Implementando iPhone e iPad

Descripcin de seguridad

iOS, el sistema operativo del iPhone y el iPad, est basado en capas de seguridad.
A travs de l, el iPhone y el iPad pueden acceder de forma segura a los servicios
corporativos y proteger datos importantes. iOS ofrece encriptacin slida para los datos
en transmisin, mtodos comprobados de autenticacin para acceso a los servicios
corporativos, y encriptacin de hardware para todos los datos en reposo. iOS tambin
brinda proteccin segura a travs del uso de polticas de contrasea que pueden ser
distribuidas y ejecutadas a travs del aire. Adems, si el dispositivo cae en las manos
equivocadas, los usuarios y administradores de TI pueden iniciar un comando de borrado
remoto para eliminar la informacin privada.
Al considerar la seguridad de iOS para uso empresarial, es til conocer lo siguiente:
Seguridad del dispositivo: mtodos que previenen el uso no autorizado del dispositivo
Seguridad de datos: proteccin de los datos en reposo, incluso si el dispositivo est roto o perdido
Seguridad de la red: protocolos de red y encriptacin de datos en transmisin
Seguridad de apps: base segura para plataformas en iOS

Estas capacidades trabajan en conjunto para brindar una plataforma segura de

informtica mvil.
Seguridad del dispositivo
Contraseas fuertes
Expiracin de la contrasea
Historial de reutilizacin de la contrasea
Mximo de intentos fallidos
Ejecucin inalmbrica de contraseas
Interrupcin progresiva de la contrasea

Seguridad del dispositivo

El establecimiento de polticas slidas para acceder al iPhone y al iPad es fundamental
para proteger la informacin corporativa. Las contraseas de dispositivos son la primera
lnea de defensa contra el acceso no autorizado, y pueden ser configuradas y aplicadas de
forma inalmbrica. Los dispositivos iOS usan la contrasea establecida por cada usuario
para generar una clave de encriptacin fuerte que protege an ms el correo y los datos
sensibles de las aplicaciones en el dispositivo. Adems, iOS brinda mtodos seguros para
configurar el dispositivo en un entorno empresarial con ajustes, polticas y restricciones
especficas. Estos mtodos ofrecen opciones flexibles para el establecimiento de un nivel
estndar de proteccin para usuarios autorizados.
Polticas de contraseas
Una contrasea en el dispositivo evita que los usuarios no autorizados accedan a los datos
u obtengan acceso a ese dispositivo. iOS te permite seleccionar entre un amplio conjunto
de requisitos de contraseas para atender tus necesidades de seguridad, como perodos de
tiempo de espera, fuerza de la contrasea y frecuencia de modificacin de la contrasea.
Son compatibles las siguientes polticas de contraseas:
Solicitud de contrasea
Permiso de valor simple
Solicitud de valor alfanumrico
Extensin mnima de contrasea
Nmero mnimo de caracteres complejos
Perodo mximo de contrasea
Bloqueo automtico
Historial de contraseas
Perodo de gracia para bloqueo del dispositivo
Nmero mximo de intentos fallidos

Ejecucin de polticas
Las polticas descritas pueden aplicarse al iPhone y al iPad de diversas maneras. Las
polticas pueden ser distribuidas como parte de un perfil de configuracin a instalar.
Un perfil puede ser definido para que slo sea posible borrarlo con una contrasea de
administrador, o bloqueado en el dispositivo sin que pueda eliminarse sin borrar por
completo todos los contenidos del dispositivo. Adems, los ajustes de contraseas pueden
ser configurados de forma remota usando soluciones de administracin de dispositivos
mviles que pueden aplicar las polticas directamente al dispositivo. Esto permite que las
polticas sean aplicadas y actualizadas sin interaccin por parte del usuario.
Alternativamente, si el dispositivo est configurado para acceder a una cuenta de
Microsoft Exchange, las polticas de Exchange ActiveSync son aplicadas de forma
inalmbrica en el dispositivo. Ten en cuenta que el conjunto disponible de polticas
puede variar dependiendo de la versin de Exchange (2003, 2007 2010). Consulta la
gua de Exchange ActiveSync y dispositivos iOS para ver un detalle de las polticas para
tu configuracin especfica.
Configuracin segura de dispositivos
Polticas y restricciones configurables
compatibles:
Funcionalidad de dispositivos
Instalacin de apps
Uso de la cmara
Uso de FaceTime
Captura de pantalla
Sincronizacin automtica durante la itinerancia
Uso del marcado por voz
Compras dentro de apps
Solicitud de la contrasea de la tienda para
todas las compras
Juegos multijugadores
Agregado de amigos a Game Center
Aplicaciones
Uso de YouTube
Uso de iTunes Store
Uso de Safari
Configuracin de las preferencias de seguridad
de Safari
iCloud
Copias de seguridad
Sincronizacin de documentos y sincronizacin
de valores clave
Uso de Fotos en streaming
Seguridad y privacidad
Envo de datos de diagnstico a Apple
Aceptacin de certificados no confiables por
parte del usuario
Ejecucin de copias de seguridad encriptadas
Calificaciones de contenido
Habilitacin de msica y podcasts explcitos
Definicin de regiones de calificaciones
Definicin de calificaciones de contenidos
permitidos

Los perfiles de configuracin son archivos XML que contienen polticas de seguridad y
restricciones, informacin de configuracin de la VPN, ajustes de Wi-Fi, cuentas de correo
y calendario, y credenciales de autenticacin para que el iPhone y el iPad funcionen
con los sistemas de tu empresa. La capacidad de establecer polticas de contraseas,
junto con los ajustes del dispositivo en un perfil de configuracin, asegura que los
dispositivos dentro de tu empresa estn configurados correctamente y de acuerdo con
las normas de seguridad establecidas por tu organizacin. Adems, ya que los perfiles
de configuracin pueden ser encriptados y bloqueados, los ajustes no pueden ser
removidos, alterados o compartidos con otros.
Los perfiles de configuracin pueden ser firmados y encriptados. La firma de un perfil
de configuracin asegura que los ajustes no pueden ser alterados. La encriptacin de un
perfil de configuracin protege los contenidos del perfil y slo lo instala en el dispositivo
para el cual fue creado. Los perfiles de configuracin son encriptados usando CMS
(Cryptographic Message Syntax, RFC 3852), compatible con 3DES y AES 128.
La primera vez que distribuyes un perfil de configuracin encriptado, lo instalas a travs
de sincronizacin por USB usando la herramienta de utilidad de configuracin o de forma
inalmbrica a travs de Over-the-Air Enrollment. Adems de estos mtodos, la distribucin
posterior de perfiles de configuracin encriptados puede ser realizada como adjuntos de
correo electrnico, alojados en un sitio web accesible para los usuarios, o empujados al
dispositivo a travs de soluciones de administracin de dispositivos mviles.
Restricciones para dispositivos
Las restricciones para dispositivos determinan las funcionalidades a las que los usuarios
pueden acceder en el dispositivo. Por lo general, implican aplicaciones basadas en la
red, como Safari, YouTube o el iTunes Store, pero las restricciones tambin pueden
controlar funcionalidades como la instalacin de aplicaciones o el uso de la cmara.
Las restricciones para dispositivos te permiten configurar el dispositivo segn tus
necesidades, mientras permiten a los usuarios usar el dispositivo de manera consistente
con las prcticas de tu negocio. Las restricciones pueden ser configuradas manualmente
en cada dispositivo, aplicadas con un perfil de configuracin o establecidas de
forma remota con soluciones de administracin de dispositivos mviles. Adems, las
restricciones para la cmara y la navegacin web pueden aplicarse de forma inalmbrica
a travs de Microsoft Exchange Server 2007 y 2010.
Adems de establecer restricciones y polticas en el dispositivo, la aplicacin iTunes
puede ser configurada y controlada por el rea de TI. Esto incluye deshabilitar el acceso
al contenido explcito, definir qu usuarios de servicios de red pueden acceder dentro de
iTunes, y si hay nuevas actualizaciones de software para instalar. Para ms informacin,
consulta Implementar iTunes en dispositivos iOS.

Seguridad de los datos

Seguridad de los datos
Encriptacin de hardware
Proteccin de datos
Borrado remoto
Borrado local
Perfiles de configuracin encriptados
Copias de seguridad de iTunes encriptadas

Proteger los datos almacenados en el iPhone y el iPad es importante para cualquier

entorno con un alto nivel de informacin confidencial corporativa o del cliente. Adems
de encriptar datos en la transmisin, el iPhone y el iPad permiten la encriptacin de
hardware para los datos almacenados en el dispositivo, y la encriptacin adicional de
datos de correos y aplicaciones con una mejor proteccin de datos.
Si un dispositivo se pierde o es robado es importante desactivar y borrar el dispositivo.
Tambin, es una buena idea tener una poltica que borre el dispositivo despus de un
nmero definido de intentos fallidos de ingreso de la contrasea, un impedimento
clave contra los intentos de obtener acceso no autorizado al dispositivo.
Encriptacin
El iPhone y el iPad ofrecen encriptacin basada en el hardware. La encriptacin
de hardware usa codificacin AES de 256 bits para proteger todos los datos en el
dispositivo. La encriptacin est siempre activa y no puede ser deshabilitada por los
usuarios.
Adems, es posible encriptar los datos de las copias de seguridad de iTunes en la
computadora de un usuario. Esto puede ser activado por el usuario o ejecutado
mediante los ajustes de las restricciones del dispositivo en los perfiles de configuracin.
iOS es compatible con S/MIME en el correo, lo que permite al iPhone y al iPad ver y
enviar mensajes de correo electrnico encriptados. Las restricciones tambin pueden
ser usadas para evitar que los mensajes de correo sean movidos entre cuentas o los
mensajes recibidos en una cuenta sean reenviados desde otra.
Proteccin de datos

Intervalo progresivo de contrasea

El iPhone y el iPad pueden ser configurados
para iniciar automticamente un borrado
despus de varios intentos fallidos de ingreso
de la contrasea. Si un usuario ingresa varias
veces la contrasea incorrecta, iOS se inhabilitar por intervalos cada vez ms largos. Luego
de muchos intentos fallidos, se borrarn todos
los datos y ajustes del dispositivo.

Gracias a las capacidades de encriptacin de hardware del iPhone y el iPad, los

mensajes y adjuntos de correo electrnico almacenados en el dispositivo pueden ser
protegidos con las funcionalidades de proteccin de datos de iOS. La proteccin de
datos usa la contrasea de dispositivo de cada usuario, junto con la encriptacin de
hardware en el iPhone y el iPad, para generar una slida clave de encriptacin. Esta
clave evita el acceso a los datos cuando el dispositivo est bloqueado, garantizando
que la informacin crtica est protegida incluso si el dispositivo se ve comprometido.
Para activar la funcionalidad de proteccin de datos, slo tienes que establecer
una contrasea en el dispositivo. La efectividad de la proteccin de datos depende
de una contrasea fuerte, por lo que es importante exigir e implementar una
contrasea mayor a cuatro dgitos a la hora de establecer sus polticas de contrasea
corporativas. Los usuarios pueden verificar que la proteccin de datos est habilitada
en tu dispositivo mirando la pantalla de ajustes de la contrasea. Las soluciones de
administracin de dispositivos mviles tambin pueden consultar el dispositivo para
obtener esta informacin. Estas API de proteccin de datos tambin estn disponibles
para desarrolladores, y pueden ser usadas para proteger los datos de aplicaciones
internas o comerciales en la empresa.
Borrado remoto
iOS permite el borrado remoto. Si un dispositivo se pierde o es robado, el
administrador o dueo del dispositivo puede iniciar un comando de borrado remoto
que elimina todos los datos y desactiva el dispositivo. Si el dispositivo est configurado
con una cuenta de Exchange, el administrador puede iniciar un comando de borrado
remoto con la consola de administracin de Exchange (Exchange Server 2007) o la
herramienta web de administracin mvil de Exchange ActiveSync (Exchange Server
2003 2007). Los usuarios de Exchange Server 2007 tambin pueden iniciar comandos
de borrado remoto directamente a travs de Outlook Web Access. Los comandos de
borrado remoto tambin pueden ser iniciados por las soluciones de administracin de
dispositivos mviles, incluso si los servicios corporativos de Exchange no estn en uso.

Borrado local
Los dispositivos tambin pueden ser configurados para iniciar automticamente un
borrado local despus de varios intentos fallidos de ingreso de la contrasea. Esto protege
contra los intentos forzados de obtener acceso al dispositivo. Cuando se establece una
contrasea, los usuarios pueden habilitar el borrado local directamente desde los ajustes.
Por defecto, iOS borrar automticamente el dispositivo luego de 10 intentos fallidos.
Al igual que con otras polticas de contrasea, el nmero mximo de intentos fallidos
es establecido a travs de un perfil de configuracin, un servidor de administracin
de dispositivos mviles o, de forma inalmbrica, con polticas de Microsoft Exchange
ActiveSync.
iCloud
iCloud almacena msica, fotos, apps, calendarios, documentos y mucho ms, y los actualiza
automticamente en todos los dispositivos del usuario. iCloud tambin hace copias de
seguridad de la informacin, como ajustes del dispositivo, datos de apps, y mensajes
de texto y MMS, todos los das a travs de Wi-Fi. iCloud protege tu contenido, ya que lo
encripta cuando se enva por Internet, lo almacena en un formato cifrado y usa tokens de
seguridad para la autenticacin. Adems, las funcionalidades de iCloud, como Fotos en
streaming, sincronizacin de documentos y copias de seguridad, pueden ser deshabilitadas
mediante un perfil de configuracin. Para ms informacin sobre la seguridad y privacidad
de iCloud, visita http://support.apple.com/kb/HT4865?viewlocale=es_ES.
Seguridad de red
Cisco IPSec, L2TP, PPTP VPN integrados
VPN SSL va apps del App Store
SSL/TLS con certificados X.509
WPA/WPA2 Enterprise con autenticacin
802.1x basada en certificados
RSA SecurID, CRYPTOCard
Protocolos de VPN
Cisco IPSec
L2TP/IPSec
PPTP
VPN SSL
Mtodos de autenticacin
Contrasea (MSCHAPv2)
RSA SecurID
CRYPTOCard
Certificados digitales x.509
Secreto compartido
Protocolos de autenticacin 802.1x
EAP-TLS
EAP-TTLS
EAP-FAST
EAP-SIM
PEAP v0, v1
LEAP
Formatos de certificados compatibles
iOS es compatible con los certificados X.509
con claves RSA. Se reconocen las extensiones
de archivos .cer, .crt y .der.

Seguridad de red
Los usuarios mviles deben poder acceder a las redes de informacin corporativa desde
cualquier lugar del mundo. Sin embargo, es importante garantizar que los usuarios
estn autorizados y que sus datos estn protegidos durante la transmisin. iOS ofrece
tecnologas comprobadas para lograr estos objetivos de seguridad, tanto para conexiones
Wi-Fi como de redes celulares.
Adems de la infraestructura existente, cada sesin de FaceTime y la conversacin
de iMessage es encriptada de punta a punta. iOS crea un ID nico para cada usuario,
asegurando que las comunicaciones estn encriptadas, dirigidas y conectadas
correctamente.
VPN
Muchos entornos empresariales tienen algn tipo de red privada virtual (VPN) establecida.
Estos servicios de redes seguras ya estn implementados y, por lo general, requieren una
configuracin mnima para funcionar con el iPhone y el iPad.
Apenas lo sacas de la caja, iOS se integra con una amplia gama de tecnologas VPN usadas
habitualmente a travs del soporte de Cisco IPSec, L2TP y PPTP. iOS es compatible con
SSL VPN a travs de aplicaciones de Juniper, Cisco y F5 Networks. El soporte para esos
protocolos garantiza el ms alto nivel de encriptacin basada en IP para la transmisin
de informacin sensible. Adems de permitir el acceso seguro a los entornos de VPN,
iOS ofrece mtodos comprobados para la autenticacin del usuario. Con la autenticacin
a travs de certificados digitales x.509 estndar, los usuarios pueden acceder mejor a
los recursos de la compaa y es una alternativa viable al uso de tokens basados en el
hardware. Adems, con la autenticacin de certificados, iOS puede usar VPN On Demand,
para que el proceso de autenticacin de VPN sea transparente, mientras brinda fuertes
credenciales de acceso a los servicios de red. Para entornos empresariales que requieren
un token de dos factores, iOS se integra con RSA SecurID y CRYPTOCard.
iOS es compatible con la configuracin proxy de red, as como con la divisin de tunneling
IP, para que el trfico a los dominios de redes pblicas o privadas sea transmitido de
acuerdo con las polticas especficas de tu compaa.

SSL/TLS
iOS es compatible con SSL v3, as como con Transport Layer Security (TLS v1.0, 1.1 y 1.2), el
estndar de seguridad de ltima generacin para Internet. Safari, Calendario, Mail y otras
aplicaciones de Internet inician automticamente estos mecanismos para habilitar un
canal de comunicacin encriptado entre iOS y los servicios corporativos.
WPA/WPA2
iOS es compatible con WPA2 Enterprise para brindar acceso autenticado a la red
inalmbrica de tu empresa. WPA2 Enterprise emplea encriptacin AES de 128 bits, para
que los usuarios puedan obtener el mayor nivel de seguridad respecto que sus datos
permanecern protegidos a la hora de enviar y recibir comunicaciones a travs de una
conexin de red Wi-Fi. Adems, con el soporte para 802.1x, el iPhone y el iPad pueden ser
integrados en una amplia gama de entornos de autenticacin RADIUS.

Seguridad de las apps

Seguridad de las apps
Proteccin del tiempo de ejecucin
Firma obligatoria del cdigo
Servicios de llavero
API de CommonCrypto
Proteccin de datos de aplicaciones

iOS es diseado con la seguridad en su ncleo. Incluye un mtodo aislado para la proteccin
del tiempo de ejecucin de las aplicaciones y requiere la firma de la aplicacin para garantizar
que las aplicaciones no pueden ser alteradas. iOS tambin tiene una estructura segura que
facilita el almacenamiento seguro de credenciales de servicios de red y aplicaciones en un
llavero encriptado. Para los desarrolladores, ofrece una arquitectura comn de encriptacin
que puede ser usada para encriptar los datos de aplicaciones almacenados.
Proteccin del tiempo de ejecucin
Las aplicaciones en el dispositivo estn aisladas, para que no puedan acceder a datos
almacenados por otras aplicaciones. Adems, los archivos del sistema, los recursos y el
ncleo estn protegidos desde el espacio de la aplicacin del usuario. Si una aplicacin
necesita acceder a los datos de otra aplicacin, slo puede hacerlo a travs de las API y los
servicios provistos por iOS. Tambin se evita la generacin de cdigo.
Firma obligatoria del cdigo
Todas las aplicaciones de iOS deben estar firmadas. Las aplicaciones provistas con el
dispositivo estn firmadas por Apple. Las aplicaciones de terceros estn firmadas por el
desarrollador mediante un certificado emitido por Apple. Esto garantiza que las aplicaciones
no han sido manipuladas o alteradas. Adems, se realizan controles del tiempo de ejecucin
para garantizar que una aplicacin sigue siendo confiable desde la ltima vez que se utiliz.
El uso de aplicaciones personalizadas o internas puede ser controlado con un perfil de
aprovisionamiento. Los usuarios deben tener el perfil de aprovisionamiento instalado
para ejecutar la aplicacin. Los perfiles de aprovisionamiento pueden ser instalados o
revocados de forma inalmbrica usando soluciones de administracin de dispositivos
mviles. Los administradores tambin pueden restringir el uso de una aplicacin a
dispositivos especficos.
Esquema seguro de autenticacin
iOS ofrece llaveros seguros y encriptados para almacenar las identidades digitales,
los nombres de usuario y las contraseas. Los datos del llavero son divididos para
evitar el acceso a las credenciales almacenadas por aplicaciones de terceros desde
aplicaciones con una identidad diferente. Esto proporciona el mecanismo para proteger
las credenciales de autenticacin en el iPhone y el iPad a travs de una amplia gama de
aplicaciones y servicios dentro de la empresa.
Arquitectura Common Crypto
Los desarrolladores de aplicaciones tienen acceso a las API de encriptacin, que pueden
usar para proteger an ms los datos de sus aplicaciones. Los datos pueden ser encriptados
mtricamente empleando mtodos comprobados, tales como AES, RC4 o 3DES. Adems,
el iPhone y el iPad ofrecen aceleracin de hardware para encriptacin AES y hash SHA1,
maximizando el desempeo de las aplicaciones.

Proteccin de los datos de las aplicaciones

Las aplicaciones tambin pueden emplear la encriptacin de hardware incluida en
el iPhone y el iPad para proteger an ms los datos sensibles de las aplicaciones.
Los desarrolladores pueden designar a archivos especficos para la proteccin
de datos, dando instrucciones al sistema para que el contenido del archivo sea
criptogrficamente inaccesible para la aplicacin y para cualquier intruso potencial
cuando se bloquea el dispositivo.
Apps administradas
Un servidor MDM puede administrar apps de terceros en el App Store, as como apps
internas de la empresa. La designacin de una app como administrada permite que el
servidor especifique si la app y sus datos pueden ser eliminados del dispositivo por el
servidor MDM. Adems, el servidor puede evitar que los datos de la app administrada
sean respaldados en iTunes e iCloud. As, el rea de TI puede administrar apps que
pueden contener informacin confidencial de la empresa con ms control que con las
apps descargadas directamente por el usuario.
Para instalar una app administrada el servidor MDM enva un comando de
instalacin al dispositivo. Las apps administradas requieren la aceptacin del usuario
antes de ser instaladas.

Dispositivos revolucionarios y completamente seguros

El iPhone y el iPad ofrecen proteccin encriptada de los datos en trnsito, en reposo e
incluidos en las copias de seguridad de iCloud e iTunes. Si un usuario est accediendo
al correo electrnico corporativo, visitando un sitio web privado o autenticando su
ingreso a la red corporativa, iOS garantiza que nicamente los usuarios autorizados
puedan acceder a la informacin corporativa sensible. Adems, con su soporte para
redes de nivel empresarial y mtodos completos para prevenir la prdida de datos,
puedes implementar los dispositivos iOS con la confianza de que ests implementando
la mejor proteccin de datos y seguridad para dispositivos mviles.

2012 Apple Inc. Todos los derechos reservados. Apple, el logo de Apple logo, FaceTime, iPad, iPhone, iTunes y Safari son marcas
comerciales de Apple Inc., registradas en los EE.UU. y en otros pases. iCloud e iTunes Store son marcas de servicio de Apple Inc.,
registradas en los EE.UU. y en otros pases. App Store es marca de servicio de Apple Inc. Otros nombres de productos y compaas
mencionados aqu pueden ser marcas registradas de sus respectivas compaas. Las especificaciones de productos estn sujetas a
cambios sin previo aviso. Marzo de 2012