La privacidad y seguridad de nuestros dispositivos es fundamental en el entorno empresarial. Es común que de la empresa recibamos dispositivos supervisados. Estos dispositivos suelen ser propiedad de la empresa y, aunque se ceden a los empleados, está ejerce cierto grado de control. Desde poder instalar aplicaciones hasta forzar el uso de un servicio de correo corporativo concreto. Con esta supervisión es frecuente que los usuarios finales se pregunten qué pasa con sus datos personales, hablemos de todo ello.
Cuando nuestra empresa dispone de una flota de cientos o miles de dispositivos “prestados” es lógico que quiera poder gestionarlos, actualizarlos, localizarlos y asegurarse de que funcionan adecuadamente dentro de las redes y dinámicas de la empresa. Igualmente es lógico que los usuarios tengan preguntas sobre la privacidad y destino último de sus datos.
¿Qué es un dispositivo MDM?
Los dispositivos MDM son aquellos que están inscritos en lo que llamamos Mobile Device Management o Manejo de Dispositivos Móviles. El MDM es una plataforma que Apple pone a disposición del equipo técnico de una empresa o institución para gestionar de forma centralizada todos los diferentes dispositivos inscritos. Desde una única ubicación se puede actuar sobre todos a la vez sin tener que actuar físicamente en cada uno de ellos.
Supervisado o no supervisado
Antes de avanzar a las preguntas sobre la privacidad es fundamental saber si el dispositivo que nuestra empresa nos ha cedido está o no supervisado. Es muy fácil saber si un dispositivo es supervisado, pues en la parte superior de la app Ajustes veremos aparecer: Este iPhone está supervisado y gestionado por [X].
De forma predeterminada los dispositivos no se inscriben como supervisados y si no lo están para que pasen a estarlo es necesario configurarlos de nuevo desde cero. ¿Y por qué se usa la supervisión? Porque da a la empresa o institución un mayor control sobre sus dispositivos. Si el dispositivo está supervisado los administradores pueden, por ejemplo, impedir el uso de AirDrop, evitar las compras a través de la App Store, actualizar o instalar aplicaciones o filtrar el uso de Safari. Para ver qué cambios respecto a la configuración original se dan por el hecho de que el dispositivo esté supervisado debemos acceder a Ajustes > General > Perfiles y Supervisión del dispositivo.
Es importante destacar que, aunque un dispositivo supervisado es más manejable por el equipo de IT de la empresa, los datos siguen siendo, en su gran mayoría, privados.
¿Puede el departamento técnico rastrear mi ubicación?
Una de las preguntas más comunes por parte de los usuarios de un iPhone cedido por la empresa. La respuesta aquí se divide en tres partes:
- Si nos conectamos al Wi-Fi de la empresa, el departamento técnico puede saber que lo hemos hecho y desde qué punto de acceso. Algo que, por otra parte, es aplicable a cualquier dispositivo que se conecte.
- Si la empresa dispone de capacidades de rastreo de dispositivos a través de las redes móviles, pueden (igual que ya hacen actualmente las empresas de telefonía) localizar el dispositivo siempre que este no esté en Modo Avión y por lo tanto desconectado de cualquier red.
- Si el servicio técnico pone el dispositivo en modo perdido, algo de lo que nos daríamos cuenta, ya que el dispositivo deja de ser utilizable, entonces pueden conocer la ubicación exacta. Esta gestión solo es posible en los dispositivos supervisados.
¿Puede el departamento técnico leer mis iMessages?
No. Tanto los SMS como los mensajes que enviamos a través de iMessage son totalmente privados y nunca serán visibles. Sí puede verse el número de mensajes enviados o recibidos, pero nunca a quién se envían ni el contenido de los mismos. Tengamos en cuenta que los mensajes de SMS (no de iMessage) pueden obtenerse directamente por medio de la operadora que nos dé servicio, aunque ya es algo que escapa a Apple o a la app Mensajes de nuestro iPhone.
Otra opción es que el servicio de IT de nuestra empresa desactive directamente el uso de la app Mensajes para que utilicemos otras plataformas como Slack, por ejemplo. Por último, mencionar que si la empresa nos solicita el dispositivo, simplemente desbloqueándolo verá los mensajes enviados, pero repetimos: nunca de forma remota.
¿Puede el departamento técnico ver mis fotos de la app Fotos?
Tampoco. Igual que en iMessage no es posible ver, modificar o eliminar ningún contenido de la app Fotos ni de las fotos guardadas en iCloud. La única información a la que es posible acceder es a cuántas fotos contiene el dispositivo. También se puede haber desactivado el uso de fotos en iCloud.
¿Puede el departamento técnico leer el correo de mi cuenta personal?
El departamento técnico puede saber que estamos accediendo a nuestro correo, ya sea mediante Safari o a través de Mail, pero nunca ver qué hemos enviado o recibido. De nuevo podemos encontrarnos con que la app Mail tenga restringida la opción de añadir cuentas personales.
¿Puede el departamento técnico controlar remotamente mi dispositivo?
En un iPhone o iPad no. En el Mac sí existe esta posibilidad, pero siempre con un aviso de que el dispositivo está siendo controlado remotamente. En los Mac, por otra parte, es posible que el departamento técnico instale herramientas más agresivas y discretas para controlar el ordenador, aunque Apple no provea ninguna API oficial para ello. En general, si el Mac es de nuestra propiedad, no deberíamos permitir instalar nada más que un perfil MDM.
¿Puede el departamento técnico ver el historial de navegación?
Usando las APIs de MDM no, como máximo se puede filtrar e impedir el acceso a ciertos sitios web. Ahora bien, mediante el perfil de configuración se puede forzar el uso de una conexión VPN corporativa, una vez dentro de la red de la empresa sí se puede monitorizar todo el tráfico de red.
Más privacidad de la que podría parecer
Las herramientas de MDM sirven para que los departamentos encargados de ello puedan configurar y gestionar grandes flotas de dispositivos y asegurarse de que funcionan adecuadamente según las necesidades de la empresa. Estos sistemas no están pensados para un control exhaustivo y están especialmente diseñados para evitar acceder a los datos que contienen.
Lo cierto es que las herramientas de gestión de dispositivos que permiten los sistemas MDM facilitan enormemente la gestión de los dispositivos que usamos cada día para trabajar. Como hemos visto, nuestra privacidad es inherente a las plataformas de Apple. Mientras, si es necesario recibir asistencia desde el departamento técnico sabemos que será de lo más sencillo.
Imagen | Jannis Lucas