Hoy en día, las organizaciones suelen permitir a sus empleados utilizar sus propios dispositivos personales con fines laborales, una práctica conocida como BYOD (bring your own device, «trae tu propio dispositivo»). El BYOD ofrece flexibilidad y comodidad, pero también conlleva riesgos de seguridad, ya que los dispositivos personales carecen de las estrictas medidas de protección del hardware corporativo.
¿Qué es la seguridad BYOD?
Definición y alcance de la seguridad del BYOD
La política de seguridad BYOD tiene por objeto establecer directrices y marcos para gestionar y controlar el uso de los dispositivos personales de los empleados, como ordenadores portátiles, teléfonos inteligentes y tabletas. Permitir que dispositivos no gestionados accedan a recursos protegidos conlleva riesgos de seguridad graves, como la pérdida de datos o las infecciones por malware.
En el ámbito de aplicación de la política BYOD deben definirse claramente varios aspectos clave de la infraestructura de TI. Por ejemplo, las organizaciones deben decidir qué tipos de dispositivos están permitidos para fines empresariales, qué tipos de aplicaciones o qué acceso a los recursos internos, así como qué personal puede utilizar dispositivos personales.
La importancia de proteger los dispositivos personales de los empleados.
Según estadísticas recientes, el 83 % de las empresas cuenta con políticas de «trae tu propio dispositivo» (BYOD) y el 75 % de los empleados utiliza sus teléfonos móviles personales para trabajar. Las empresas con trabajadores a distancia o en régimen híbrido a menudo deben adaptarse al uso de dispositivos personales, sobre todo en situaciones en las que resulta complicado proporcionar el hardware a tiempo.
La política BYOD resulta beneficiosa para las organizaciones, ya que aumenta la productividad y la satisfacción laboral de los empleados gracias a la flexibilidad que ofrece. Las empresas también pueden reducir los costes relacionados con la provisión de ordenadores portátiles o teléfonos inteligentes de trabajo, ya que pueden permitir a los empleados utilizar sus dispositivos personales.
Riesgos de seguridad del BYOD
Secure
Al trabajar a distancia, los empleados pueden conectar sus dispositivos personales a redes wifi no seguras, que son vulnerables a los interceptores, sobre todo cuando aceptan compartir archivos y carpetas a los que se accede desde redes públicas.
Secure
Los empleados podrían utilizar sus propios dispositivos para visitar e interactuar con sitios web maliciosos o de suplantación de identidad si no se dispone de herramientas eficaces para bloquear el acceso a sitios web peligrosos y garantizar que la conexión esté encriptada.
Descargas Secure
Los archivos no analizados que se descargan de sitios web o aplicaciones de mensajería pueden contener malware que podría propagarse cuando los empleados conectan sus ordenadores portátiles a la red de la empresa. Permitir la descarga de archivos sin verificar conlleva un riesgo enorme, ya que podría provocar fugas de datos críticos.
Acceso no autorizado
Cuando los empleados utilizan dispositivos personales para realizar su trabajo, una seguridad insuficiente puede exponer las redes y los datos de la empresa a accesos no autorizados. El riesgo se agrava aún más cuando los familiares de los empleados también utilizan estos dispositivos o USB para transferir datos.
Software
Es posible que los dispositivos personales no cuenten con el mismo nivel de seguridad ni con las mismas actualizaciones de parches que los dispositivos proporcionados por la empresa, lo que los hace más vulnerables al malware y a los virus. Los usuarios con acceso al programa BYOD pueden, sin saberlo, brindar una oportunidad a los delincuentes para que se aprovechen de dispositivos con software comprometido al acceder a los recursos de la empresa.
Fuga de datos
Otra consecuencia importante de la pérdida, el robo o la vulnerabilidad de los dispositivos es la filtración de datos. Cuando personas no autorizadas acceden a dispositivos BYOD, las organizaciones corren el riesgo de que se filtre información y datos confidenciales.
Cuestiones de cumplimiento normativo
Los dispositivos personales que carecen de cifrado, control de acceso y protección de datos pueden plantear dificultades a la hora de cumplir con normativas como el RGPD, la HIPAA y la PCI DSS. Las consecuencias legales son especialmente graves para las instituciones financieras y sanitarias, que deben proteger los datos confidenciales.
Casos prácticos y ejemplos
Acceso no autorizado a los repositorios de código privado de Slack
En diciembre de 2022 se detectaron actividades sospechosas en algunos de los repositorios de GitHub de Slack. Tras investigar el caso, se descubrió que una persona no identificada había tenido acceso a los tokens de acceso de los empleados, que se utilizaron para acceder a repositorios de código privados. Tras analizar los datos, se constató que el usuario no autorizado había descargado varios repositorios privados de la plataforma de colaboración.
Fuga de datos en una plataforma de intercambio de criptomonedas
En 2017, la plataforma surcoreana de intercambio de criptomonedas Bithumb filtró sin querer la información personal de 30 000 clientes cuando el ordenador personal de un empleado fue pirateado. El atacante recopiló datos como los nombres de los clientes, sus números mobile y sus direcciones de correo electrónico, que posteriormente se utilizaron para realizar llamadas de phishing. Posteriormente, la plataforma tuvo que pagar multas y reembolsar a todos los clientes cuya información personal se vio expuesta y que sufrieron pérdidas económicas.
Malware de tipo troyano camuflado como Mobile legítimas
En 2016, se descubrió el troyano DressCode en juegos, temas y aplicaciones para optimizar el rendimiento de los teléfonos inteligentes en Google Play Store. Una vez instalada una aplicación maliciosa que contenía DressCode, esta se comunicaba con el servidor de comandos, el cual podía enviar instrucciones para infiltrarse en la red a la que estaba conectado el dispositivo infectado. Los investigadores han identificado más de 400 casos de aplicaciones con el malware DressCode integrado disponibles en Google Play. Otras amenazas conocidas o desconocidas integradas en aplicaciones podrían suponer un riesgo significativo para las organizaciones con políticas BYOD.
Cómo Secure
Establecimiento de políticas de «trae tu propio dispositivo» (BYOD)

El primer paso fundamental para garantizar la seguridad de un entorno BYOD consiste en definir formalmente los elementos esenciales de una política de seguridad BYOD:
- Acuerdo de usuario: en él se detallan todas las obligaciones que deben cumplir los empleados en materia de seguridad de sus dispositivos personales. Entre los elementos habituales de este acuerdo se incluyen la política de uso aceptable, los requisitos de cumplimiento de las normas de seguridad y las cuestiones relativas a la responsabilidad civil, especialmente en lo que respecta a la rescisión del contrato y la retirada de dispositivos.
- Actividades permitidas y prohibidas: define las tareas relacionadas con el trabajo que los empleados pueden realizar en sus dispositivos personales, como el uso de aplicaciones autorizadas, el acceso al correo electrónico o a documentos internos. Deben prohibirse aquellas actividades que puedan suponer un riesgo para la empresa, como el almacenamiento de datos confidenciales en dispositivos personales o la descarga de archivos no autorizados.
- Dispositivos permitidos: especifica qué dispositivos personales están permitidos, como teléfonos inteligentes, tabletas y ordenadores portátiles, incluyendo modelos, marcas y sistemas operativos concretos (por ejemplo, iOS, Android, macOS, Windows), para garantizar que los dispositivos sean compatibles con la configuración de seguridad de la empresa.
Gestión Mobile (MDM)
La tecnología MDM se encarga de proporcionar, gestionar y controlar los dispositivos que se utilizan para trabajar en las empresas. Además de controlar los dispositivos corporativos, un programa MDM también puede registrar los dispositivos personales de los empleados. El software MDM configura los dispositivos con datos de perfil, VPN, las aplicaciones y los recursos necesarios, así como herramientas para supervisar la actividad de los dispositivos.
Establecimiento de una Media extraíbles
El uso de soportes extraíbles, como USB discos duros externos, para transferir datos conlleva importantes riesgos de seguridad. Estos dispositivos pueden introducir malware en una red, lo que podría provocar fugas de datos o interrupciones en el sistema. Una solución física, como MetaDefender , puede analizar los soportes extraíbles utilizando varios motores antimalware para garantizar su seguridad.
Implementación de soluciones de seguridad

Los dispositivos BYOD pueden protegerse mediante soluciones de seguridad para terminales como MetaDefender ™. Este programa de seguridad para terminales aplica medidas de seguridad fundamentales en los dispositivos para repeler las amenazas.
Garantiza la confidencialidad al exigir a los usuarios que proporcionen varios niveles de verificación, como una contraseña, un código OTP en un segundo dispositivo o datos biométricos.
Protege los datos confidenciales tanto en reposo como en tránsito. Al cifrar los datos legibles a lo largo de todo su ciclo de vida, las organizaciones pueden garantizar que la información siga siendo ilegible para usuarios no autorizados en caso de pérdida, robo o compromiso de los dispositivos.
Aplica políticas para garantizar que los dispositivos cumplan los requisitos antes de acceder a los recursos corporativos. Estas políticas suelen incluir programas de análisis antimalware, gestión de vulnerabilidades y parches, bloqueadores de keyloggers y medidas para impedir la captura de pantalla.
Algunas normas de cumplimiento no permiten la instalación de software en dispositivos temporales de terceros, lo que impide la instalación de soluciones para puntos finales. Para garantizar el cumplimiento de dichas normas, se puede implementar una solución como MetaDefender para realizar análisis a nivel del hardware sin necesidad de arrancar desde los sistemas operativos de los dispositivos temporales.
Medidas de seguridad de la red
La seguridad de red permite gestionar y controlar el acceso desde los dispositivos finales a las redes corporativas, garantizando que solo puedan conectarse los dispositivos autorizados y que cumplan con los requisitos.
Secure
Aplica políticas que protegen la conexión desde los dispositivos finales hasta la red, como cortafuegos, VPN seguras para el acceso remoto y privilegios basados en roles para acceder a archivos y datos.
Segmentación de redes
Separa los dispositivos BYOD de los segmentos críticos de la red de la empresa. Al aislar el tráfico BYOD, en caso de que algún dispositivo se vea comprometido, los atacantes no tendrían acceso a otras partes sensibles de la red.
Auditorías y seguimiento periódicos
Ofrece visibilidad de todos los dispositivos conectados, lo que permite una supervisión continua de la actividad de la red. Mediante la realización de evaluaciones periódicas de vulnerabilidades, las organizaciones pueden identificar de forma proactiva anomalías y brechas de seguridad.
Buenas prácticas para la seguridad del BYOD
Formación y sensibilización de los empleados
Sesiones de entrenamiento regulares
Formar a los empleados en las mejores prácticas de seguridad en el ámbito del BYOD, como el uso adecuado de las contraseñas, la configuración de seguridad de los dispositivos, los hábitos de navegación seguros y la prevención de las últimas ciberamenazas.
Simulaciones de phishing
Realizar ataques de phishing simulados para evaluar la concienciación de los usuarios, ayudando a los empleados a reconocer y responder ante los intentos de phishing.
Planificación de la respuesta ante incidentes
Elaboración de un plan de respuesta ante incidentes
Define funciones y responsabilidades, identifica las posibles consecuencias y establece las medidas que deben adoptarse antes, durante y después de un incidente de seguridad relacionado con el BYOD. Un plan de respuesta integral incluye una cadena de mando clara, desde el equipo de seguridad hasta las demás partes interesadas, así como protocolos de comunicación para mitigar las consecuencias de un incidente de seguridad.
Mantener un enfoque integral
La política BYOD ofrece importantes ventajas a las organizaciones, como una mayor satisfacción de los empleados gracias a la flexibilidad y al equilibrio entre la vida laboral y personal, así como un ahorro de costes derivado de la reducción de la adquisición de dispositivos. No deben subestimarse los retos que conlleva, como el acceso no autorizado, el cumplimiento normativo y los puntos de entrada vulnerables para los autores de amenazas.
Las organizaciones que adoptan el modelo BYOD deben adoptar un enfoque integral que aborde los riesgos en todos los aspectos, desde el establecimiento de políticas formales y acuerdos de usuario hasta la aplicación de medidas de seguridad en los dispositivos finales y la impartición de formación para sensibilizar a los empleados. Mediante una ejecución exhaustiva y una mejora continua, las empresas pueden aprovechar al máximo las ventajas del modelo BYOD y, al mismo tiempo, adelantarse a las amenazas que se ciernen sobre su infraestructura organizativa.
Seguridad BYOD con OPSWAT MetaDefender IT AccessAccess™
Afrontar los retos del BYOD, MetaDefender IT Access es una plataforma unificada de gestión de la seguridad de los puntos finales que garantiza el cumplimiento de las normas de seguridad, la visibilidad y el control para los usuarios BYOD que acceden a los recursos de la empresa. Mediante la tecnología SDP perímetro definido por software), realiza comprobaciones exhaustivas del estado de los dispositivos, incluidas evaluaciones de riesgos y vulnerabilidades, y es capaz de detectar cerca de 10 000 aplicaciones de terceros. MetaDefender IT Access, basada en la filosofía ZTNA (acceso a la red de confianza cero), garantiza que solo las identidades autorizadas puedan acceder a la red, proporcionando un entorno de trabajo seguro sin obstaculizar los flujos de trabajo.
