Seguridad móvil en Europa: cómo proteger organizaciones públicas y empresas

Ya no tiene sentido considerar los dispositivos móviles como simples herramientas de comunicación. Con frecuencia, son la forma más rápida de acceder a su organización: siempre encendidos, siempre conectados y utilizados para iniciar sesión, autorizar accesos y consultar datos corporativos en correos electrónicos, archivos y sistemas empresariales.

En los entornos laborales europeos, se repite el mismo patrón. El riesgo móvil rara vez aparece como una “brecha móvil” dramática. Por lo general, suele empezar con algo más discreto: el robo de una sesión, un buzón de correo comprometido, un archivo sensible reenviado desde un dispositivo personal o incluso un teléfono que termina conviertiéndose en la puerta trasera de un incidente mayor.

Este tipo de incidente no ocurre todos los días. Pero establece una realidad clara: la seguridad móvil no puede depender enteramente de que los usuarios hagan siempre lo correcto.

En este artículo abordamos la seguridad móvil en Europa desde un enfoque práctico: los riesgos más importantes, las capacidades de protección de un sistema MDM, su valor añadido de defensa frente a amenazas móviles y las claves para cumplir con la normativa europea.

Puntos clave

• La seguridad móvil consiste en proteger teléfonos y tabletas como dispositivos críticos, no solo como herramientas para llamadas, mensajes o correo electrónico.
  

• La presión regulatoria en Europa no deja de crecer. Los reguladores exigen controles de seguridad que funcionen en la práctica, no solo sobre el papel, a través de marcos como NIS2, RGPD y normas sectoriales como DORA.
  

• MDM/UEM es la base, pero no puede detectar ni detener muchas amenazas reales, como el smishing, los riesgos en redes o las señales de alerta en aplicaciones.
  

• Mobile Threat Defense (MTD) añade capacidades de detección y respuesta que los controles de política por sí solos no pueden cubrir.
  

• La mayoría de las organizaciones obtiene mejores resultados cuando combina gestión (MDM) y protección (MTD) en un único enfoque.
  

Por qué la seguridad móvil es cada vez más urgente en Europa

Hoy en día, los dispositivos móviles son la principal vía de acceso a servicios y datos sensibles. Cuando este acceso es explotado, el impacto rara vez se limita a un dispositivo: rápidamente se convierte en un problema operativo y de seguridad de mayor alcance.

Además, este impacto puede tener consecuencias regulatorias bajo marcos como NIS2, RGPD o DORA.

El papel de los dispositivos móviles en las cadenas de ataque modernas

En Europa, muchos incidentes reales demuestran que el dispositivo móvil no es el objetivo final, sino el punto de partida de un ataque.

Un escenario típico puede ser así:

• Un usuario hace clic en un enlace desde su teléfono porque parece "suficientemente seguro".

• El atacante secuestra la sesión de inicio.

• Las solicitudes de autenticación multifactor (MFA) se aprueban en el mismo dispositivo utilizado para navegar a la página de phishing.

• Las reglas del buzón de correo, los permisos de las aplicaciones en la nube o las herramientas de colaboración se convierten en el objetivo real del atacante.

Por eso ya no se puede tratar el móvil como un canal secundario de comunicación. En muchos casos es la vía más rápida para acceder a cuentas, aplicaciones y servicios.

Consecuencias de una seguridad móvil deficiente

Cuando falla la seguridad móvil, las consecuencias suelen ser las mismas:

• Fuga de datos: listas de contactos, correos electrónicos, documentos y tokens de autenticación.

• Interrupción operativa: cuentas bloqueadas, dispositivos en cuarentena o servicios suspendidos.

• Sanciones regulatorias: Multas administrativas de hasta 20 millones de euros o el 4% de la facturación mundial por infracciones, según el RGPD. (GDPR | EUR-Lex)

• Daños a la reputación irreversibles: Especialmente crítico en los servicios públicos, donde la confianza ciudadana forma parte de su misión.

Esto no significa que deba cundir el pánico. Pero sí exige urgencia y un plan que funcione en el mundo real.

El panorama europeo de amenazas es muy real

El informe ENISA Threat Landscape 2024 señala que la administración pública fue uno de los sectores más atacados en los incidentes observados, representando el 19 % de los casos. (ENISA Threat Landscape 2024)

Sin embargo, este no se trata de un problema 'exclusivo del sector público'. ENISA también señala una amplia gama de sectores críticos vulnerables, como la sanidad, las finanzas, la energía, los servicios públicos, el transporte, las telecomunicaciones/TIC y otras grandes empresas con datos sensibles y operaciones continuas. (ENISA Threat Landscape 2024)

La conclusión es sencilla: no hace falta ser un ministerio de defensa para convertirse en objetivo.

Si su organización utiliza teléfonos o tabletas para aprobar accesos, gestionar incidentes o acceder a sistemas críticos, forma parte del panorama de riesgo.

Normativa europea de seguridad

En este entorno de riesgo elevado, Europa añade otra capa de presión: en muchos sectores, la seguridad móvil debe resistir tanto el escrutinio técnico como el regulatorio.

Este marco normativo afecta no solo a las organizaciones directamente sujetas a estas normas, sino también a sus proveedores y socios tecnológicos. Por eso es importante entender qué exige cada directiva.

• NIS2 establece expectativas amplias sobre la gestión del riesgo de ciberseguridad. Las organizaciones deben aplicar “medidas técnicas, operativas y organizativas adecuadas y proporcionadas”. (Directiva NIS2 | EUR-Lex)

• El RGPD (GDPR) se aplica siempre que los dispositivos móviles procesen datos personales. En la mayoría de las organizaciones esto incluye correos electrónicos, contactos, calendarios, documentos o notas internas. (GDPR | EUR-Lex)

• DORA aumenta las exigencias para las entidades financieras y su cadena de suministro TIC. La gestión del riesgo, la resiliencia operativa y la respuesta a incidentes incluyen también el acceso móvil a los sistemas. (Reglamento DORA (UE) 2022/2554)

• CER (Critical Entities Resilience) amplía las expectativas de resiliencia para infraestructuras críticas, donde el riesgo cibernético es un componente clave. (Directiva CER (UE) 2022/2557)

En términos prácticos, esto significa que su organización debe poder demostrar que gestiona el riesgo móvil de forma activa:

• Saber qué dispositivos existen
• Aplicar controles básicos de seguridad
• Poder detectar incidentes
• Poder responder cuando algo sale mal

Una vez más, Europa espera que los controles móviles sean visibles, aplicables y auditables.

Amenazas móviles actuales para las organizaciones

Para comprender el panorama actual de las amenazas móviles, resulta útil agrupar los riesgos en función de cómo suelen llegar: mensajes, aplicaciones y redes.

Smishing, phishing y decisiones en pantallas pequeñas

El phishing no es un fenómeno nuevo. Sin embargo, el móvil hace que sea más fácil caer en él.

Las razones son sencillas:

• enlaces abreviados
• contexto limitado en pantallas pequeñas
  
• usuarios en movimiento
• notificaciones que fomentan una respuesta rápida

Y el volumen es enorme.

El Centro Nacional de Ciberseguridad de Suiza (NSCS) recibió 975.309 informes de phishing en 2024, de los cuales 20.872 eran sitios reales de phishing, un aumento del 108 % respecto al año anterior. (Swiss NCSC Anti-Phishing Report 2024)

En otros lugares se observa un panorama similar. El Centro Nacional de Ciberseguridad del Reino Unido afirma que, hasta noviembre de 2025, había recibido más de 48 millones de informes y eliminado 237.000 estafas en 422.000 URL. (UK NCSC: Phishing y estafas)

Aunque no es un problema exclusivo de los móviles, se han adaptado a los hábitos actuales de trabajar de la gente: los teléfonos son el lugar donde suelen producirse los señuelos de SMS y los clics rápidos en enlaces. La encuesta 2024 State of the Phish de Proofpoint reveló que el 24% de los usuarios admitió haber respondido a un mensaje (correo electrónico o SMS) de alguien desconocido. (Proofpoint: 2024 State of the Phish report)

Aplicaciones maliciosas y de riesgo

En organizaciones públicas y empresas, el problema rara vez es una aplicación claramente maliciosa.

Con mayor frecuencia, los problemas sugen de:

• aplicaciones aparentemente legítimas con permisos excesivos
  

• aplicaciones modificadas distribuidas fuera de tiendas oficiales

• aplicaciones populares que recopilan más datos de lo esperado
  

Esto hace que el riesgo sea difícil de detectar. Las aplicaciones peligrosas suelen parecer herramientas cotidianas.

Un ejemplo concreto es Anatsa (también conocido como TeaBot), un troyano bancario que, según la ciber agencia federal alemana, puede tomar el control de dispositivos infectados y robar datos bancarios. (BSI: Anatsa / TeaBot) En campañas documentadas, se ha distribuido a través de aplicaciones aparentemente legítimas, como "visor de documentos" o "lector de códigos QR", con aspecto inofensivo. Tras su instalación, se introducide como carga útil de seguimiento mediante una actualización o un componente descargado. (ThreatFabric: Anatsa apunta a Europa) El impacto es directo: una vez que la aplicación está en un teléfono, puede secuestrar el acceso a aplicaciones bancarias y credenciales, que es el mismo tipo de control que los atacantes quieren si un dispositivo también tiene inicios de sesión corporativos, acceso al correo electrónico o documentos confidenciales.

Otro caso específico de gran impacto es el de Pegasus, un programa espía comercial para móviles que se utiliza para la vigilancia selectiva. Llamó mucho la atención en España durante el "Catalangate", donde se infectaron los teléfonos del Presidente del Gobierno y de varios ministros.(Amnistía Internacional: Catalans targeted with Pegasus) (AP: Pegasus case cooperation) España no ha confirmado públicamente la ruta de infección, pero Pegasus se ha distribuido en otras campañas documentadas a través de exploits de "clic cero" en aplicaciones de mensajería -incluidos los fallos de llamadas de iMessage y WhatsApp-, lo que significa que las víctimas no necesitan instalar nada.(Citizen Lab: FORCEDENTRY) (Google Project Zero: NSO zero-click iMessage exploit) (Financial Times: WhatsApp Pegasus hack)

En efecto, los controles de aplicaciones y las tiendas oficiales ayudan. Pero no cierran la brecha por sí solas, ya que la seguridad móvil necesita tanto controles de gestión sólidos como detección de amenazas en el dispositivo.

Redes inseguras y riesgos de interceptación

Los usuarios de móviles se conectan desde cualquier lugar, incluyendo las redes Wi-Fi no seguras de aeropuertos, centros de transporte, hoteles y edificios públicos.

El CERT-FR explica cómo pueden aprovecharse las vulnerabilidades de las interfaces inalámbricas (celular, Wi-Fi, Bluetooth, NFC) para interceptar comunicaciones, manipular datos o desplegar programas espía. (Informe CERT-FR/ANSSI CTI-013) En un ejemplo real documentado: El CERT-FR cita un caso de París en el que se encontró una estación base falsa (IMSI catcher) instalada en un vehículo para enviar mensajes SMS de phishing suplantando la identidad de Assurance Maladie. (Informe CERT-FR/ANSSI CTI-013)

También se han visto tácticas similares en el Reino Unido, donde la policía identificó un SMS blaster utilizado desde un coche para enviar mensajes de texto fraudulentos a teléfonos cercanos(UK Finance: SMS blaster case),y En Noruega, donde Økokrim descubrió un IMSI-catcher que circulaba por Oslo y Bergen para enviar mensajes smishing, haciéndose pasar por bancos y recopilando datos bancarios confidenciales.(NRK: caso Økokrim IMSI-catcher)

Aún cuando se haya implementado una política corporativa de "no utilizar Wi-Fi públicas", los empleados las usan de todos modos. El control sólo existe en el papel.

Las futuras amenazas móviles a las que deben prepararse las organizaciones

La próxima ola de amenazas móviles no vendrá anunciada. Se espera una ingeniería social más aguda, ecosistemas de aplicaciones más vulnerables y herramientas de intrusión más capaces, todo ello en los dispositivos en los que la gente más confía.

• La ingeniería social potenciada por IA (que utiliza IA para redactar, traducir y personalizar señuelos) hará que el phishing y la suplantación de identidad sean más fáciles de escalar y más difíciles de detectar. El NCSC del Reino Unido espera que la IA impulse principalmente la ingeniería social mejorando la capacidad de convicción de los atacantes. (NCSC del Reino Unido: El impacto a corto plazo de la IA en la ciberamenaza)
  
  

• El riesgo de la cadena de suministro de aplicaciones(problemas en SDK, bibliotecas o servicios de terceros dentro de una aplicación) seguirá aumentando a medida que las aplicaciones móviles dependan de componentes externos. Cuando alguno de estos elementos presente vulnerabilidades o comportamientos malicisions, incluso una aplicación por lo aparentemente "legítima" puede filtrar datos.
  
  

• Las capacidades de intrusión selectiva(herramientas creadas con este propósito, como los programas espía comerciales) seguirán siendo una amenaza relevante del panorama europeo de riesgos, razón por la cual los gobiernos también están impulsando marcos de gobernanza y mecanismos de supervisión. (Código de buenas prácticas del proceso Pall Mall)
  
  

• Las amenazas poscuánticas(el riesgo de que el avance de la computación cuántica pueda debilitar el cifrado de clave pública actual) son más importantes cuando los datos móviles deben mantenerse confidenciales durante largos periodos de tiempo: como en el caso de los registros gubernamentales, los datos sanitarios o la planificación de infraestructuras críticas. (ENISA: Criptografía poscuántica)

No se trata de predecir cada amenaza futura, sino de fortalecer lo que se controla hoy, empezando por los cimientos: la gestión de dispositivos.

La base de la seguridad móvil:
Gestión de dispositivos móviles (MDM)

La gestión de dispositivos móviles (MDM por sus siglas en inglés - Mobile Device Management) es la forma de registrar, configurar y gestionar smartphones y tabletas a gran escala.

Qué ofrece MDM en implantaciones reales

En el sector público y en empresas reguladas, el valor de la gestión de dispositivos móviles es tanto operativo como técnico.

MDM apoya en:

• El registro y configuración inicial estandarizados(incluidos los enfoques de propiedad corporativa y BYOD).

• Aplicación de configuraciones(códigos de acceso, cifrado, restricciones, certificados).

• Implementación y gestión del ciclo de vida de las aplicaciones(aplicaciones aprobadas, actualizaciones, eliminación).

• Acciones remotas(bloqueo, borrado, retirada de dispositivos).

• Inventario y generación de informes(para auditorías y respuesta a incidentes).

De la teoría a la acción con MDM: Redactar una política de seguridad es sencillo. El verdadero reto es implementarla y hacerla cumplir en miles de dispositivos. 

Si estás evaluando tu solución MDM actual o planificando un nuevo despliegue, descubre cómo Techstep transforma la gestión de dispositivos en acciones concretas y escalables aquí: Techstep Essentials MDM

Por qué el MDM por sí solo ya no es suficiente

MDM son los cimientos de seguridad móvil, pero no lo cubre todo.

Cuando los controles de políticas se topan con un muro

Las soluciones de MDM son robustas en funciones esenciales: registro y autenticación, configuración estandarizada, distribución de aplicaciones aprobadas e informes de cumplimiento. Pero tiene un punto ciego: no puede supervisar en tiempo real lo que ocurre en el dispositivo.

Incluso con la contraseña más segura, un enlace de suplantación de identidad puede robar una sesión activa, una red Wi-Fi peligrosa puede interponerse entre el usuario y el servicio, y una aplicación maliciosa puede parecer normal hasta que empieza a abusar de los permisos o del tráfico de red. MDM puede activar una respuesta (bloquear el acceso, eliminar una aplicación, poner en cuarentena un dispositivo), pero a menudo necesita otra señal para saber cuándo actuar.

Ahí es donde entra en juego Mobile Threat Defense (MTD), diseñado especificamente para: detectar ataques de phishing, identificar el comportamiento de riesgo de las aplicaciones, alertar sobre redes peligrosas y revelar indicadores de compromiso en el dispositivo que MDM por sí solo no ez capaz de captar. (Blog de seguridad de Microsoft: del robo de cookies al BEC)

Defensa frente a amenazas móviles (MTD): Qué es y dónde encaja

Mobile Threat Defense (MTD) es una tecnología de seguridad diseñada para detectar y responder a amenazas en endpoints móviles en tiempo real.

Mientras que MDM le indica si un dispositivo está configurado correctamente, MTD le ayuda a saber si un dispositivo está expuesto o está siendo atacado en tiempo real.

Qué suele cubrir MTD

Las soluciones MTD suelen centrarse en señales como:

• Malware y comportamiento de riesgo en aplicaciones

• Proteccióncontra phishing y smishing

• Riesgo en la red (por ejemplo, redes Wi-Fi no seguras, patrones de interceptación)

• Vulnerabilidades del sistema operativo y actividades sospechosas de los dispositivos

Lo que la MTD no resuelve por sí sola

MTD no es un escudo mágico ni una solución infalible. Las implantaciones independientes pueden tener problemas si no están vinculadas a una gestión eficaz de los dispositivos y se aplican políticas de seguridad.

Las carencias más comunes son:

• Alertas sin una forma clara de solucionar el problema

• Demasiadas herramientas y cuadros de mando

• Dificultad para convertir las detecciones en controles efectivos

De la gestión básica a la protección móvil en tiempo real

En muchas organizaciones europeas, el desafío ya no es si se gestionan los dispositivos móviles, sino cómo se protegen frente amenazas reales, resistan la presión, con políticas aplicadas, datos protegidos y que satisfagan a auditorías de seguridad, jurídicas y de cumplimiento de normativas.

Por qué necesitamos una seguridad móvil unificada

La fragmentación de herramientas hace que esto sea más complicado de lo necesario. Si la detección de amenazas está en un lugar y los controles de dispositivos en otro, la respuesta a incidentes se ralentiza. Las alertas se analizan en silos, los tickets rebotan entre equipos y las acciones críticas (bloquear el acceso, eliminar una aplicación, poner en cuarentena un dispositivo) llegan demasiado tarde.

Una configuración combinada de MDM + MTD funciona mejor porque une los puntos: los mismos controles que gestionan los dispositivos también pueden actuar sobre las señales de riesgo en tiempo real. Esto suele significar menos herramientas, decisiones más rápidas e informes más claros para las auditorías.

Por qué la soberanía y la ubicación de los datos importan ahora en Europa

En el contexto actual de Europa, también hay una cuestión muy práctica: ¿dónde viven los datos de seguridad móvil y qué opciones de despliegue tiene a largo plazo? Con un clima geopolítico más tenso y con un enfoque cada vez mayor en la soberanía digital, esto ya no es un detalle secundario u opcional. Se ha convertido en un factor crítico poder decidir si una plataforma es aceptable, especialmente para los servicios públicos y los sectores regulados.

En la práctica, las organizaciones deben poder demostrar la ubicación clara de los datos, garantías del proveedor y flexibilidad a largo plazo, no solo las capacidades técnicas.

Cómo se materializa esto en la práctica

Esto es la idea en la que se basa Techstep Essentials Mobile Threat Defense: Essentials MDM/UEM con Pradeo Mobile Threat Defense integrado.

• Plataforma unificada: una consola y un motor de políticas para controles de dispositivos y señales de amenazas.

• Control de datos europeo: construido y alojado en Europa, con datos mantenidos dentro de la UE.

• Opciones de implementación: disponible en la nube o en las instalaciones (in situ), con soporte para la migración desde implementaciones existentes y un compromiso a largo plazo con la opción in situ.

• Certificación gubernamental: certificado bajo el ENS de España por el Centro Criptológico Nacional (CCN), incluido en el catálogo STIC, y con Autorización de Seguridad de Instalaciones de la Agencia de Seguridad Interna de Polonia (ABW). (CCN: marco ENS)

En conjunto, esta combinación ofrece algo único para las organizaciones europeas: control diario de los dispositivos, detección de amenazas en tiempo real y datos y pruebas de cumplimiento con los estandares de la UE, exactamente lo que exigen los responsables de adquisiciones y auditorías.

Si se intenta obtener el mismo resultado con herramientas separadas, suele ser necesario integrar a la fuerza un producto de defensa contra amenazas móviles a una plataforma UEM/MDM diferente, o bien, elegir una suite de seguridad más amplia no se adaptan a las necesidades del sector público, como el alojamiento de datos en la UE, las pruebas de certificación y las opciones locales.

El resultado final es menos componentes interdependientes, una respuesta más ágil y una postura de seguridad móvil que se puede explicar y defender.