Protección de datos móviles en tu flota, en simple
- El móvil es un endpoint corporativo: guarda correo, archivos compartidos y credenciales —los mismos datos que blindas en el laptop, pero casi nunca con los mismos controles.
- Proteger el teléfono no es proteger los datos: el PIN y el antivirus son cosa del usuario; el cifrado verificado, el borrado remoto y el inventario son cosa de TI.
- Tres controles que mueven la aguja: cifrado verificado por dispositivo, bloqueo y borrado remoto, y un workflow claro de respuesta ante pérdida.
- BYOD: el problema no es la política, es verificar un dispositivo que no te pertenece —ahí la separación de datos es clave.
- Ley 21.719: un teléfono perdido sin cifrado ni capacidad de borrado es una brecha potencial que tendrías que notificar.
Hazte una pregunta incómoda: si ahora mismo se perdiera el teléfono de alguien de tu equipo, ¿podrías confirmar que estaba cifrado? ¿Podrías borrar los datos corporativos a distancia? ¿Tendrías cómo demostrarle a tu área legal qué información quedó expuesta?
Para la mayoría de los equipos de TI, la respuesta honesta a las tres es 'no del todo'. Y no es por descuido. Es porque tratamos el celular como un dispositivo personal —algo que el usuario configura, actualiza y cuida— mientras que en la práctica guarda exactamente los mismos datos que protegemos con tres capas de control en el laptop: el correo corporativo, los archivos compartidos de Drive, las credenciales guardadas en el navegador, las apps internas con sesión abierta.
El dato más expuesto de tu organización no está en un servidor con su firewall y su control de acceso. Está en el bolsillo de alguien, sincronizándose en segundo plano, a medio metro de una mesa de café.
Esta guía no es una lista de tips para proteger tu teléfono personal. Es la capa operativa que falta: qué datos viven realmente en los móviles de tu flota, qué controles importan cuando son cincuenta o quinientos dispositivos, y qué haces el día que uno desaparece.
Qué datos corporativos viven realmente en los móviles de tu flota
Empecemos por el punto ciego. Pregúntale a cualquier IT manager cuántos laptops hay en la organización y te da el número al toque. Pregúntale cuántos móviles acceden a datos corporativos y, casi siempre, viene una pausa.
El móvil entró a la flota por la puerta de atrás. Nadie 'desplegó' celulares como se despliegan equipos: simplemente, un día alguien configuró el correo corporativo en su teléfono para responder más rápido, y de ahí en adelante ese dispositivo es un endpoint que guarda información de la empresa. Sin inventario, sin política, sin que TI lo sepa.
Piensa en la coordinadora de marketing que tiene sincronizada toda la carpeta compartida del equipo para revisar piezas desde el metro. En su teléfono hay contratos, planillas con datos de clientes, el calendario completo de lanzamientos. Ese dispositivo nunca pasó por una checklist de seguridad. Si lo deja en un Uber, la conversación deja de ser sobre un teléfono de 600 dólares y pasa a ser sobre qué hacían esos datos ahí y quién puede acceder a ellos.
El primer trabajo, entonces, no es técnico: es de visibilidad. No puedes proteger lo que no sabes que existe. Antes de hablar de cifrado o borrado, necesitas un mapa de qué móviles tocan qué datos —y eso incluye distinguir los corporativos de los personales, porque el control que puedes aplicar sobre cada uno es distinto. Esa visibilidad es la base de toda la protección de datos en endpoints, no un paso opcional.
Quick win: Arma una lista en una tarde. Pídele a tu proveedor de correo (Google Workspace, Microsoft 365) el reporte de dispositivos móviles con sesión activa. Cruza eso con tu inventario de personas. La diferencia entre ambas listas es tu superficie de exposición invisible. Marca cada entrada como 'corporativo' o 'BYOD' —lo vas a necesitar en cada decisión que sigue.
¿Proteger el teléfono es lo mismo que proteger los datos?
Acá está el malentendido que hace que tanta gente buena tenga flotas mal protegidas. Cuando le dices a tu equipo 'asegura tu celular', cada persona piensa en lo suyo: pone un PIN, activa la huella, instala un antivirus que vio en una publicidad. Y se queda tranquila.
El problema es que todo eso protege el acceso al teléfono, no necesariamente los datos que hay adentro. Son dos cosas distintas y se confunden todo el tiempo. La seguridad en dispositivos móviles de una flota no se gestiona dispositivo por dispositivo, a punta de buena voluntad de cada usuario, sino como política central que TI puede verificar.
¿Cuál es la diferencia concreta? Un PIN evita que alguien que encuentra el teléfono lo desbloquee con un toque. El cifrado evita que alguien que extrae la memoria del dispositivo —o conecta el teléfono a una herramienta forense— lea los datos sin la clave. El primero es un control de usuario. El segundo es un control de plataforma que, en muchos casos, hay que verificar que esté realmente activo, porque 'viene por defecto' no es lo mismo que 'está confirmado en este dispositivo'.
Conozco el caso de un analista que juraba tener su teléfono 'súper seguro': PIN de seis dígitos, huella, hasta un patrón de respaldo. Cuando TI revisó, el cifrado del almacenamiento estaba desactivado porque venía de una migración de un equipo viejo. Tres capas de candado en la puerta, y la ventana del living abierta.
La lección para una flota: no puedes delegar la seguridad de los datos a la buena voluntad y el conocimiento técnico de cada usuario. Los controles que de verdad importan son los que TI puede definir como política central y verificar a distancia, no los que dependen de que cada persona haga lo correcto.
Quick win: Separa tu checklist en dos columnas. 'Controles del usuario' (PIN, biometría, no instalar apps fuera de la tienda oficial) van en tu material de onboarding. 'Controles de TI' (cifrado verificado, capacidad de bloqueo y borrado, inventario) van en tu plan de gestión, porque esos no se piden, se aplican y se comprueban.
Los controles que sí mueven la aguja: cifrado, bloqueo y borrado remoto
Si tuvieras que elegir solo tres controles para una flota móvil y dejar el resto para después, son estos. No porque los demás no sirvan, sino porque estos tres son los que cambian el resultado el día malo.
Cifrado verificado. No 'asumido', verificado. iOS lo trae activo cuando hay un código de acceso configurado; Android moderno también cifra por defecto, pero en dispositivos heredados o gestionados de forma despareja conviene confirmarlo dispositivo por dispositivo. El cifrado es lo que convierte un teléfono perdido en un ladrillo inútil en lugar de una filtración. Es la diferencia entre 'perdimos un equipo' y 'perdimos datos'.
Bloqueo remoto. La capacidad de dejar el dispositivo inservible al instante, antes de decidir si lo vas a recuperar o a borrar. Es tu botón de pausa: congela la situación mientras evalúas, sin que nadie siga usando ese teléfono mientras tú piensas.
Borrado remoto. El control que más le importa a tu CISO y que casi nadie tiene listo para móviles. Cuando un dispositivo no se va a recuperar —o cuando el dato vale más que el equipo—, necesitas poder eliminar la información corporativa a distancia y quedarte con registro de que lo hiciste.
Escenario concreto: a un ejecutivo de ventas le roban el teléfono en el aeropuerto, saliendo de un viaje. En ese teléfono está su correo con propuestas, el CRM con datos de prospectos y el acceso a la carpeta del equipo. Con estos tres controles, la secuencia es de minutos: localizas el dispositivo para entender dónde está, lo bloqueas para frenar cualquier uso, y si no hay forma realista de recuperarlo, ejecutas el borrado. Sin ellos, la secuencia es un correo a las 11 de la noche preguntando '¿alguien sabe cómo borrar un teléfono?'.
Quick win: Prueba el borrado remoto antes de necesitarlo. Toma un dispositivo de prueba, simula la pérdida y ejecuta el flujo completo de localización, bloqueo y borrado. Cronométralo. Si la primera vez que lo haces es durante un incidente real, ya perdiste.
BYOD: el problema no es la política, es verificar el dispositivo que no te pertenece
BYOD —los dispositivos personales que también se usan para trabajar— es donde la mayoría de los planes de protección móvil se caen. Y casi siempre se cae por el lado equivocado.
Todo el mundo cree que el problema de BYOD es escribir la política: qué se permite, qué no, qué firma el empleado. Pero la política es la parte fácil. El problema real empieza el día después: ¿cómo verificas el estado de seguridad de un dispositivo que no es tuyo, que la persona compró con su plata y que usa para su vida personal tanto como para el trabajo?
No puedes imponer un borrado total en el teléfono personal de alguien —ahí están sus fotos, sus chats, su vida. Pero tampoco puedes dejar que los datos corporativos vivan sin ningún control solo porque el dispositivo es personal. La salida no es elegir entre control total o cero control. Es la separación.
Piensa en el vendedor que usa su iPhone personal para todo. Trabaja con su correo corporativo, su WhatsApp con clientes, sus apps internas. El día que deja la empresa, ¿cómo te aseguras de que los datos de la compañía salgan de ese teléfono sin tocar nada personal? Ahí entra el borrado selectivo: eliminar solo el perfil corporativo —correo, archivos, accesos— y dejar intacto lo demás. Es completar el proceso de salida de forma limpia, sin convertirlo en un conflicto.
Esto, ojo, es distinto de la gestión de dispositivos móviles completa. Una cosa es administrar la configuración, las apps y las políticas de toda la flota; otra es proteger y poder borrar los datos cuando hace falta. El borrado app-level que deja intacto lo personal es terreno de MDM; la capa de protección cubre la visibilidad del estado del dispositivo, el bloqueo remoto y la recuperación, y se apoya en MDM cuando necesitas esa granularidad.
Quick win: Define hoy tu mínimo de BYOD en tres puntos: (1) el dispositivo debe tener cifrado activo y bloqueo de pantalla para acceder a datos corporativos, (2) TI debe poder ejecutar un borrado del perfil corporativo, (3) el acuerdo BYOD lo deja claro y firmado al ingresar. Tres puntos, no un documento de veinte páginas que nadie lee.
Qué hacer cuando un dispositivo móvil se pierde
Acá es donde se nota quién tiene un plan y quién tiene buenas intenciones. Casi todas las organizaciones tienen un protocolo para cuando se pierde un laptop. Muy pocas lo tienen para un teléfono —y eso que los teléfonos se pierden mucho más seguido.
El workflow no tiene que ser complicado. Tiene que existir y estar escrito, para que la persona de turno no tenga que improvisar a las dos de la mañana. Cinco pasos:
Localizar. Lo primero es entender dónde está el dispositivo y si la pérdida parece un olvido recuperable (quedó en la oficina, en casa de un cliente) o algo más serio. El check-in de ubicación always-on te da ese contexto antes de tomar cualquier decisión drástica.
Bloquear. Independiente de lo que decidas después, bloquea el dispositivo de inmediato para frenar cualquier uso. Esto te compra tiempo sin cerrar puertas.
Evaluar. ¿Qué datos había ahí? ¿Estaba cifrado? ¿Vale la pena intentar recuperarlo o el riesgo de exposición pesa más? Acá es donde tu inventario del primer paso te salva: si sabes qué tocaba ese dispositivo, decides en minutos en lugar de en horas.
Borrar. Si no hay recuperación realista, ejecuta el borrado y deja registro de la hora y el alcance.
Documentar. Esto es lo que casi todos se saltan y lo que más vas a agradecer después. Registra qué pasó, qué se hizo y cuándo. Si ese teléfono tenía datos personales de clientes, esta documentación es la base de tu evaluación de si hay que notificar la brecha y la evidencia de que actuaste con diligencia.
El mismo workflow cubre un caso que no es pérdida pero se le parece: el offboarding. Cuando alguien deja la empresa, completar su proceso de salida incluye sacar los datos corporativos de sus dispositivos móviles —el corporativo se borra completo, el personal (BYOD) se limpia del lado de la empresa. No es un acto en contra de nadie; es cerrar prolijamente, igual que recuperas el laptop y desactivas los accesos.
Quick win: Escribe el workflow de cinco pasos en una sola página y guárdalo donde tu equipo lo encuentre durante un incidente, no en un drive que nadie abre. Súmale una plantilla de registro del incidente: fecha, dispositivo, datos involucrados, acción tomada, responsable. Cinco campos. Que llenarla tome dos minutos.
Protección de datos móviles y la Ley 21.719
Hasta acá hablamos de operación. Ahora conectémoslo con lo que probablemente tiene a tu dirección preguntando: el cumplimiento.
La Ley 21.719 regula cómo las organizaciones tratan los datos personales, y no hace ninguna distinción entre el laptop y el celular. Si tu empresa trata datos personales —de clientes, de pacientes, de estudiantes, de tus propios empleados— y esos datos están en los teléfonos de tu equipo, esos dispositivos están dentro del alcance de la ley. No hay una excepción para 'es que estaba en un móvil'.
Esto tiene dos consecuencias prácticas. La primera: los principios de la ley te exigen aplicar medidas de seguridad apropiadas, y un teléfono sin cifrado ni capacidad de borrado difícilmente califica como 'apropiado' si te toca defenderlo ante la Agencia. La segunda: necesitas poder demostrarlo. La ley premia la evidencia. 'Teníamos los dispositivos cifrados y un protocolo de respuesta documentado' es una posición muy distinta a 'creíamos que estaban protegidos'.
Piensa en una clínica donde varios funcionarios consultan la agenda de pacientes desde el teléfono. Esa agenda son datos de salud —de los más sensibles que regula la ley. Si uno de esos teléfonos se pierde sin cifrado, no es un incidente de TI: es una brecha de datos sensibles que probablemente haya que notificar, con todo lo que eso implica. El control móvil deja de ser una buena práctica y pasa a ser parte de tu defensa de cumplimiento.
Quick win: Agrega una fila a tu registro de actividades de tratamiento: 'dispositivos móviles'. Documenta qué datos personales se acceden desde móviles, qué medidas de seguridad aplican (cifrado, bloqueo, borrado remoto) y cómo se responde ante una pérdida. Esa fila es, al mismo tiempo, tu mapa de riesgo y tu evidencia de cumplimiento.
Cómo las herramientas de protección de endpoints cierran la brecha
Llegaste hasta acá y la pregunta lógica es: todo esto suena bien, pero ¿cómo lo hago realmente sobre una flota de cincuenta, cien o quinientos dispositivos sin contratar a tres personas más?
Ahí es donde entran las herramientas de protección de endpoints. La idea es simple: en lugar de depender de que cada usuario configure y mantenga su dispositivo, centralizas la visibilidad y el control en un solo lugar. Es lo que convierte los cinco pasos de respuesta de 'ojalá funcione' en algo que ejecutas con confianza.
Prey trabaja exactamente en esa capa. No es un contenedor MDM completo ni una solución de DLP que inspecciona cada dato que se mueve —y vale la pena ser claro con eso para no prometer lo que no es. Lo que hace es darle a TI la protección operativa de la flota:
- Visibilidad y ubicación always-on de los dispositivos, para que el inventario invisible del que hablábamos al principio deje de serlo y la localización ante una pérdida sea inmediata.
- Bloqueo y borrado remoto del dispositivo —incluido el factory reset— para dejarlo inservible o eliminar la información cuando se pierde o cuando se completa la salida de una persona en equipos corporativos.
- Recuperación cuando la pérdida es recuperable, con el contexto de ubicación para actuar.
- Registro de las acciones, que es lo que después te da la evidencia para cumplimiento y para tu propia tranquilidad.
Volviendo al ejecutivo del aeropuerto: con esta capa, la persona de TI de turno abre el dashboard, ve dónde está el dispositivo, lo bloquea, confirma que estaba cifrado, ejecuta el borrado y registra todo. Cinco minutos, un proceso, evidencia incluida. Eso es lo que separa una flota protegida de una colección de teléfonos con buenas intenciones. Puedes ver cómo se conecta con el resto de tu postura de seguridad en el caso de uso de protección de datos y seguridad de dispositivos.
Quick win: Antes de comparar opciones de software de protección de datos, define tus tres requisitos no negociables a partir de esta guía —visibilidad de la flota, borrado remoto y registro de acciones para evidencia. Evalúa contra esos tres, no contra una lista de cincuenta features que nunca vas a usar.
Protección de datos móviles: visibilidad, control y evidencia
La protección de datos móviles no es un problema de teléfonos. Es un problema de datos que resulta que viven en teléfonos —los mismos datos que ya proteges con rigor en cada laptop, pero en dispositivos que tratamos como ajenos al perímetro corporativo.
Cerrar esa brecha se reduce a tres cosas que ya conoces de tu trabajo diario. Visibilidad: saber qué móviles tocan qué datos, para que el inventario invisible deje de ser tu punto ciego. Control: cifrado verificado, bloqueo y borrado remoto, para que un dispositivo perdido sea un equipo perdido y no una filtración. Evidencia: registro documentado de tus medidas y tus respuestas, para que el día de la auditoría —o de la pérdida real— tengas con qué responder.
El teléfono que está en el bolsillo de alguien de tu equipo seguirá guardando datos corporativos. La única pregunta es si lo van a proteger los mismos controles que aplicas al resto de tu flota, o solo la esperanza de que nada salga mal.
Preguntas frecuentes sobre protección de datos móviles
¿Qué es la protección de datos móviles en una empresa?
Es el conjunto de controles que TI aplica para proteger los datos corporativos que viven en los celulares y tablets de la organización: cifrado verificado, bloqueo y borrado remoto, inventario de qué dispositivos acceden a qué información, y un protocolo de respuesta ante pérdida. Se distingue de la seguridad móvil personal (PIN, antivirus) porque opera a nivel de flota y se gestiona de forma centralizada, no dispositivo por dispositivo.
¿Se pueden borrar los datos de un teléfono a distancia?
Sí. Con una herramienta de protección de endpoints, TI puede ejecutar un borrado remoto que elimina la información del dispositivo sin tenerlo físicamente. En equipos corporativos esto incluye el factory reset completo; el borrado app-level que separa lo corporativo de lo personal en BYOD corresponde a capacidades de MDM.
¿Cómo proteger datos corporativos en dispositivos BYOD?
La clave es la separación, no el control total. Exige cifrado y bloqueo de pantalla como condición para acceder a datos corporativos, mantén la capacidad de retirar los datos de la empresa al momento de la salida, y deja todo acordado por escrito al ingreso. Así proteges la información de la empresa sin invadir el teléfono personal de la persona.
¿Qué hago si se pierde un móvil con datos de la empresa?
Sigue cinco pasos: localiza el dispositivo para entender la situación, bloquéalo de inmediato, evalúa qué datos había y si estaba cifrado, ejecuta el borrado remoto si no hay recuperación realista, y documenta todo (qué pasó, qué se hizo, cuándo). Esa documentación es clave para decidir si corresponde notificar una brecha.
¿La Ley 21.719 aplica a los datos en celulares?
Sí. La Ley 21.719 no distingue entre tipos de dispositivo. Si tu organización trata datos personales y esos datos están en teléfonos del equipo, esos dispositivos están dentro del alcance de la ley, lo que te obliga a aplicar medidas de seguridad apropiadas (como cifrado y borrado remoto) y a poder demostrarlas.




