1. La pantalla siempre bloqueada si no estamos usando el celular
El teléfono debe tener siempre activada la opción de bloqueo de pantalla y su desbloqueo debe estar siempre protegido mediante código de acceso o, si el dispositivo lo permite, mediante huella dactilar. Tendremos cuidado de no dejar nunca el celular sin bloquearlo y de no permitir, en la medida de lo posible, funcionalidades con la pantalla bloqueada. Se recomienda no mostrar contenido de notificaciones ni acceso a los controles rápidos. También se recomienda deshabilitar Google Assistant (o Now) en Android o Siri en iOS.
2. Cifrar el celular
Se recomienda utilizar las características de seguridad del propio dispositivo móvil para cifrar el contenido del móvil y no utilizar tarjetas de almacenamiento externas si no es posible el cifrado de las mismas. Si disponemos de un equipo con iOS (los equipos Apple) el cifrado estará activo si se ha establecido un código de acceso. En equipos Android debes acceder a Configuración > Seguridad > Encriptado, y seguir las indicaciones. En Android el cifrado de un dispositivo puede ser un proceso largo y no debe interrumpirse ya que se corre el riesgo de perder datos.
3. Sistema operativo y aplicaciones (Apps) siempre actualizados
La versión actualizada soluciona vulnerabilidades de seguridad y mejora la capacidad de no sufrir ataques en el dispositivo, sin embargo, debemos recordar que puede haber vulnerabilidades desconocidas o aún no solucionadas por el fabricante. Siempre debemos tener cuidado con enlaces extraños.
4. No conectar el celular a puertos USB desconocidos y no aceptar ninguna relación de confianza a través de USB sin asegurarnos de que el computador es de confianza
Los dispositivos móviles modernos nos piden establecer una relación de confianza la primera vez que los conectamos a un computador a través de USB. Para establecer esta relación es necesario desbloquear previamente el dispositivo móvil y confirmarla. La recomendación es no conectar el teléfono a puertos USB desconocidos y no aceptar ninguna relación de confianza a través de USB si no se tiene constancia de estar conectando el celular a un computador de confianza.
5. Deshabilitar las comunicaciones inalámbricas que no vayan a ser utilizados de forma permanente por parte del usuario
Los dispositivos móviles tienen diversos tipos de formas de comunicarse: NFC, que permite comunicaciones inalámbricas de corto alcance, Bluetooth, en sus distintas tecnologías, y Wi-Fi son las más comunes. La recomendación es no tenerlas habilitadas y hacerlo solo si se van a utilizar. También se recomienda no tener activada la localización.
6. No conectarse a redes Wi-Fi públicas abiertas (o hotspots Wi-Fi)
En una red pública abierta es posible para un atacante interceptar y manipular el tráfico, por lo que si se necesita usar una de estas redes la recomendación es hacerlo siempre utilizando un servicio de VPN que nos permita cifrar todo el tráfico que transmitamos sobre la red.
7. No instalar ninguna aplicación que no provenga de una fuente de confianza, como los mercados oficiales de Apps
No debemos instalar Apps que no provengan de una fuente de confianza como los mercados oficiales (Google Play, App Store). No se recomienda habilitar la funcionalidad que permite la instalación de apps desde repositorios de terceros, y desde luego no instalar nunca Apps desde fuentes de dudosa reputación, aunque estas sean gratuitas.
8. No otorgar permisos innecesarios o excesivos a las Apps
Las aplicaciones no disponen por defecto de acceso a los datos del teléfono, para acceder a los datos o a funciones debe solicitar permisos. Estos permisos se solicitarán en el momento de la instalación o cuando la App deba ejecutar una determinada funcionalidad. La recomendación es no otorgar permisos innecesarios o excesivos, para ello es necesario entender por qué una App pide un determinado permiso y que una App correcta de un fabricante serio debe explicar claramente los motivos por los que necesita un determinado permiso.
9. Siempre que sea posible se debe hacer uso del protocolo HTTPS y nunca se debe aceptar un mensaje de error de certificado digital inválido
Cuando utilizamos un navegador Web en un teléfono, independientemente del programa que utilicemos, depende de nosotros utilizar el protocolo HTTPS (poniendo “https://” antes de la dirección web) y no acceder a ninguna Web en la que el navegador web nos avise de un certificado digital inválido. Las principales Web disponen de página HTTPS y el navegador nos muestra un icono en la línea de la dirección web indicando que el sitio está verificado, si pulsamos sobre él nos informará de los datos de certificación del servidor Web.
10. Realizar copias de seguridad periódicas
Para evitar pérdidas de datos derivadas de averías, extravíos, robos o cualquier incidencia que haga imposible el acceso a los datos de nuestro celular, la única prevención posible es la realización de copias de seguridad.