Seguridad y privacidad en dispositivos iOS/iPadOS

ACTUALIZADOS: 21 marzo 2023

Buenas, mi nombre es Pablo F. Iglesias, autor de la página www.pabloyglesias.com y CEO de la consultora CyberBrainers, desde la que ayudamos a personas y empresas a mejorar su presencia digital y reputación online.

En este segundo artículo para DetectivesPrive.com quería hablar sobre la seguridad y privacidad en dispositivos iOS/iPadOS. Un tema que trato en profundidad en el Curso de Seguridad y Privacidad en Internet.

En el primero hablamos precisamente sobre la seguridad y privacidad en dispositivos Android, y ahora toca hacer lo propio con el segundo sistema operativo móvil por cuota de mercado.

Por ello, vamos a volver a hablar un poco de historia, comprendiendo qué tenemos metido en nuestro bolsillo, y qué impacto puede tener a nivel de privacidad y seguridad.

¡Empezamos!

Seguridad y privacidad ios

El éxito del control absoluto de toda la cadena

En el artículo anterior hacia hincapié en la ideosincrasia del sistema operativo de Google, cuyo modelo de negocio está basado en la explotación de los datos con sus apps y una política de software libre que les ha permitido crecer tantísimo en tan poco tiempo, siendo a día de hoy el sistema operativo mayoritario en derroteros móviles.

Apple sin embargo sigue manteniendo alrededor de un 20% de cuota de mercado mundial, que no está para nada mal considerando que ellos controlan casi por completo la cadena de desarrollo y distribución de sus productos. Es decir, que ya no solo se encargan de diseñar el sistema operativo, sino también el propio dispositivo, e incluso de hacerlo llegar al cliente final mediante sus tiendas físicas.

Y precisamente esto es lo que hace de iOS/iPadOS (y de MacOS) una gran apuesta para aquellos que quieren algo que simplemente funciona, y que para colmo lo hace muy bien.

Al igual que ocurría en el escritorio, iOS, y su versión para iPad, iPadOS, apuesta por el control absoluto de la experiencia de usuario. Con un iPhone o un iPad puedes hacer únicamente lo que Apple entiende que un usuario debería poder hacer. En un iPhone o un iPad que no esté jailbreakeado, únicamente vas a poder instalar aplicaciones que han pasado los controles de Apple. Y puesto que el negocio de Apple es vender productos, y para colmo Google es su competencia directa, se han permitido el lujo de remar en contra de la industria anteponiendo muy acertadamente la seguridad y privacidad en su ecosistema.

Solo hay una única versión de iOS. Nada de capas de personalización. Solo hay en el mercado unos pocos dispositivos de la manzanita. Ergo un catálogo muy inferior a lo que encontramos en Android, y además depende únicamente de una sola compañía, con unos requisitos de seguridad y privacidad unitarios. Menos vectores de ataque, por tanto, más facilidad para controlarlo todo.

La estrategia que ya comentamos en anteriores módulos del Curso de apostar por los mínimos permisos para el día a día. No tiene sentido que un usuario tenga permisos de administración, así que no los vas a tener en iOS/iPadOS (y sin jailbreak, no los va a poder conseguir nunca, de hecho), minimizando así enormemente el riesgo y los vectores de ataque.

Y en este caso no hay disclaimer que valga. Como solo existe un único sistema operativo que es igual para todos, y unos dispositivos específicos, los pantallazos que ponga por aquí únicamente estarán supeditados a los cambios en la estructura y distribución de menús que Apple quiera proponer para futuras versiones de SO.

Unos pantallazos que, por cierto, me ha pasado un amigo (gracias Jorge), habida cuenta de que un servidor prefería hacerlo con los menús del iPhone y no del iPad, que es el dispositivo móvil de la manzanita que tengo.

¡Vamos a ello!

Privacidad en iOS

La primera ventaja de iOS frente a Android es su facilidad de uso. Toda posible configuración la vamos a encontrar dentro del panel de Ajustes.

En cada aplicación puede haber, no obstante, algún tipo de parametrización extra, pero Apple obliga a los desarrolladores a que ofrezcan las más importantes dentro de Ajustes. Y aunque éstos no lo hagan, puesto que los permisos se pueden gestionar también desde este panel, en la práctica tenemos en un mismo sitio prácticamente todo lo que vamos a necesitar para gestionar la privacidad y seguridad de nuestro dispositivo.

Empezando, por tanto, con el apartado de Cuentas y contraseñas, en el que podremos volver a revisar todas las configuraciones que ya hemos realizado con nuestra cuenta de iCloud, y de paso, con el resto de cuentas asociadas al dispositivo: Acceso a aplicaciones y permisos, ámbito de uso, borrado o modificación de cuentas…

Privacidad en iOS

iOS, por cierto, funciona bajo el paradigma del sandboxing. Esto quiere decir que cada aplicación opera en un entorno en el que solo existe ella, y para ponerse en contacto con otra aplicación, o con un servicio del sistema operativo, necesita pedirle al SO los permisos. Lo que a su vez es una putada a nivel de usabilidad (¿cuántas veces te has encontrado con que no puedes enviar tal archivo a otra aplicación?), y un acierto a nivel de control de seguridad y privacidad.

Sabedores de esto, la siguiente parada debería ser obvia: Apartado de Privacidad.

En este menú nos aparecerá todo lo referente a la gestión de privacidad de nuestro dispositivo, con las aplicaciones que hagan uso de alguna funcionalidad específica.

¿Qué tenemos que fijarnos de aquí? Te recomendaría que entrases uno por uno en cada elemento del menú, considerando si quieres o no mantener esos permisos tal cual están.

En la mayoría, de hecho, lo mismo no tienes elementos que gestionar. Por ejemplo, en Calendarios solo te saldrán aquellas apps que hacen uso de las cuentas asociadas a los calendarios. Si no utilizas ninguna, no tendrás nada. Y así pasaría con Contactos, con Micrófono, con Reconocimiento de voz

La Localización es recomendable que la dejemos activa… por seguridad. Gracias a ella podremos realizar algunas funciones extra si el día de mañana extraviamos o nos roban el dispositivo. Eso sí, conviene revisar su apartado por ver qué aplicaciones están teniendo acceso a la misma, eliminando aquellas que quizás no nos interesa que lo tengan, o configurando otras para que solo tengan acceso al mismo cuando las estamos utilizando (nada de segundo plano).

Apartado de Privacidad

Touch ID y desbloqueo

La siguiente parada tiene como nombre «Touch ID y código», y nos va a permitir gestionar cómo se debería comportar esta funcionalidad de iOS.

Ya he profundizado en el blog sobre lo que representa Touch ID a nivel de privacidad y seguridad, así que no me alargo más. 

Básicamente, y como explico en el Módulo de Android del Curso, mejor utilizar huella dactilar que reconocimiento facial, y éste mejor que contraseña alfanumérica, y ésta mejor que PIN, y éste mejor que patrón de desbloqueo.

Pero una cosa está clara. Tienes que tener un sistema de desbloqueo, y que se active cada vez que vas a desbloquear el dispositivo y también cuando el dispositivo está inactivo.

Todo esto se configura en dicho apartado.

Además, yo prefiero que mientras el terminal está bloqueado no se pueda utilizar la amplia mayoría de servicios, empezando por Siri (cada poco aparece algún tipo de ataque que se basan en bypasear el sistema de bloqueo mediante comandos de voz), y siguiendo con el resto de los que aparecen en este apartado (¿de verdad necesitas ver las notificaciones, o acceder al centro de control del dispositivo, sin desbloquearlo?).

Emergencias y navegación

Nos falta, para terminar, revisar estas dos opciones.

En la primera podemos configurar qué información mostrará el terminal de forma pública. Muy útil si extraviamos el dispositivo… y también si por lo que sea perdemos el conocimiento en un lugar público.

Cualquier persona podría coger el dispositivo, mirar el apartado de emergencia (no hace falta desbloquearlo) y si lo hemos configurado, mostrar un teléfono de contacto alternativo, así como información crítica que podría salvarnos la vida (alergias, enfermedades…).

Además, y puesto que en iOS y también en su homólogo iPadOS el único motor de navegación que se permite utilizar es el de Safari (hay otros navegadores en la AppStore, pero todos hacen uso motor de Apple), también puede ser interesante desactivar dentro de Safari el seguimiento entre sitios y el rastreo.

De nuevo lo recalco. Apple no vive de esto, y además de ser algo que los usuarios valoramos positivamente, jodemos de paso a Google, que sí vive de la publicidad, y que es además su competidor directo. Así que es un win-win en toda regla para los chicos de Cupertino.

A todo esto habría que incluirle las medidas de seguridad y privacidad que ya todos conocemos, entre las que está el hacer uso de una VPN de pago o de control propio habilitada para conectarnos desde redes WiFi públicas.

Como ya te conté, en mi caso utilizo NordVPN, que ha sido considerada hasta el momento una de las más completas del mercado, pero en la práctica puedes utilizar cualquier servicio de VPN que sea de pago (los servicios gratuitos viven de traficar con los datos), o crearte tú mismo una VPN con la red de tu hogar.

Gracias a la VPN, toda conexión que hagas sale o entra de tu dispositivo cifrada, evitando así los típicos ataques de Man In the Middle, y los posibles envenenamientos de conexión.

Y con esto hemos cubierto con bastante profundidad todas las opciones principales que nos ofrece el sistema operativo móvil de Apple.

Volemos en unos días con otro tutorial. Hasta entonces… ¡Espero que éste te haya servido!

Y lo dicho. Si quieres recibir cada semana dos tutoriales como este para mejorar la seguridad y privacidad de tus cuentas y dispositivos conectados, te invito a apuntarte al Curso de Seguridad y Privacidad en Internet.

Un curso intensivo, con 8 lecciones impartidas en los 2 meses que dura (aunque tendrás en todo momento acceso al contenido anterior para revisarlo por si no puedes ir al día), donde repasarás todo lo que debes saber para estar bien protegido en la Red.

Y todo junto con regalos y descuentos en suites de seguridad que te harán la vida un poco más sencilla.

Sobre el autor

Pablo F. Iglesias

Experto en Ciberseguridad

Mi nombre es Pablo F. Iglesias, y soy, ante todo, un apasionado de la tecnología, con más de diez años de experiencia en el desarrollo, marketing y la ciberseguridad.

Me gano la vida como Consultor de Presencia Digital y Reputación Online, aunque también he trabajado para otros (I+D de Telefónica, Mozilla, BBVA…). De hecho soy el presidente de la Consultora de Reputación Online CyberBrainers, y en todo este tiempo he sido fundador, co-fundador, vocal y vicepresidente de varias startups y asociaciones relacionadas con el mundo de la ciberseguridad, la transformación digital y el marketing.