Decálogo de recomendaciones de uso de dispositivos móviles

En el informe del CERT de Octubre de 2016 disponible aquí, se recoge el siguiente decálogo de recomendaciones de seguridad:

Decálogo de seguridad de los dispositivos móviles 

1. El dispositivo móvil debe de estar protegido mediante un código de acceso robusto asociado a la pantalla de bloqueo (o en su defecto, una huella dactilar digital). El código de acceso debe ser solicitado inmediatamente tras apagarse la pantalla, que debería de bloquearse automáticamente lo antes posible si no hay actividad por parte del usuario. No se debe dejar el dispositivo móvil desatendido sin bloquear.

2. Se debe hacer uso de las capacidades nativas de cifrado del dispositivo móvil con el objetivo de proteger todos los datos e información almacenados en el mismo.

3. El sistema operativo del dispositivo móvil debe estar siempre actualizado, al igual que todas las aplicaciones móviles (apps).

4. No conectar el dispositivo móvil a puertos USB desconocidos y no aceptar ninguna relación de confianza a través de USB si no se tiene constancia de estar conectando el dispositivo móvil a un ordenador de confianza.

5. Deshabilitar todos los interfaces de comunicaciones inalámbricas del dispositivo móvil (NFC, Bluetooth y BLE, Wi-Fi, servicios de localización, etc.) que no vayan a ser utilizados de forma permanente por parte del usuario. Deberían habilitarse únicamente cuando vayan a ser utilizados, y volver a deshabilitarse al finalizar su uso.

6. No conectar el dispositivo móvil a redes Wi-Fi públicas abiertas (o hotspots Wi-Fi) que no implementan ningún tipo de seguridad.

7. No instalar ninguna aplicación móvil (app) que no provenga de una fuente de confianza, como los mercados oficiales de apps (Google Play, App Store, etc.).

8. Se recomienda no otorgar permisos innecesarios o excesivos a las apps, limitando así los datos y la funcionalidad a la que éstas tendrán acceso.

9. Siempre que sea posible se debe hacer uso del protocolo HTTPS (mediante la inserción del texto "https://" antes de la dirección web del servidor a contactar). Nunca se debería aceptar un mensaje de error de certificado digital inválido.

10. Se deben realizar copias de seguridad (backups) periódicas, y preferiblemente automáticas, de todos los contenidos del dispositivo móvil que se desea proteger y conservar.

En el mismo informe se dan recomendaciones adicionales de interés, por lo que recomiendo su lectura más detallada.