Implementando iPhone e iPad DescripciÃ³n de seguridad - Apple

Seguridad del dispositivo 

• Contraseñas fuertes 

• Expiración de la contraseña 

• Historial de reutilización de la contraseña 

• Máximo de intentos fallidos 

• Ejecución inalámbrica de contraseñas 

• Interrupción progresiva de la contraseña 

Implementando iPhone e iPad 

Descripción de seguridad 

iOS, el sistema operativo del iPhone y el iPad, está basado en capas de seguridad. 

A través de él, el iPhone y el iPad pueden acceder de forma segura a los servicios 

corporativos y proteger datos importantes. iOS ofrece encriptación sólida para los datos 

en transmisión, métodos comprobados de autenticación para acceso a los servicios 

corporativos, y encriptación de hardware para todos los datos en reposo. iOS también 

brinda protección segura a través del uso de políticas de contraseña que pueden ser 

distribuidas y ejecutadas a través del aire. Además, si el dispositivo cae en las manos 

equivocadas, los usuarios y administradores de TI pueden iniciar un comando de borrado 

remoto para eliminar la información privada. 

Al considerar la seguridad de iOS para uso empresarial, es útil conocer lo siguiente: 

• Seguridad del dispositivo: métodos que previenen el uso no autorizado del dispositivo 

• Seguridad de datos: protección de los datos en reposo, incluso si el dispositivo está roto o perdido 

• Seguridad de la red: protocolos de red y encriptación de datos en transmisión 

• Seguridad de apps: base segura para plataformas en iOS 

Estas capacidades trabajan en conjunto para brindar una plataforma segura de 

informática móvil. 

Seguridad del dispositivo 

El establecimiento de políticas sólidas para acceder al iPhone y al iPad es fundamental 

para proteger la información corporativa. Las contraseñas de dispositivos son la primera 

línea de defensa contra el acceso no autorizado, y pueden ser configuradas y aplicadas de 

forma inalámbrica. Los dispositivos iOS usan la contraseña establecida por cada usuario 

para generar una clave de encriptación fuerte que protege aún más el correo y los datos 

sensibles de las aplicaciones en el dispositivo. Además, iOS brinda métodos seguros para 

configurar el dispositivo en un entorno empresarial con ajustes, políticas y restricciones 

específicas. Estos métodos ofrecen opciones flexibles para el establecimiento de un nivel 

estándar de protección para usuarios autorizados. 

Políticas de contraseñas 

Una contraseña en el dispositivo evita que los usuarios no autorizados accedan a los datos 

u obtengan acceso a ese dispositivo. iOS te permite seleccionar entre un amplio conjunto 

de requisitos de contraseñas para atender tus necesidades de seguridad, como períodos de 

tiempo de espera, fuerza de la contraseña y frecuencia de modificación de la contraseña. 

Son compatibles las siguientes políticas de contraseñas: 

• Solicitud de contraseña 

• Permiso de valor simple 

• Solicitud de valor alfanumérico 

• Extensión mínima de contraseña 

• Número mínimo de caracteres complejos 

• Período máximo de contraseña 

• Bloqueo automático 

• Historial de contraseñas 

• Período de gracia para bloqueo del dispositivo 

• Número máximo de intentos fallidos

Políticas y restricciones configurables 

compatibles: 

Funcionalidad de dispositivos 

• Instalación de apps 

• Uso de la cámara 

• Uso de FaceTime 

• Captura de pantalla 

• Sincronización automática durante la itinerancia 

• Uso del marcado por voz 

• Compras dentro de apps 

• Solicitud de la contraseña de la tienda para 

todas las compras 

• Juegos multijugadores 

• Agregado de amigos a Game Center 

Aplicaciones 

• Uso de YouTube 

• Uso de iTunes Store 

• Uso de Safari 

• Configuración de las preferencias de seguridad 

de Safari 

iCloud 

• Copias de seguridad 

• Sincronización de documentos y sincronización 

de valores clave 

• Uso de Fotos en streaming 

Seguridad y privacidad 

• Envío de datos de diagnóstico a Apple 

• Aceptación de certificados no confiables por 

parte del usuario 

• Ejecución de copias de seguridad encriptadas 

Calificaciones de contenido 

• Habilitación de música y podcasts explícitos 

• Definición de regiones de calificaciones 

• Definición de calificaciones de contenidos 

permitidos 

Ejecución de políticas 

Las políticas descritas pueden aplicarse al iPhone y al iPad de diversas maneras. Las 

políticas pueden ser distribuidas como parte de un perfil de configuración a instalar. 

Un perfil puede ser definido para que sólo sea posible borrarlo con una contraseña de 

administrador, o bloqueado en el dispositivo sin que pueda eliminarse sin borrar por 

completo todos los contenidos del dispositivo. Además, los ajustes de contraseñas pueden 

ser configurados de forma remota usando soluciones de administración de dispositivos 

móviles que pueden aplicar las políticas directamente al dispositivo. Esto permite que las 

políticas sean aplicadas y actualizadas sin interacción por parte del usuario. 

Alternativamente, si el dispositivo está configurado para acceder a una cuenta de 

Microsoft Exchange, las políticas de Exchange ActiveSync son aplicadas de forma 

inalámbrica en el dispositivo. Ten en cuenta que el conjunto disponible de políticas 

puede variar dependiendo de la versión de Exchange (2003, 2007 ó 2010). Consulta la 

guía de Exchange ActiveSync y dispositivos iOS para ver un detalle de las políticas para 

tu configuración específica. 

Configuración segura de dispositivos 

Los perfiles de configuración son archivos XML que contienen políticas de seguridad y 

restricciones, información de configuración de la VPN, ajustes de Wi-Fi, cuentas de correo 

y calendario, y credenciales de autenticación para que el iPhone y el iPad funcionen 

con los sistemas de tu empresa. La capacidad de establecer políticas de contraseñas, 

junto con los ajustes del dispositivo en un perfil de configuración, asegura que los 

dispositivos dentro de tu empresa estén configurados correctamente y de acuerdo con 

las normas de seguridad establecidas por tu organización. Además, ya que los perfiles 

de configuración pueden ser encriptados y bloqueados, los ajustes no pueden ser 

removidos, alterados o compartidos con otros. 

Los perfiles de configuración pueden ser firmados y encriptados. La firma de un perfil 

de configuración asegura que los ajustes no pueden ser alterados. La encriptación de un 

perfil de configuración protege los contenidos del perfil y sólo lo instala en el dispositivo 

para el cual fue creado. Los perfiles de configuración son encriptados usando CMS 

(Cryptographic Message Syntax, RFC 3852), compatible con 3DES y AES 128. 

La primera vez que distribuyes un perfil de configuración encriptado, lo instalas a través 

de sincronización por USB usando la herramienta de utilidad de configuración o de forma 

inalámbrica a través de Over-the-Air Enrollment. Además de estos métodos, la distribución 

posterior de perfiles de configuración encriptados puede ser realizada como adjuntos de 

correo electrónico, alojados en un sitio web accesible para los usuarios, o empujados al 

dispositivo a través de soluciones de administración de dispositivos móviles. 

Restricciones para dispositivos 

Las restricciones para dispositivos determinan las funcionalidades a las que los usuarios 

pueden acceder en el dispositivo. Por lo general, implican aplicaciones basadas en la 

red, como Safari, YouTube o el iTunes Store, pero las restricciones también pueden 

controlar funcionalidades como la instalación de aplicaciones o el uso de la cámara. 

Las restricciones para dispositivos te permiten configurar el dispositivo según tus 

necesidades, mientras permiten a los usuarios usar el dispositivo de manera consistente 

con las prácticas de tu negocio. Las restricciones pueden ser configuradas manualmente 

en cada dispositivo, aplicadas con un perfil de configuración o establecidas de 

forma remota con soluciones de administración de dispositivos móviles. Además, las 

restricciones para la cámara y la navegación web pueden aplicarse de forma inalámbrica 

a través de Microsoft Exchange Server 2007 y 2010. 

Además de establecer restricciones y políticas en el dispositivo, la aplicación iTunes 

puede ser configurada y controlada por el área de TI. Esto incluye deshabilitar el acceso 

al contenido explícito, definir qué usuarios de servicios de red pueden acceder dentro de 

iTunes, y si hay nuevas actualizaciones de software para instalar. Para más información, 

consulta Implementar iTunes en dispositivos iOS. 

2

Seguridad de los datos 

• Encriptación de hardware 

• Protección de datos 

• Borrado remoto 

• Borrado local 

• Perfiles de configuración encriptados 

• Copias de seguridad de iTunes encriptadas 

Intervalo progresivo de contraseña 

El iPhone y el iPad pueden ser configurados 

para iniciar automáticamente un borrado 

después de varios intentos fallidos de ingreso 

de la contraseña. Si un usuario ingresa varias 

veces la contraseña incorrecta, iOS se inhabilitará 

por intervalos cada vez más largos. Luego 

de muchos intentos fallidos, se borrarán todos 

los datos y ajustes del dispositivo. 

Seguridad de los datos 

Proteger los datos almacenados en el iPhone y el iPad es importante para cualquier 

entorno con un alto nivel de información confidencial corporativa o del cliente. Además 

de encriptar datos en la transmisión, el iPhone y el iPad permiten la encriptación de 

hardware para los datos almacenados en el dispositivo, y la encriptación adicional de 

datos de correos y aplicaciones con una mejor protección de datos. 

Si un dispositivo se pierde o es robado es importante desactivar y borrar el dispositivo. 

También, es una buena idea tener una política que borre el dispositivo después de un 

número definido de intentos fallidos de ingreso de la contraseña, un impedimento 

clave contra los intentos de obtener acceso no autorizado al dispositivo. 

Encriptación 

El iPhone y el iPad ofrecen encriptación basada en el hardware. La encriptación 

de hardware usa codificación AES de 256 bits para proteger todos los datos en el 

dispositivo. La encriptación está siempre activa y no puede ser deshabilitada por los 

usuarios. 

Además, es posible encriptar los datos de las copias de seguridad de iTunes en la 

computadora de un usuario. Esto puede ser activado por el usuario o ejecutado 

mediante los ajustes de las restricciones del dispositivo en los perfiles de configuración. 

iOS es compatible con S/MIME en el correo, lo que permite al iPhone y al iPad ver y 

enviar mensajes de correo electrónico encriptados. Las restricciones también pueden 

ser usadas para evitar que los mensajes de correo sean movidos entre cuentas o los 

mensajes recibidos en una cuenta sean reenviados desde otra. 

Protección de datos 

Gracias a las capacidades de encriptación de hardware del iPhone y el iPad, los 

mensajes y adjuntos de correo electrónico almacenados en el dispositivo pueden ser 

protegidos con las funcionalidades de protección de datos de iOS. La protección de 

datos usa la contraseña de dispositivo de cada usuario, junto con la encriptación de 

hardware en el iPhone y el iPad, para generar una sólida clave de encriptación. Esta 

clave evita el acceso a los datos cuando el dispositivo está bloqueado, garantizando 

que la información crítica esté protegida incluso si el dispositivo se ve comprometido. 

Para activar la funcionalidad de protección de datos, sólo tienes que establecer 

una contraseña en el dispositivo. La efectividad de la protección de datos depende 

de una contraseña fuerte, por lo que es importante exigir e implementar una 

contraseña mayor a cuatro dígitos a la hora de establecer sus políticas de contraseña 

corporativas. Los usuarios pueden verificar que la protección de datos esté habilitada 

en tu dispositivo mirando la pantalla de ajustes de la contraseña. Las soluciones de 

administración de dispositivos móviles también pueden consultar el dispositivo para 

obtener esta información. Estas API de protección de datos también están disponibles 

para desarrolladores, y pueden ser usadas para proteger los datos de aplicaciones 

internas o comerciales en la empresa. 

Borrado remoto 

iOS permite el borrado remoto. Si un dispositivo se pierde o es robado, el 

administrador o dueño del dispositivo puede iniciar un comando de borrado remoto 

que elimina todos los datos y desactiva el dispositivo. Si el dispositivo está configurado 

con una cuenta de Exchange, el administrador puede iniciar un comando de borrado 

remoto con la consola de administración de Exchange (Exchange Server 2007) o la 

herramienta web de administración móvil de Exchange ActiveSync (Exchange Server 

2003 ó 2007). Los usuarios de Exchange Server 2007 también pueden iniciar comandos 

de borrado remoto directamente a través de Outlook Web Access. Los comandos de 

borrado remoto también pueden ser iniciados por las soluciones de administración de 

dispositivos móviles, incluso si los servicios corporativos de Exchange no están en uso. 

3

Seguridad de red 

• Cisco IPSec, L2TP, PPTP VPN integrados 

• VPN SSL vía apps del App Store 

• SSL/TLS con certificados X.509 

• WPA/WPA2 Enterprise con autenticación 

802.1x basada en certificados 

• RSA SecurID, CRYPTOCard 

Protocolos de VPN 

• Cisco IPSec 

• L2TP/IPSec 

• PPTP 

• VPN SSL 

Métodos de autenticación 

• Contraseña (MSCHAPv2) 

• RSA SecurID 

• CRYPTOCard 

• Certificados digitales x.509 

• Secreto compartido 

Protocolos de autenticación 802.1x 

• EAP-TLS 

• EAP-TTLS 

• EAP-FAST 

• EAP-SIM 

• PEAP v0, v1 

• LEAP 

Formatos de certificados compatibles 

iOS es compatible con los certificados X.509 

con claves RSA. Se reconocen las extensiones 

de archivos .cer, .crt y .der. 

Borrado local 

Los dispositivos también pueden ser configurados para iniciar automáticamente un 

borrado local después de varios intentos fallidos de ingreso de la contraseña. Esto protege 

contra los intentos forzados de obtener acceso al dispositivo. Cuando se establece una 

contraseña, los usuarios pueden habilitar el borrado local directamente desde los ajustes. 

Por defecto, iOS borrará automáticamente el dispositivo luego de 10 intentos fallidos. 

Al igual que con otras políticas de contraseña, el número máximo de intentos fallidos 

es establecido a través de un perfil de configuración, un servidor de administración 

de dispositivos móviles o, de forma inalámbrica, con políticas de Microsoft Exchange 

ActiveSync. 

iCloud 

iCloud almacena música, fotos, apps, calendarios, documentos y mucho más, y los actualiza 

automáticamente en todos los dispositivos del usuario. iCloud también hace copias de 

seguridad de la información, como ajustes del dispositivo, datos de apps, y mensajes 

de texto y MMS, todos los días a través de Wi-Fi. iCloud protege tu contenido, ya que lo 

encripta cuando se envía por Internet, lo almacena en un formato cifrado y usa tokens de 

seguridad para la autenticación. Además, las funcionalidades de iCloud, como Fotos en 

streaming, sincronización de documentos y copias de seguridad, pueden ser deshabilitadas 

mediante un perfil de configuración. Para más información sobre la seguridad y privacidad 

de iCloud, visita http://support.apple.com/kb/HT4865?viewlocale=es_ES. 

Seguridad de red 

Los usuarios móviles deben poder acceder a las redes de información corporativa desde 

cualquier lugar del mundo. Sin embargo, es importante garantizar que los usuarios 

estén autorizados y que sus datos estén protegidos durante la transmisión. iOS ofrece 

tecnologías comprobadas para lograr estos objetivos de seguridad, tanto para conexiones 

Wi-Fi como de redes celulares. 

Además de la infraestructura existente, cada sesión de FaceTime y la conversación 

de iMessage es encriptada de punta a punta. iOS crea un ID único para cada usuario, 

asegurando que las comunicaciones estén encriptadas, dirigidas y conectadas 

correctamente. 

VPN 

Muchos entornos empresariales tienen algún tipo de red privada virtual (VPN) establecida. 

Estos servicios de redes seguras ya están implementados y, por lo general, requieren una 

configuración mínima para funcionar con el iPhone y el iPad. 

Apenas lo sacas de la caja, iOS se integra con una amplia gama de tecnologías VPN usadas 

habitualmente a través del soporte de Cisco IPSec, L2TP y PPTP. iOS es compatible con 

SSL VPN a través de aplicaciones de Juniper, Cisco y F5 Networks. El soporte para esos 

protocolos garantiza el más alto nivel de encriptación basada en IP para la transmisión 

de información sensible. Además de permitir el acceso seguro a los entornos de VPN, 

iOS ofrece métodos comprobados para la autenticación del usuario. Con la autenticación 

a través de certificados digitales x.509 estándar, los usuarios pueden acceder mejor a 

los recursos de la compañía y es una alternativa viable al uso de tokens basados en el 

hardware. Además, con la autenticación de certificados, iOS puede usar VPN On Demand, 

para que el proceso de autenticación de VPN sea transparente, mientras brinda fuertes 

credenciales de acceso a los servicios de red. Para entornos empresariales que requieren 

un token de dos factores, iOS se integra con RSA SecurID y CRYPTOCard. 

iOS es compatible con la configuración proxy de red, así como con la división de tunneling 

IP, para que el tráfico a los dominios de redes públicas o privadas sea transmitido de 

acuerdo con las políticas específicas de tu compañía. 

4

Seguridad de las apps 

• Protección del tiempo de ejecución 

• Firma obligatoria del código 

• Servicios de llavero 

• API de CommonCrypto 

• Protección de datos de aplicaciones 

SSL/TLS 

iOS es compatible con SSL v3, así como con Transport Layer Security (TLS v1.0, 1.1 y 1.2), el 

estándar de seguridad de última generación para Internet. Safari, Calendario, Mail y otras 

aplicaciones de Internet inician automáticamente estos mecanismos para habilitar un 

canal de comunicación encriptado entre iOS y los servicios corporativos. 

WPA/WPA2 

iOS es compatible con WPA2 Enterprise para brindar acceso autenticado a la red 

inalámbrica de tu empresa. WPA2 Enterprise emplea encriptación AES de 128 bits, para 

que los usuarios puedan obtener el mayor nivel de seguridad respecto que sus datos 

permanecerán protegidos a la hora de enviar y recibir comunicaciones a través de una 

conexión de red Wi-Fi. Además, con el soporte para 802.1x, el iPhone y el iPad pueden ser 

integrados en una amplia gama de entornos de autenticación RADIUS. 

Seguridad de las apps 

iOS es diseñado con la seguridad en su núcleo. Incluye un método “aislado” para la protección 

del tiempo de ejecución de las aplicaciones y requiere la firma de la aplicación para garantizar 

que las aplicaciones no pueden ser alteradas. iOS también tiene una estructura segura que 

facilita el almacenamiento seguro de credenciales de servicios de red y aplicaciones en un 

llavero encriptado. Para los desarrolladores, ofrece una arquitectura común de encriptación 

que puede ser usada para encriptar los datos de aplicaciones almacenados. 

Protección del tiempo de ejecución 

Las aplicaciones en el dispositivo están “aisladas”, para que no puedan acceder a datos 

almacenados por otras aplicaciones. Además, los archivos del sistema, los recursos y el 

núcleo están protegidos desde el espacio de la aplicación del usuario. Si una aplicación 

necesita acceder a los datos de otra aplicación, sólo puede hacerlo a través de las API y los 

servicios provistos por iOS. También se evita la generación de código. 

Firma obligatoria del código 

Todas las aplicaciones de iOS deben estar firmadas. Las aplicaciones provistas con el 

dispositivo están firmadas por Apple. Las aplicaciones de terceros están firmadas por el 

desarrollador mediante un certificado emitido por Apple. Esto garantiza que las aplicaciones 

no han sido manipuladas o alteradas. Además, se realizan controles del tiempo de ejecución 

para garantizar que una aplicación sigue siendo confiable desde la última vez que se utilizó. 

El uso de aplicaciones personalizadas o internas puede ser controlado con un perfil de 

aprovisionamiento. Los usuarios deben tener el perfil de aprovisionamiento instalado 

para ejecutar la aplicación. Los perfiles de aprovisionamiento pueden ser instalados o 

revocados de forma inalámbrica usando soluciones de administración de dispositivos 

móviles. Los administradores también pueden restringir el uso de una aplicación a 

dispositivos específicos. 

Esquema seguro de autenticación 

iOS ofrece llaveros seguros y encriptados para almacenar las identidades digitales, 

los nombres de usuario y las contraseñas. Los datos del llavero son divididos para 

evitar el acceso a las credenciales almacenadas por aplicaciones de terceros desde 

aplicaciones con una identidad diferente. Esto proporciona el mecanismo para proteger 

las credenciales de autenticación en el iPhone y el iPad a través de una amplia gama de 

aplicaciones y servicios dentro de la empresa. 

Arquitectura Common Crypto 

Los desarrolladores de aplicaciones tienen acceso a las API de encriptación, que pueden 

usar para proteger aún más los datos de sus aplicaciones. Los datos pueden ser encriptados 

métricamente empleando métodos comprobados, tales como AES, RC4 o 3DES. Además, 

el iPhone y el iPad ofrecen aceleración de hardware para encriptación AES y hash SHA1, 

maximizando el desempeño de las aplicaciones. 

5

Protección de los datos de las aplicaciones 

Las aplicaciones también pueden emplear la encriptación de hardware incluida en 

el iPhone y el iPad para proteger aún más los datos sensibles de las aplicaciones. 

Los desarrolladores pueden designar a archivos específicos para la protección 

de datos, dando instrucciones al sistema para que el contenido del archivo sea 

criptográficamente inaccesible para la aplicación y para cualquier intruso potencial 

cuando se bloquea el dispositivo. 

Apps administradas 

Un servidor MDM puede administrar apps de terceros en el App Store, así como apps 

internas de la empresa. La designación de una app como administrada permite que el 

servidor especifique si la app y sus datos pueden ser eliminados del dispositivo por el 

servidor MDM. Además, el servidor puede evitar que los datos de la app administrada 

sean respaldados en iTunes e iCloud. Así, el área de TI puede administrar apps que 

pueden contener información confidencial de la empresa con más control que con las 

apps descargadas directamente por el usuario. 

Para instalar una app administrada el servidor MDM envía un comando de 

instalación al dispositivo. Las apps administradas requieren la aceptación del usuario 

antes de ser instaladas. 

Dispositivos revolucionarios y completamente seguros 

El iPhone y el iPad ofrecen protección encriptada de los datos en tránsito, en reposo e 

incluidos en las copias de seguridad de iCloud e iTunes. Si un usuario está accediendo 

al correo electrónico corporativo, visitando un sitio web privado o autenticando su 

ingreso a la red corporativa, iOS garantiza que únicamente los usuarios autorizados 

puedan acceder a la información corporativa sensible. Además, con su soporte para 

redes de nivel empresarial y métodos completos para prevenir la pérdida de datos, 

puedes implementar los dispositivos iOS con la confianza de que estás implementando 

la mejor protección de datos y seguridad para dispositivos móviles. 

© 2012 Apple Inc. Todos los derechos reservados. Apple, el logo de Apple logo, FaceTime, iPad, iPhone, iTunes y Safari son marcas 

comerciales de Apple Inc., registradas en los EE.UU. y en otros países. iCloud e iTunes Store son marcas de servicio de Apple Inc., 

registradas en los EE.UU. y en otros países. App Store es marca de servicio de Apple Inc. Otros nombres de productos y compañías 

mencionados aquí pueden ser marcas registradas de sus respectivas compañías. Las especificaciones de productos están sujetas a 

cambios sin previo aviso. Marzo de 2012 

6

Implementando iPhone e iPad DescripciÃ³n de seguridad - Apple

¡Convierta sus PDFs en revista en línea y aumente sus ingresos!

Delete template?

Save as template ?