Las preguntas más frecuentes durante mis sesiones de formación giran en torno a la privacidad de los dispositivos, en varios casos de los dispositivos supervisados. Un dispositivo supervisado es un dispositivo que una empresa o institución cede a los empleados y sobre el que ejerce cierto grado de control, desde instalar actualizaciones a distancia a forzar el uso de un servicio de correo corporativo concreto o a impedir, por ejemplo, que los estudiantes usen su iPad para descargar juegos.
Cuando una empresa o una escuela tiene cientos o miles de dispositivos “prestados” es natural que quiera poder gestionarlos, localizarlos, actualizarlos y, en general, asegurarse de que funcionan adecuadamente en el entorno para el que está pensado su uso. De la misma forma es natural que los usuarios de estos dispositivos tengan preguntas sobre la privacidad de sus datos.
¿Qué es un dispositivo MDM?
Un dispositivo MDM es un dispositivo que esta inscrito en lo que llamamos Mobile Device Management o Manejo de Dispositivos Móviles. Una plataforma que Apple pone a disposición del equipo técnico de una empresa o institución para gestionar los diferentes dispositivos inscritos. Con ello se puede actuar sobre todos a la vez sin tener que actuar físicamente en cada uno de ellos.
Supervisado o no supervisado
Lo primero, antes de empezar, es determinar si el dispositivo que está inscrito en el MDM está o no supervisado. Es realmente sencillo identificar un dispositivo supervisado ya que, cuando entramos en la app Ajustes, en la parte superior, aparece el siguiente mensaje: Este iPhone está supervisado y gestionado por [X]. Es importante saber que, de forma predeterminada, los dispositivos no se inscriben como supervisados. Además, si no lo está hace falta borrarlo por completo y volver a configurarlo desde cero para que pase a estarlo.
¿Y por qué se usa la supervisión? Porque da a la empresa o institución un mayor control sobre sus dispositivos. Con la supervisión los administradores pueden, por ejemplo, impedir el uso de AirDrop, evitar las compras a través de la App Store, actualizar aplicaciones o filtrar el uso de Safari.
Si el dispositivo en cuestión está supervisado abriremos Ajustes > General > Perfiles y Supervisión del dispositivo para ver exactamente qué cambios (respecto a la configuración de fábrica) a hecho la empresa. Aunque un dispositivo supervisado es mucho más accesible por parte del equipo técnico de la empresa, en ambos casos este acceso no es a los datos, si no a la habilidad de poner restricciones a lo que podemos hacer con el dispositivo.
¿Puede mi empresa rastrear mi ubicación?
La pregunta estrella de los usuarios de un iPhone corporativo. Su respuesta tiene tres partes.
- Si nos conectamos al Wi-Fi de la empresa el departamento técnico puede saber que lo hemos hecho y desde qué punto de acceso.
- Si la empresa dispone de capacidades de rastreo de dispositivos a través de las redes móviles pueden (igual que las empresas de telefonía) localizar el dispositivo cuando no esté en Modo Avión.
- El acceso a la ubicación exacta solo es posible cuando el dispositivo se pone en modo perdido (y deja de ser utilizable) y eso solo puede hacerse en dispositivos supervisados igual que nosotros haríamos con la app Buscar.
¿Puede mi empresa leer mis iMessages?
No. Los SMS y los mensajes de iMessage nunca son visibles en ningún momento para nadie. Puede verse es el número de mensajes enviados o recibidos, pero nunca a quién se envían ni el contenido de los mismos. Cabe recalcar que los mensajes de SMS (no de iMessage) pueden obtenerse por medio de la operadora que nos de servicio, pero esto ya es algo que escapa a Apple o a la app Mensajes.
El uso de Mensajes, por otro lado, puede estar desactivado por completo. Además conviene tener presente que si la empresa nos solicita el dispositivo, simplemente desbloqueándolo, verá los mensajes enviados, pero nunca de forma remota.
¿Puede mi empresa ver mis fotos de la app Fotos?
Igual que en iMessage no hay ningún protocolo de MDM para ver, modificar o eliminar ninguna foto de la app Fotos (incluyendo las fotos en iCloud). El departamento técnico solamente puede ver cuántas fotos contiene el dispositivo o desactivar funciones como fotos en iCloud (útil cuando se usa un Apple ID gratuita con un límite de 5GB de almacenamiento).
Tengamos presente que las apps de terceros que solicitan Acceso a Fotos tienen acceso libre a todos los contenidos, así como sus ubicaciones, y pueden hacer con ellas lo que les plazca.
¿Puede mi empresa leer el correo de mi cuenta personal?
Tanto si usamos Safari como la app Mail para acceder a nuestro correo, el departamento técnico puede saber que lo hemos hecho pero en ningún momento leer qué hemos recibido o enviado. En el caso de la app Mail podemos encontrar restringida la opción de añadir cuentas personales.
¿Puede mi empresa controlar remotamente mi dispositivo?
En iOS o iPad OS no. En el Mac hay algunas opciones de control, pero siempre con un aviso previo de que el dispositivo está siendo controlado remotamente. En los Mac, el departamento técnico puede usar algunas herramientas más agresivas para controlar la máquina. Apple no provee ninguna API oficial para ello. Como norma general, si el Mac es nuestro, nunca deberíamos permitir instalar nada más que un perfil MDM.
¿Puede mi empresa ver el historial de navegación?
Usando MDM no. Solamente puede impedir el acceso a ciertas páginas web. Por otra parte puede forzar el uso de un VPN corporativo que sí puede monitorizar el tráfico desde la red de la empresa.
Más privacidad de la que podría parecer
Las herramientas de MDM sirven para configurar y gestionar el dispositivo, no para controlarlo y menos para acceder a los datos que contiene. Apple siempre ha cuidado y sigue cuidando la privacidad de los usuarios y el diseño de sus herramientas MDM es prueba de ello.
En el caso de iOS las políticas MDM son estrictas porque el ecosistema es más cerrado. En Mac, la capacidad de instalar cualquier aplicación o hacer modificaciones en el sistema da margen para utilizar herramientas no oficiales que no siguen las políticas de privacidad de Apple.
Recordemos eliminar del dispositivo todas las cuentas personales con las que hayamos podido iniciar sesión antes de dejarlo al departamento técnico para una reparación o devolución. Hecho esto, y con todo lo que hemos expuesto, podemos estar tranquilos, pues tenemos mucha más privacidad de la que podría parecer.
