual.
o Seguimiento permanente (tracking).
Cifrado completo del dispositivo mvil.
Cifrado de las tarjetas de almacenamiento externas (ej. SD card).
Gestin de certificados digitales:
o Certificadosdigitalespersonalesycertificadosdigitalesdeconfianza(CAs).
o Certificados digitales para servicios concretos.
o Gestin de certificados digitales revocados.
80
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-457
o Funcionalidad de los certificados digitales: redes Wi-Fi y VPN, navegacin web, email y S/MIME, EAS, comunicacin con la solucin MDM, etc
o Gestin de certificados a nivel de sistema y/o por app individual.
Capacidades de CA en la solucin MDM:
o Emisin, registro y gestin de certificados digitales propia.
o IntegracinconotrasCAsexternas.
o Servidor SCEP propio o integracin con servidor SCEP externo.
Gestin de actualizaciones del sistema operativo de la plataforma mvil (va OTA).
Gestin de actualizaciones de la app contenedora o agente MDM (va OTA).
Gestin de actualizaciones de todas las apps instaladas en el dispositivo mvil (va OTA).
Configuracin de los ajustes de conectividad para las diferentes tecnologas e interfaces de

comunicaciones inalmbricas:
o NFC.
o Bluetooth.
o Redes Wi-Fi.
o Redes de telefona mvil 2/3/4G (APNs).
o Redes VPN.
Configuracin de un proxy global para todas las comunicaciones de datos.
Cifrado de las comunicaciones entre la solucin MDM y el dispositivo mvil (OTA):
o Anlisis de los protocolos y algoritmos de cifrado empleados.
Bluetooth
Restringir el estado del interfaz Bluetooth a no visible u oculto.

Gestin de la configuracin Bluetooth: nombre, etc.
Wi-Fi
Definir el tipo de redes Wi-Fi permitidas: infraestructura, ad-hoc, o ambas.

Gestin avanzada de la configuracin de las redes WPA y WPA2 Empresariales.
Telefona mvil 2/3/4G
Habilitar o deshabilitar de forma independiente las comunicaciones de voz (y SMS/MSM)

y las comunicaciones de datos (2/3/4G).
Control del gasto de los servicios de telefona mvil.
Permitir la configuracin y gestin de un APN (Access Point Name) privado.
VPNs
Gestin de la configuracin de las conexiones VPN globales al dispositivo mvil.
7.2.6 GESTIN DE APPS

Gestin de correo electrnico
Capacidades de integracin con plataformas, soluciones y servidores de correo electrnico

empresariales.
Configuracin segura de las cuentas de correo electrnico (e-mail).
Gestin de apps (MAM)
81
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-457
Gestin del uso y limitaciones para la instalacin de apps desde los mercados pblicos
oficiales:
o Mercados oficiales de los fabricantes y/o mercados oficiales de terceros.
o Restringir la instalacin de apps de mercados de terceros no oficiales y fuentes no
fiables.
Gestin y autorizacin de apps: listas blancas, listas negras y lista de apps requeridas por la
organizacin.
Gestin del mercado corporativo de apps de la organizacin:
o Conjunto de plataformas mviles soportadas: disponibilidad de funcionalidad
avanzada para cada una de ellas?
o Gestin nica (o complementaria) de in-house apps o line-of-business (LOB) apps.
o Capacidades para la distribucin de actualizaciones de apps previamente instaladas.
o Establecer controles y polticas ms avanzadas para la disponibilidad, instalacin y
uso de apps en funcin del perfil del usuario.
Disponibilidad y distribucin de apps individuales o conjuntos de apps por
usuario individual y/o por grupo y/o por dispositivo mvil y/o por tipo de
dispositivo mvil.
Gestin de apps corporativas en dispositivos mviles personales y gestin de apps
personales en dispositivos mviles corporativos.
Gestin de contenidos y datos corporativos (MCM)
7.3
Capacidades para restringir con qu otros equipos locales puede sincronizarse el

dispositivo mvil (USB o conexin inalmbrica).
Capacidades de prevencin de fuga de datos (Data Loss Prevention, DLP):
o Datos gestionados por las apps.
o Sincronizacindesdelasappshaciaserviciosenlanube.
o Ficheros adjuntos en correos electrnicos (e-mail).
CARACTERSTICAS AVANZADAS DE LA SOLUCIN MDM
7.3.1 REGISTRO DE LOS DISPOSITIVOS MVILES EN LA SOLUCIN MDM
Soporte para el protocolo SCEP (Simple Certificate Enrollment Protocol).

Portal web para la autogestin (self management) del dispositivo mvil por parte del
usuario:
o Cambio del cdigo de acceso.
o Bloqueo remoto del dispositivo mvil.
o Borrado remoto del dispositivo mvil (wipe).
82
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-457
7.3.2 INVENTARIO Y MONITORIZACIN

Inventario de los dispositivos y apps mviles
Inventario de los dispositivos mviles (hardware y software):

o Operador de telecomunicaciones.
o Estado de la configuracin: general y de seguridad.
o Estado de los mdulos o componentes hardware.
Inventario de las apps:
o Distribucin de las apps y versiones especficas instaladas por dispositivo mvil.
Inventario de los contenidos corporativos:
o Distribucin de los contenidos corporativos y versiones especficas.
Criterios de consulta: (ejemplos)
o Nombre y versin especifica de la app.
o Operador de telecomunicaciones.
o Trminos de bsqueda flexibles.
Monitorizacin de los dispositivos y apps mviles
Acciones tras la deteccin de una violacin en la poltica de seguridad:

o Notificacin automtica al dispositivo mvil del usuario o administrador TIC.
o Eliminacin remota de datos selectiva o completa (wipe).
o Restriccin del acceso del dispositivo mvil a los servicios y datos corporativos.
o Respuesta automtica ante alertas: ejecucin de acciones personalizables.
Generacin de alertas frente a eventos personalizables (cuando no es posible contactar con
un dispositivo mvil, cuando el dispositivo est siendo usado en el extranjero (roaming),
cuando se detecta un intento de instalacin de una app no permitida, etc).
Capacidades de monitorizacin para diferenciar y filtrar datos personales de datos
corporativos.
Monitorizacin de:
o Los ajustes de configuracin individuales de los dispositivos mviles.
o El uso de las comunicaciones mviles: NFC, Bluetooth, Wi-Fi, 2/3/4G, etc.
o El nivel de actualizacin de los dispositivos mviles de la organizacin para una
app determinada.
o El uso de cada app y del almacenamiento y transferencia de los contenidos
corporativos gestionados por la app.
o Contenidos y datos corporativos, incluyendo la versin de cada documento.
Capacidades de anlisis del rendimiento del dispositivo mvil, incluyendo apps, redes WiFi y redes de telefona mvil, y notificacin mediante alertas proactivas.
Recepcin de los logs de los dispositivos mviles.
Generacin de informes bajo demanda o planificados:

o Disponibilidad de plantillas predefinidas.
Generacin de estadsticas a nivel de contenidos.
7.3.3 CONFIGURACIN DE LOS DISPOSITIVOS MVILES

Deshabilitar el micrfono.
Deshabilitar las tarjetas de almacenamiento externas (ej. slot SD card).
83
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-457
Deshabilitar o restringir las capacidades de conexin a travs del puerto USB:

o Lista de equipos permitidos a travs de la conexin USB.
Deshabilitar el interfaz de telefona mvil (2/3/4G):
o SMS/MMS y voz.
o Datos.
o Datos compartidos con otros dispositivos (tethering).
Gestin del software (apps y servicios) existente por defecto en el dispositivo mvil
Deshabilitar apps y servicios disponibles por defecto en la plataforma mvil:

o Navegador web, cliente de correo electrnico, gestin de contactos y calendario,
etc.
Deshabilitar apps (existentes por defecto o de terceros) que permiten la grabacin de voz y
su envo a travs de Internet.
Gestin de otros dispositivos conectados directamente al dispositivo mvil (va conexin
inalmbrica, como por ejemplo Bluetooth, o va USB):
o Impresoras, escneres, proyectores, ordenadores, manos libres, altavoces, etc.
7.3.4 MECANISMOS DE SEGURIDAD

Definicin de polticas de seguridad permanentes o temporales (con fecha de comienzo y

expiracin).
Definicin de polticas de seguridad dependientes del tiempo o de la ubicacin.
Portal web de autogestin que permita al usuario comprobar si sus dispositivos mviles
cumplen con la poltica de seguridad de la organizacin, y en caso de no hacerlo, el motivo
asociado.
Modelo de eliminacin de la poltica de seguridad: estado previo (rollback) o borrado
completo (wipe).
Definir el nmero de intentos de acceso fallidos para bloquear el acceso del dispositivo
mvil, y/o el usuario asociado, a los servicios y datos corporativos.
Modificar el valor del cdigo de acceso actual remotamente.
Forzar de forma remota al dispositivo mvil a emitir un sonido (a travs de las capacidades
de gestin) que permita su localizacin.
Enviar de forma remota al dispositivo mvil un mensaje (a travs de las capacidades de
gestin) que permita proporcionar informacin del propietario para su localizacin o
devolucin.
Borrado remoto selectivo de datos del dispositivo mvil.
Establecimiento de otros escenarios automticos para realizar el borrado remoto, selectivo
o completo, del dispositivo mvil, como por ejemplo disponer de un sistema operativo
significativamente desactualizado o incumplir la poltica de seguridad durante ms de un
periodo de tiempo determinado.
Capacidades para iniciar un borrado remoto automtico si el dispositivo mvil no ha
establecido comunicacin alguna con la solucin MDM durante un periodo de tiempo
determinado.
Solucin virtual de borrado de datos en el acceso a los servicios corporativos, no
permitiendo su acceso a travs de un cortafuegos de aplicacin o de datos, por ejemplo, al
correo electrnico.
84
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-457
Capacidad para deshabilitar o restringir la utilizacin de los servicios de localizacin por

app o elemento hardware (por ejemplo, desde la cmara).
Definicin de polticas de cifrado de datos a nivel de apps.
Capacidad de integracin con entornos colaborativos y plataformas, soluciones y
servidores empresariales para la comparticin de documentos.
Mecanismos de deteccin del proceso de jailbreak (iOS) o root (Android).
Ejecucin de acciones automticas tras la identificacin del proceso de jailbreak o root.
Capacidades de integracin con cortafuegos y soluciones antivirus/antimalware para
dispositivos mviles (con limitaciones significativas de las plataformas mviles).
Gestin de las comunicaciones de datos: slo a travs de redes Wi-Fi frente a redes de
telefona mvil 2/3/4G:
o Cundo, dnde y por qu?
NFC
Capacidad para habilitar o deshabilitar el interfaz NFC, as como para gestionar los
servicios asociados, como por ejemplo Android Beam.
Bluetooth
Restringir y configurar los perfiles Bluetooth disponibles.

o Configuracin independiente de los mecanismos de autentificacin y autorizacin
de cada perfil.
o Restringir la posibilidad de realizar nuevos emparejamientos va Bluetooth.
Gestin de los dispositivos Bluetooth emparejados (ej. impresoras, manos libres, etc).
Poltica de seguridad sobre el PIN empleado durante los emparejamientos Bluetooth:
requisitos mnimos de longitud, complejidad, etc.
Capacidadesdegestiny borradoselectivoperidicodelabasededatosdedispositivos
emparejados.
Requisitos relativos a la versin de la especificacin Bluetooth a emplear (versin 2.1 o
superior: SSP).
Wi-Fi
Definir un conjunto determinado, lista blanca, de redes Wi-Fi a las que pueden conectarse
los dispositivos mviles gestionados.
Deshabilitar el establecimiento automtico de conexiones a redes Wi-Fi conocidas.
Restringir la conexin a redes Wi-Fi inseguras: sin cifrado (abiertas) o con cifrado WEP.
Poltica de seguridad sobre la contrasea empleada para la conexin a redes WAP y WPA2
Personal: requisitos mnimos de longitud, complejidad, etc.
Gestin de la base de datos de redes Wi-Fi conocidas (PNL).
o Identificar y permitir editar qu redes Wi-Fi son ocultas y cules son visibles.
Gestin de la funcionalidad de punto de acceso Wi-Fi del dispositivo mvil.
Telefona mvil 2/3/4G
Datos compartidos con otros dispositivos (tethering):

o Restringir los mtodos de tethering permitidos (Bluetooth, Wi-Fi y/o USB) y los
ajustes de seguridad de las redes de comunicaciones asociadas.
85
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-457
Seleccionar el tipo de red de telefona mvil: 2G 3/4G (tanto para voz como para datos).
Gestionar los parmetros de conectividad en el extranjero (roaming):
o Voz y SMS
o Datos
VPNs
Gestin de conexiones VPN por app (o VPNs selectivas).
7.3.6 GESTIN DE APPS

Cifrado local de los mensajes de correo electrnico.

Cifrado local de los ficheros adjuntos a los mensajes de correo electrnico.
Gestin de ficheros adjuntos integrada con una solucin de gestin de contenidos para su
almacenamiento y acceso seguro.
Controles sobre los ficheros adjuntos para no permitir su recepcin o envo segn su tipo.
Bloquear las operaciones de copiar y pegar, o las operaciones de impresin, desde el
cliente de correo electrnico.
Bloquear el acceso a la cuenta de correo electrnico del usuario si su dispositivo mvil no
cumple la poltica de seguridad corporativa o si ste deja la organizacin.
Gestin de navegacin web
Configuracin granular del navegador web, por ejemplo, para deshabilitar ajustes como el
aceptar cookies de terceros o el motor de JavaScript.
Capacidades para la creacin y distribucin de web clips.
Permitir la creacin de listas blancas y negras de navegacin web.
Gestin del mercado corporativo de apps de la organizacin:

o Gestin de licencias y compras.
o Distribucin automticadeappsporintervalosdetiempo(ej.cadaxhoras),opor
evento (ej. al producirse una situacin determinada).
o Instalacin automtica de las apps gestionadas en los dispositivos mviles sin
intervencin por parte del usuario.
o Eliminacin remota de una app de uno o mltiples dispositivos mviles.
Gestin y autorizacin de los permisos necesarios para una app determinada (segn la
plataforma mvil).
Gestin de software y apps no slo para las plataformas mviles, sino tambin para los
dispositivos ms tradicionales.
Integracin con servicios de reputacin de las aplicaciones mviles.
Bloqueo de la ejecucin de una app si el dispositivo mvil no cumple con la poltica de
seguridad corporativa.
Disponibilidad de kits de desarrollo (SDKs) y libreras (o APIs) para el desarrollo de apps
seguras:
o Autentificacin, cifrado, geofencing, intercambio seguro de datos, etc.
Disponibilidad de plataformas que permite englobar o envolver (wrapping) las apps ya
existentes mediante libreras de seguridad especficas.
86
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-457
Deshabilitar la realizacin de copias de seguridad hacia servicios en la nube o hacia

dispositivos locales (USB o conexin inalmbrica):
o Posibilidad de diferenciar entre datos corporativos y personales.
Integracin con soluciones de gestin de contenidos corporativos que proporcionen un
repositorio seguro para la comparticin y distribucin de contenidos:
o Creacin de contenidos corporativos temporales, con un tiempo de expiracin
definido.
o Distribucin automtica de datos corporativos (push) asociados a una por intervalos
de tiempo (ej. cada x horas), o por evento (ej. al producirse una situacin
determinada).
o Bloqueo del acceso a los datos y contenidos corporativos por parte de dispositivos
mviles que violen la poltica de seguridad de la organizacin.
Bloquear las operaciones de copiar y pegar, de impresin, o de comparticin de datos entre
apps.
CapacidadesdegestindelafuncionalidadOpenIn:controlesdeaccesoparadefiniren
qu apps o servicios de la plataforma mvil es posible abrir (o acceder a) un documento
concreto.
Contenedor cifrado para almacenar documentos sensibles.
Capacidades de gestin de la utilizacin de contenidos desde los dispositivos mviles sin
conexin al repositorio compartido (offline).
Restricciones en el acceso a los contenidos: autentificacin de dos o ms factores,
geofencing, o segn el tipo de conexin de datos empleada.
Acceso virtualizado a aplicaciones, servicios o escritorios remotos corporativos.
87
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-457
8 APNDICE A: FABRICANTES DE SOLUCIONES MDM

Lista ordenada alfabticamente con algunos de los fabricantes de soluciones MDM actuales
(teniendo en cuenta que no es exhaustiva; ms referencias en [Ref.- 10] - [Ref.- 14]):
Absolute Software
Afaria (SAP/Sybase)
AirWatch
Amtel
BlackBerry
BoxTone
Dialogs Smartman (Sophos)
Excitor
FancyFon
Fiberlink MaaS360
Good Technology
IBM Tivoli
Kaseya
Kaspersky Lab
LANDesk
McAfee
Meraki
Mobile Active Defense
MobileIron
Odyssey (Symantec)
RhoGallery
Sophos Mobile Control
Soti
Symantec
Tangoe
Trend Micro
Unwired Revolution DeviceLink
Zenprise (Citrix)
88
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-457
9 APENDICE B: LISTA DE RECOMENDACIONES DE SEGURIDAD

PARA LA GESTIN DE DISPOSITIVOS MVILES
La siguiente tabla incluye una lista con las diferentes caractersticas de las soluciones MDM y las
recomendaciones descritas a lo largo de la presente gua, incluyendo tanto los ajustes de
configuracin de gestin o seguridad disponibles, como los valores ms recomendados (siempre
teniendo en cuenta que los valores a aplicar sern dependientes de la poltica de seguridad definida
por la organizacin).
VALOR
RECOMENDADO
AJUSTE DE CONFIGURACIN
Consideraciones generales
Modelo de gestin de dispositivos y apps mviles
Dispositivos mviles aprobados
Apps mviles aprobadas

Soporte para APIs de seguridad empresariales

Otras plataformas tradicionales soportadas
Caractersticas generales de la solucin MDM12
Formato de la solucin MDM
Modelo de la solucin MDM
Arquitectura de la solucin MDM con capacidades de gestin...
Corporativos
COPE
CYOD
BYOD
Corporativas
BYOA
Android (obligatorio)
BlackBerry
(obligatorio)
iOS (obligatorio)
Win Phone
(recomendado)
Win Mobile
(recomendado)
Symbian
(recomendado)
Otros (recomendado)
Obligatorio
Windows
Linux
Mac OS X
On-premises
En la nube (cloud)
Hbrido
Dispositivo mvil
App contenedora
Ambas
MDM
MAM
MCM
Soluciones de gestin basadas en una app contenedora

12
Ver resumen de las capacidades adicionales de las soluciones MDM en el apartado "Error! No se encuentra el origen de la
eferencia.. Error! No se encuentra el origen de la referencia.", no incluidas en la presente tabla.
89
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-457
Mecanismos de autentificacin adicionales de la app contenedora

Gestin de los mecanismos de autentificacin de la app contenedora
Mecanismos de autentificacin de dos (o ms) factores

Cifrado de datos en reposo (al almacenarlos localmente)
Cifrado de datos en trnsito (al enviarlos por la red)
Sistemas de prevencin de fuga de datos
Controles de acceso en base al tiempo o a la ubicacin
Funcionalidad de la app contenedora
Registro de los dispositivos mviles en la solucin MDM

Mecanismo de registro (enrollment)
Automatizacin del proceso de registro por lotes (o grupos)
Autentificacin del usuario y del dispositivo mvil
Capacidades de auto-registro (self enrollment) del dispositivo mvil
Soporte para el protocolo SCEP (Simple Certificate Enrollment
Protocol)
Portal web para la autogestin (self management) del dispositivo
mvil por parte del usuario
Inventario
Inventario de los dispositivos mviles (hardware y software)
Registro de identificadores de los dispositivos mviles
Capacidades de consulta y bsqueda
Inventario de las apps
Inventario de los contenidos corporativos
Monitorizacin
Deteccin de violaciones en la poltica de seguridad de la
organizacin
Acciones tras la deteccin de una violacin en la poltica de
seguridad
Monitorizacin detallada de ajustes, uso de capacidades, etc
Generacin de alertas frente a eventos personalizables
Deshabilitar: cmara, mdulo GPS, NFC, Bluetooth, Wi-Fi,
micrfono, tarjetas almacenamiento externas, puerto USB, telefona
mvil, etc
Gestin del software existente por defecto
Deshabilitar apps y servicios disponibles por defecto
Gestin de otros dispositivos conectados directamente al dispositivo
Definicin y asignacin granular de polticas de seguridad
Cdigo de acceso
Complejidad
Longitud
Expiracin
Histrico
Recomendado
Obligatorio
Obligatorio
Obligatorio
Recomendado
E-mail
Navegacin web
Calendario
Contactos
Apps negocio
Portal web
App o agente
Recomendado
Obligatorio
Obligatorio
Recomendado
Recomendado
Obligatorio
Obligatorio
Obligatorio
Obligatorio
Recomendado
Obligatorio
Recomendado
Recomendado
Obligatorio
Recomendado
Recomendado
Obligatorio
Recomendado
Obligatorio
90
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-457
Gestin de versiones de la poltica de seguridad

Definicin de polticas de seguridad permanentes o temporales,
dependientes del tiempo o de la ubicacin
Capacidades de gestin de eliminacin de la poltica de seguridad
Imposibilidad del usuario de actuar sobre las acciones del MDM
(enrrollment, aplicacin de polticas, eliminacin del agente) sin
autorizacin del administrador.
Forzar la utilizacin de un cdigo (o mecanismo) de acceso
Tipo de cdigo (o mecanismo) de acceso a emplear
Obligatorio
Obligatorio13
Obligatorio
Contrasea
(recomendado)
PIN (obligatorio)
Requisitos de la contrasea de acceso (recomendado):

- Longitud:
- Complejidad:
- Periodo de expiracin y renovacin:
- Histrico
6 caracteres
Nmeros y letras
Anual
ltimos tres
Requisitos del PIN de acceso (obligatorio):

- Longitud:
- Complejidad:
- Periodo de expiracin y renovacin:
- Histrico
6 caracteres
Nmeros
Anual
ltimos tres
Periodo de tiempo de inactividad para el bloqueo automtico del

dispositivo mvil
Definir el periodo de gracia en el que no ser necesario introducir un
cdigo de acceso tras el bloqueo (automtico o manual) del
dispositivo mvil
Definir el nmero de intentos de acceso fallidos para llevar a cabo el
borrado completo (wipe) del dispositivo mvil
Nmero de intentos de acceso fallidos para bloquear el acceso del
dispositivo mvil, y/o el usuario, a los servicios y datos corporativos
Bloqueo remoto del dispositivo mvil
Borrado remoto selectivo de datos del dispositivo mvil
Borrado remoto completo (wipe) del dispositivo mvil
Capacidades para iniciar un borrado remoto automtico si no ha
establecido conexin alguna con la solucin MDM
durante un periodo de tiempo
Forzar de forma remota al dispositivo mvil a emitir un sonido (a
travs de las capacidades de gestin) que permita su localizacin
Enviar de forma remota al dispositivo mvil un mensaje de
notificacin
Capacidad para deshabilitar o restringir la utilizacin de los servicios
de localizacin por app o elemento hardware
Capacidad de localizacin de la ubicacin fsica del dispositivo
13
Obligatorio
Recomendado
1-5 minutos
1 minuto
Obligatorio
Obligatorio
Recomendado
Obligatorio
Obligatorio
Recomendado
Recomendado
Recomendado
Obligatorio
Obligatorio
Puede no ser posible para ciertos sistemas operativos mviles.
91
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-457
mvil
Cifrado completo del dispositivo mvil
Cifrado de las tarjetas de almacenamiento externas
Gestin de certificados digitales
Gestin de actualizaciones del SO de la plataforma mvil (va OTA)
Gestin de actualizaciones de la app contenedora MDM (va OTA)
Gestin de actualizaciones de todas las apps instaladas (va OTA)
Mecanismos de deteccin del proceso de jailbreak (iOS) o root
(Android)
Ejecucin de acciones automticas tras la identificacin del proceso
de jailbreak o root
Capacidades de integracin con cortafuegos y soluciones
antivirus/antimalware para dispositivos mviles
Gestin de las comunicaciones
Configuracin de los ajustes de conectividad
Configuracin de un proxy global para todas las comunicaciones de

datos
Cifrado de las comunicaciones entre la solucin MDM y el
dispositivo mvil (OTA)
Gestin de las comunicaciones de datos: Wi-Fi vs. telefona mvil
NFC
Gestin del interfaz NFC y los servicios asociados
Bluetooth
Restringir el estado del interfaz Bluetooth a no visible u oculto
Gestin de la configuracin Bluetooth
Restringir y configurar los perfiles Bluetooth disponibles
Gestin de los dispositivos Bluetooth emparejados
Poltica de seguridad sobre el PIN de emparejamientos Bluetooth
Wi-Fi
Definir el tipo de redes Wi-Fi permitidas
Gestin avanzada de las redes WPA(2) Empresariales
Definir listas blancas de redes Wi-Fi
Restringir la conexin a redes Wi-Fi inseguras
Gestin de la base de datos de redes Wi-Fi conocidas (PNL)
Gestin de la funcionalidad de AP Wi-Fi del dispositivo mvil
Telefona mvil
Gestin independiente las comunicaciones de voz y datos
Permitir la configuracin y gestin de un APN privado
Gestin de tethering
Seleccionar el tipo de red de telefona mvil: 2G 3/4G (voz y
datos)
VPNs
14
Obligatorio
Obligatorio
Obligatorio
Obligatorio
Obligatorio
Obligatorio
Obligatorio
Obligatorio
Recomendado
NFC
Bluetooth
Wi-Fi
Telefona mvil
VPN
Obligatorio14
Obligatorio
Recomendado
Recomendado
Obligatorio
Obligatorio
Recomendado
Recomendado
Recomendado
Obligatorio
Obligatorio
Recomendado
Recomendado
Obligatorio
Recomendado
Obligatorio
Obligatorio
Recomendado
Recomendado
Puede no ser posible para ciertos sistemas operativos mviles.
92
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-457
Gestin de la configuracin de las conexiones VPN

Gestin de conexiones VPN por app (o VPNs selectivas)
Gestin de apps
Configuracin segura de las cuentas de correo electrnico (e-mail)
Cifrado local de los mensajes (y ficheros adjuntos) de correo
electrnico
Gestin de ficheros adjuntos integrada con una solucin de gestin
de contenidos (MCM) y segn su tipo
Bloquear las operaciones de copiar y pegar, o las operaciones de
impresin, desde el cliente de correo electrnico
Bloquear el acceso a la cuenta de correo electrnico del usuario si su
dispositivo mvil no cumple la poltica de seguridad corporativa
Gestin de navegacin web
Configuracin granular del navegador web
Permitir la creacin de listas blancas y negras de navegacin web
Gestin del uso y limitaciones para la instalacin de apps desde los
mercados pblicos oficiales (principal y terceros)
Gestin y autorizacin de apps: listas blancas y listas negras
Gestin del mercado corporativo de apps de la organizacin
Bloqueo de la ejecucin de una app si el dispositivo mvil no cumple
con la poltica de seguridad corporativa
Capacidades para restringir con qu otros equipos locales puede
sincronizarse el dispositivo mvil (USB o conexin inalmbrica)
Capacidades de prevencin de fuga de datos
Deshabilitarlarealizacindecopiasdeseguridadhaciaserviciosen
lanubeohaciadispositivoslocales
Integracin con soluciones de gestin de contenidos corporativos que
proporcionen un repositorio seguro para la comparticin y
distribucin de contenidos
Bloquear las operaciones de copiar y pegar, de impresin, o de
comparticin de datos entre apps
CapacidadesdegestindelafuncionalidadOpenIn
Contenedor cifrado para almacenar documentos sensibles
Obligatorio
Recomendado
Obligatorio
Obligatorio
Recomendado
Recomendado
Recomendado
Obligatorio
Recomendado
Obligatorio
Obligatorio
Recomendado
Recomendado
Obligatorio
Obligatorio
Obligatorio
Recomendado
Obligatorio
Recomendado
Obligatorio
93
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-457
10 REFERENCIAS
La siguiente tabla muestra las fuentes de informacin a las que se hace referencia a lo largo de la
presente gua:
Referencia
[Ref.- 1]
Ttulo, autor y ubicacin

GuaCCN-STIC-450:Seguridaddedispositivosmviles.CCN-CERT. 2010.
URL:
https://www.ccn-cert.cni.es/publico/seriesCCN-STIC/series/400-Guias_Generales/450-
[Ref.- 2]
Android. Google.
URL: http://www.android.com
Android Open Source Project (AOSP).
URL: http://source.android.com
BlackBerry.
URL: http://www.blackberry.com
iOS. Apple.
URL: http://www.apple.com/iphone/ios/
Windows Phone. Microsoft.
URL: http://www.windowsphone.com
Duress Notification Address IT policy rule.BlackBerry.
URL:http://docs.blackberry.com/en/admin/deliverables/4222/Duress_Notification_Addres
s_204132_11.jsp
iOS7andbusiness.Apple.
URL: https://www.apple.com/ios/ios7/business/
MicrosoftExchangeActiveSync.Exchange2013.Microsoft.
URL: http://technet.microsoft.com/es-es/library/aa998357%28v=exchg.150%29.aspx
MicrosoftSystemCenterMobileDeviceManager(MSCMDM).Microsoft.
URL: http://technet.microsoft.com/es-es/systemcenter/bb968863.aspx
URL:
https://blogs.technet.com/b/keithmayer/archive/2012/12/03/managing-mobiledevices-with-system-center-2012-configuration-manager-sp1-and-windows-intune.aspx
Magic Quadrant for Mobile Device Management Software. Gartner. May 23, 2013.
ID:G00249820.
URL:https://www.gartner.com/technology/reprints.do?id=1-1FRIMH0&ct=130523&st=sb
Critical Capabilities for Mobile Device Management Software.Gartner.May 23, 2013.
ID:G00250008.
URL:https://www.gartner.com/technology/reprints.do?id=1-1FRIMJB&ct=130523&st=sb
Magic Quadrant for Mobile DeviceManagementSoftware.Gartner. May 17, 2012.
ID:G00230508.
URL:https://dell.symantec.com/system/files/Magic_Quadrant_for_Mobile_Device_Manag
ement_Software.pdf
URL:https://enterprisemobilitymobi.wordpress.com/2012/05/18/gartner-2012-magicquadrant-for-mdm/
Magic Quadrant for Mobile DeviceManagementSoftware. Gartner. April 13, 2011.
ID: G00211101.
URL:http://www.sap.com/campaigns/2011_04_mobility/assets/GartnerReport_MDM_M
Q_April2011.pdf
URL: http://icomm.co/icomm-services/mobility-services/mobile-device-management/
WorldwideMobileEnterprise Management Software 2012 2016 Forecast and Analysis
and 2011 Vendor Shares.IDC.Septiembre2012.
URL: http://idcdocserv.com/236835e
White Paper: A Technical Comparison of Mobile Management Solution Features and
Functions.SCMDM 2008. Microsoft.
URL:
http://download.microsoft.com/download/E/E/5/EE517330-67B4-4057-961FD883FBC34F39/MDM%20Technical%20Comparison%20White%20Paper_CR_Final.pdf
Configuration Profile Key Reference (antesiPhone Configuration Profile Reference).
Apple. URL:
http://developer.apple.com/library/ios/featuredarticles/iPhoneConfigurationProfileRef/
iOS MDM Specification.Apple.
URL:http://adcdownload.apple.com//Documents/mobile_device_management_protocol/m
obiledevicemanagementprotocol.pdf
Seguridad_Dispositivos_Moviles/450_SEGURIDAD_EN_DISPOSITIV.PDF
[Ref.- 3]
[Ref.- 4]
[Ref.- 5]
[Ref.- 6]
[Ref.- 7]
[Ref.- 8]
[Ref.- 9]
[Ref.- 10]
[Ref.- 11]
[Ref.- 12]
[Ref.- 13]
[Ref.- 14]
[Ref.- 15]
[Ref.- 16]
[Ref.- 17]
94
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-457
Referencia
[Ref.- 18]
[Ref.- 19]
[Ref.- 20]
[Ref.- 21]
[Ref.- 22]
[Ref.- 23]
[Ref.- 24]
[Ref.- 25]
[Ref.- 26]
[Ref.- 27]
[Ref.- 28]
[Ref.- 29]
[Ref.- 30]
[Ref.- 31]
[Ref.- 32]
[Ref.- 33]
[Ref.- 34]
[Ref.- 35]
[Ref.- 36]
[Ref.- 37]
[Ref.- 38]

iOSDeveloperEnterpriseProgram(iDEP).Apple.
URL: https://developer.apple.com/programs/ios/enterprise/
iPhoneSupport:Enterprise.Apple.
URL: https://www.apple.com/support/iphone/enterprise/
iPhoneConfigurationUtility(iPCU).Apple.
URL: http://support.apple.com/kb/DL1465 (Mac OS X)
URL: http://support.apple.com/kb/DL1466 (Windows)
URL: https://help.apple.com/iosdeployment-ipcu/mac/1.0/
AppleConfigurator. Apple.
URL: https://help.apple.com/configurator/mac/1.3/?lang=es (ver [Ref.- 19])
URL: https://support.apple.com/kb/HT5769 (v1.3)
ProfileManager.Apple.
URL: https://www.apple.com/support/lionserver/profilemanager/
URL: https://help.apple.com/profilemanager/mac/10.7/
Volume Purchase Program (VPP). Apple.
URL: https://www.apple.com/business/vpp/
URL: https://help.apple.com/iosdeployment-apps/
URL: https://www.apple.com/iphone/business/it-center/apps.html
iPhoneinBusiness ITCenter.Apple.
URL: https://www.apple.com/iphone/business/it-center/
URL: https://www.apple.com/iphone/business/it-center/deployment.html
URL: https://www.apple.com/iphone/business/it-center/security.html
iPhoneinBusiness MDM.Apple.
URL: https://www.apple.com/iphone/business/it-center/deployment-mdm.html
URL: https://www.apple.com/iphone/business/it-center/byod.html
Well known TCP and UDP ports used by Apple software products.Apple.
URL: https://support.apple.com/kb/ts1629
Unable to use Apple Push Notification service (APNs).Apple.
URL: https://support.apple.com/kb/ts4264
URL: https://developer.apple.com/library/ios/#technotes/tn2265/_index.html
Deploying iPhone and iPad (iPhone in Business) Mobile Device Management.Apple.
URL: http://itstreaming.apple.com/podcasts/iphoneinbusiness/ds/iPhone_MDM.pdf
URL: https://www.apple.com/iphone/business/docs/iOS_6_MDM_Sep12.pdf
ZuneparaWindows(WindowsPhone7).Microsoft.
URL: http://www.windowsphone.com/es-es/how-to/wp7/zune-software
Windows Phone 7 Connector para Mac OS X(WindowsPhone7).Microsoft.
URL: http://www.windowsphone.com/es-es/how-to/wp7/mac-connector
AplicacindeWindowsPhone(paraordenadoresyMac).Microsoft.
URL:http://www.windowsphone.com/es-ES/How-to/wp8/windows-phone-app-fordesktop
URL: http://www.windowsphone.com/es-es/how-to/wp8/windows-phone-app-for-mac
URL: http://www.windowsphone.com/es-ES/how-to/wp8/start/syncing-and-moving
AndroidSDK.Google.
URL: https://developer.android.com/sdk/index.html
BlackBerryDesktopSoftware(paraPCyMac).BlackBerry.
URL: http://es.blackberry.com/software/desktop.html
BlackBerryLink(paraPCyMac).BlackBerry.
URL: http://es.blackberry.com/software/desktop/blackberry-link.html
iTunes.Apple.
URL: https://www.apple.com/es/itunes/
GoogleApps(forBusiness, etc). Google
URL: https://www.google.com/apps/
Google Apps Device Policy.Google.URL:
https://play.google.com/store/apps/details?id=com.google.android.apps.enterprise.dmagent
&hl=es
GoogleAppsMobileManagement.Google.
URL: https://support.google.com/a/bin/answer.py?hl=es&answer=1734200
URL: https://www.youtube.com/watch?v=TtDYpU4V4UQ
95
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-457
Referencia
[Ref.- 39]
[Ref.- 40]
[Ref.- 41]
[Ref.- 42]
[Ref.- 43]
[Ref.- 44]
[Ref.- 45]
[Ref.- 46]
[Ref.- 47]
[Ref.- 48]
[Ref.- 49]
[Ref.- 50]
[Ref.- 51]
[Ref.- 52]
[Ref.- 53]
[Ref.- 54]
[Ref.- 55]
[Ref.- 56]
[Ref.- 57]

A new way to distribute your internal Android apps.Google.
URL:
http://googleenterprise.blogspot.com.es/2012/12/a-new-way-to-distribute-yourinternal.html
iCloud.Apple.
URL: https://www.icloud.com
MobileDeviceSecurityChecklist.SANS.
URL: https://www.sans.org/score/mobile-device-checklist.php
DeviceAdministration(API).Google.
URL: https://developer.android.com/guide/topics/admin/device-admin.html
BlackBerry Enterprise Service 10 version 10.1 Architecture and Data Flows.
BlackBerry.URL:http://docs.blackberry.com/en/admin/deliverables/52723/BlackBerry_En
terprise_Service_10_version_10.1_Architecture_and_Data_Flow_Quick_Referenceen.pdf
BlackBerryEnterprise Server 5 to BlackBerry Enterprise Service 10.1 Going Under
The Covers.BlackBerry.URL:
https://bblive.blackberryconferences.net/2013/connect/fileDownload/session/057C33D60
B1985BAD477FE9C019A74CE/BPD03_BBLive-BPD03.pdf
DoesRIMCompromiseonSecuritybyUsingActiveSync?TheanswerisNo,andheres
why.BlackBerry.Agosto2012.
URL: http://bizblog.blackberry.com/2012/08/rim-activesync-security/
BlackBerryBalance.BlackBerry.
URL: http://ca.blackberry.com/business/software/blackberry-balance.html
Secure Work Space for iOS and Android Now Available with BlackBerry Enterprise
Service 10.BlackBerry.Junio2013.
URL: http://bizblog.blackberry.com/2013/06/secure-work-space-ios-android-bes-10/
ManagingAppleDevices(session300).Apple.WWDC 2013. Julio 2013.
URL: https://developer.apple.com/wwdc/videos/
URL: https://developer.apple.com/wwdc/videos/index.php?id=300
xCon.Cydia.
URL: http://theiphonewiki.com/wiki/XCon
URL: https://github.com/n00neimp0rtant/xCon-Issues/issues
WindowsIntune.Microsoft.
URL: https://www.microsoft.com/en-us/windows/windowsintune/explore.aspx
Windows Phone 8 Enterprise Device Management Protocol.Microsoft. Junio 2013.
URL: https://www.microsoft.com/en-us/download/details.aspx?id=36831 (v1.3)
Windows Phone 8 Device Management Overview.Microsoft.Octubre2012.
URL:
http://blogs.msdn.com/cfs-filesystemfile.ashx/__key/communityserver-blogscomponents-weblogfiles/00-00-015506/1832.20_2C00_205.01_5F00_WP8_5F00_MobileDeviceManagementOverview_5F
00_102912_5F00_CR.pdf
Risk Management of Enterprise Mobility Including Bring Your Own Device. DoD.
Australian Government. Junio 2013.
URL: http://dsd.gov.au/publications/csocprotect/Enterprise_Mobility_BYOD.pdf
Companies Weigh BYOD vs. COPE, But What Really Protects Data?. Wired. May
2013.
URL: http://www.wired.com/insights/2013/05/companies-weigh-byod-vs-cope-but-whatreally-protects-data/
Market Overview: Cloud-Hosted Mobile Device Management Solutions And Managed
Services.Forrester. January 3, 2012.
URL: http://www.air-watch.com/downloads/analyst-reports/forrester-cloud-hosted-mdmmarket-overview-2012.pdf
Market Overview: On-Premises Mobile Device Management Solutions, Q3 2011.
Forrester. January 3, 2012.
URL: http://www.air-watch.com/resources/analyst-reports/forrester-market-overview-onpremise-mdm/download
Vendor Landscape: Mobile Device Management.Info-Tech Research Group. 2011.
URL:
http://www.air-watch.com/downloads/analyst-reports/info-tech-mdm-vendorlandscape-2011.pdf
96
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-457
Referencia
[Ref.- 58]
[Ref.- 59]
[Ref.- 60]
[Ref.- 61]
[Ref.- 62]
[Ref.- 63]
[Ref.- 64]
[Ref.- 65]
[Ref.- 66]
[Ref.- 67]
[Ref.- 68]
[Ref.- 69]
[Ref.- 70]
[Ref.- 71]
[Ref.- 72]
[Ref.- 73]

Guidelines for Managing the Security of Mobile Devices in the Enterprise. NIST
Special Publication 800-124 Revision 1. Junio 2013.
URL: http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-124r1.pdf
Guidelines on Hardware-Rooted Security in Mobile Devices (Draft). NIST Special
Publication 800-164 (Draft). Octubre 2012.
URL: http://csrc.nist.gov/publications/drafts/800-164/sp800_164_draft.pdf
Mobile Device Management - Market Quadrant 2012. The Radicati Group, Inc.
Diciembre 2012.
URL: http://www.air-watch.com/downloads/analyst-reports/2012-12-20-Radicati-MDMMarket-Quadrant.pdf
EnterpriseAppStoresCanIncreasetheROIoftheAppPortfolio.Gartner. Feb 4, 2013.
URL: http://www.gartner.com/technology/reprints.do?id=11EL8YUQ&ct=130321&st=sb
SCEP (Simple Certificate Enrollment Protocol. IETF. 2012.
URL: https://tools.ietf.org/html/draft-nourse-scep-23
Manage my devices.GoogleMobile.
URL: https://support.google.com/a/users/answer/1235372
Simple Certificate Enrollment Protocol (SCEP) does not strongly authenticate certificate
requests (Vulnerability Note VU#971035). CSS. Junio 2012.
URL: http://www.css-security.com/scep/
URL: http://www.kb.cert.org/vuls/id/971035
Android4.xKeyChain API,TrustStore, yblacklisting. AndroidExplorations. Nikolay
Elenkov.
URL: http://nelenkov.blogspot.com.es/2011/11/using-ics-keychain-api.html
URL: http://nelenkov.blogspot.com.es/2011/12/ics-trust-store-implementation.html
URL: http://nelenkov.blogspot.com/2012/07/certificate-blacklisting-in-jelly-bean.html
GuaCCN-STIC-406: Seguridad en redes inalmbricas.CCN-CERT. 2013.
URL: https://www.ccncert.cni.es/index.php?option=com_wrapper&view=wrapper&Itemid=188&lang=es
SamsungKNOX.
URL: https://www.samsung.com/global/business/mobile/solution/security/samsung-knox
GoogleCloudMessaging(GCM).Google.
URL: https://developer.android.com/google/gcm/index.html
URL: https://developer.android.com/google/gcm/gcm.html
GCMCloudConnectionServer.Google.
URL: https://developer.android.com/google/gcm/ccs.html
GCMHTTPConnectionServer.Google.
URL: https://developer.android.com/google/gcm/http.html
AdministracindedispositivosGoogleAppsBussines.
URL: http://support.google.com/a/bin/answer.py?hl=en&answer=1734200
GoogleAppsForBussines Google.
URL: http://www.google.com/intx/es/enterprise/apps/business/
GoogleDeviceManage.Google.
URL: https://www.google.com/android/devicemanager
97
SIN CLASIFICAR

457-Gestion Dispositivos Moviles MDM-nov13

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

457-Gestion Dispositivos Moviles MDM-nov13

Transféré par

Droits d'auteur :

Formats disponibles

SIN CLASIFICAR

GUA DE SEGURIDAD DE LAS TIC

Gestin de dispositivos mviles: MDM

Editor y Centro Criptolgico Nacional, 2013

Centro Criptolgico Nacional

Gestin de dispositivos mviles: MDM

Flix Sanz Roldn

Gestin de dispositivos mviles: MDM

Gestin de dispositivos mviles: MDM

7 LISTADO RESUMEN DE CARACTERSTICAS DE LAS SOLUCIONES MDM..................... 75

Centro Criptolgico Nacional

Gestin de dispositivos mviles: MDM

El desarrollo de los dispositivos y comunicaciones mviles y de las tecnologas inalmbricas

La proliferacin de dispositivos mviles en los ltimos aos, junto al aumento de las

Se considera dispositivo mvil aqul dispositivo de uso personal o profesional de reducido

Pese a que los dispositivos mviles se utilizan para comunicaciones personales y

La utilizacin y amplia adopcin, sin precedentes, de los dispositivos mviles como

El presente documento realiza un anlisis detallado de las caractersticas, funcionalidades y

Centro Criptolgico Nacional

Gestin de dispositivos mviles: MDM

El propsito del presente documento es proporcionar una lista de caractersticas, capacidades

Gestin de dispositivos mviles: MDM

CCN-STIC-450 - Seguridad de dispositivos mviles [Ref.- 1]

Adicionalmente, se recomienda la lectura de las guas de esta misma serie asociadas a

CCN-STIC-451 - Seguridad de dispositivos mviles: Windows Mobile 6.1

Gestin de dispositivos mviles: MDM

4 ENTORNO DE APLICACIN DE ESTA GUA

Gestin de dispositivos mviles: MDM

MEM (Mobile Enterprise Management), para referirse a las soluciones que

En ocasiones, el trmino MEM se emplea para referirse a Mobile Expense

El trmino MEAP (Mobile Enterprise Application Platforms) se emplea en

Los mecanismos de proteccin de los datos y contenidos corporativos, adems de

Otro trmino empleado para la gestin de contenidos corporativos,

35. Existen en la industria soluciones de gestin y acceso a contenidos, as como entornos

Centro Criptolgico Nacional

Gestin de dispositivos mviles: MDM

Gestin de dispositivos mviles: MDM

infraestructura Wi-Fi de la organizacin para proporcionar comunicaciones seguras, disponer

NORMA DE SEGURIDAD PARA LOS DISPOSITIVOS MVILES

53. Antes de la implantacin de una solucin MDM es requisito indispensable disponer de o

Gestin de dispositivos mviles: MDM

presente gua y se considera un requisito previo indispensable para la implantacin de una

Centro Criptolgico Nacional

Gestin de dispositivos mviles: MDM

teniendo en cuenta la posibilidad de establecer mecanismos de control y prevencin de fuga

AMENAZAS DE SEGURIDAD SOBRE LOS DISPOSITIVOS MVILES

Acceso fsico no autorizado al dispositivo mvil:

Acceso no autorizado a la informacin almacenada:

Acceso no autorizado y manipulacin de la informacin transmitida:

Cdigo mvil malicioso (malware) en apps (aplicaciones mviles):

Centro Criptolgico Nacional

Gestin de dispositivos mviles: MDM

Dispositivos mviles sobre los que se ha realizado el proceso de jailbreak o root

Utilizacin de apps y servicios en la nube no aprobados por la organizacin

Separacin inadecuada en la utilizacin del dispositivo mvil para tareas

71. Adicionalmente a las amenazas de seguridad previamente mencionadas, es necesario evaluar

Qu ocurre cuando un empleado (o usuario) deja la organizacin sin devolver el

Cmo se lleva a cabo la renovacin frecuente de los dispositivos mviles:

Cmo integrar dispositivos personales en la organizacin (BYOD)?

INVENTARIO Y MONITORIZACIN DE LOS DISPOSITIVOS MVILES

75. La solucin MDM debe disponer de capacidades de inventario y monitorizacin de los

Qu dispositivos mviles hay conectados en mi red actualmente?

Centro Criptolgico Nacional

Gestin de dispositivos mviles: MDM