PDF de programación - Seguridad de dispositivos móviles: iPad (iOS 7.x)

SIN CLASIFICAR



GET /



GUÍA DE SEGURIDAD DE LAS TIC

(CCN-STIC-454)



Seguridad de dispositivos móviles:

iPad (iOS 7.x)

JULIO 2014

SIN CLASIFICAR

CCN-STIC-454



Seguridad de dispositivos móviles: iPad (iOS 7.x)

SIN CLASIFICAR



Edita:

 Centro Criptológico Nacional, 2014



NIPO: 002-14-040-0

Fecha de Edición: Julio de 2014

Raúl Siles ha participado en la elaboración y modificación del presente documento y sus anexos.

LIMITACIÓN DE RESPONSABILIDAD
El presente documento se proporciona de acuerdo con los términos en él recogidos, rechazando expresamente
cualquier tipo de garantía implícita que se pueda encontrar relacionada. En ningún caso, el Centro Criptológico
Nacional puede ser considerado responsable del daño directo, indirecto, fortuito o extraordinario derivado de la
utilización de la información y software que se indican incluso cuando se advierta de tal posibilidad.

AVISO LEGAL
Quedan rigurosamente prohibidas, sin la autorización escrita del Centro Criptológico Nacional, bajo las
sanciones establecidas en las leyes, la reproducción parcial o total de este documento por cualquier medio o
procedimiento, comprendidos la reprografía y el tratamiento informático, y la distribución de ejemplares del
mismo mediante alquiler o préstamo públicos.



Centro Criptológico Nacional



2



SIN CLASIFICAR

CCN-STIC-454



Seguridad de dispositivos móviles: iPad (iOS 7.x)

SIN CLASIFICAR

PRÓLOGO

Entre los elementos más característicos del actual escenario nacional e internacional figura el
desarrollo alcanzado por las Tecnologías de la Información y las Comunicaciones (TIC), así
como los riesgos emergentes asociados a su utilización. La Administración no es ajena a este
escenario, y el desarrollo, adquisición, conservación y utilización segura de las TIC por parte
de la Administración es necesario para garantizar su funcionamiento eficaz al servicio del
ciudadano y de los intereses nacionales.

Partiendo del conocimiento y la experiencia del Centro sobre amenazas y vulnerabilidades en
materia de riesgos emergentes, la Ley 11/2002, de 6 de mayo, reguladora del Centro Nacional
de Inteligencia, encomienda al Centro Nacional de Inteligencia el ejercicio de las funciones
relativas a la seguridad de las tecnologías de la información en su artículo 4.e), y de
protección de la información clasificada en su artículo 4.f), a la vez que confiere a su
Secretario de Estado Director la responsabilidad de dirigir el Centro Criptológico Nacional en
su artículo 9.2.f).

Una de las funciones más destacables que, asigna al mismo, el Real Decreto 421/2004, de 12
de marzo, por el que se regula el Centro Criptológico Nacional es la de elaborar y difundir
normas, instrucciones, guías y recomendaciones para garantizar la seguridad de los sistemas
de las tecnologías de la información y las comunicaciones de la Administración.

La ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los servicios
públicos, en su artículo 42.2 crea del Esquema Nacional de Seguridad (ENS), que establece
las condiciones necesarias de confianza en el uso de los medios electrónicos, a través de
medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones, y los
servicios electrónicos.

El Real Decreto 3/2010 de 8 de Enero desarrolla el Esquema Nacional de Seguridad y fija
los principios básicos y requisitos mínimos así como las medidas de protección a implantar
en los sistemas de la Administración. En su artículo 29 se autoriza que a través de la series
CCN-STIC el CCN desarrolle lo establecido en el mismo.

La serie de documentos CCN-STIC se ha elaborado para dar cumplimiento a esta función y a
lo reflejado en el ENS, conscientes de la importancia que tiene el establecimiento de un
marco de referencia en esta materia que sirva de apoyo para que el personal de la
Administración lleve a cabo su difícil, y en ocasiones, ingrata tarea de proporcionar seguridad
a los sistemas de las TIC bajo su responsabilidad.


Junio 2014



Félix Sanz Roldán
Secretario de Estado

Director del Centro Criptológico Nacional

Centro Criptológico Nacional



3



SIN CLASIFICAR

CCN-STIC-454



Seguridad de dispositivos móviles: iPad (iOS 7.x)

SIN CLASIFICAR

ÍNDICE

1

INTRODUCCIÓN ............................................................................................................................ 8

2 OBJETO ............................................................................................................................................ 8

3 ALCANCE ........................................................................................................................................ 9

4 ENTORNO DE APLICACIÓN DE ESTA GUÍA ............................................................................ 9

4.1

IOS7 ........................................................................................................................................ 15

5 CONFIGURACIÓN DE SEGURIDAD DE IPAD ......................................................................... 16

5.1

ACTUALIZACIÓN DEL SISTEMA OPERATIVO: IOS ..................................................... 16

5.2 MODELO Y ARQUITECTURA DE SEGURIDAD DE IOS ............................................... 28

5.2.1

CONTROLES DE ACCESO Y PRIVACIDAD ............................................................. 31

5.2.2

SECURITY ENCLAVE .................................................................................................. 37

5.2.3

SANDBOX DE IOS DE APPLE ..................................................................................... 38

5.3

GESTIÓN EMPRESARIAL DE DISPOSITIVOS BASADOS EN IOS ............................... 39

5.3.1

CAPACIDADES DE GESTIÓN MDM EN IOS7 .......................................................... 42

5.3.2

PERFILES DE CONFIGURACIÓN ............................................................................... 43

5.3.3

UTILIDAD DE CONFIGURACIÓN DEL IPHONE (IPCU) ......................................... 44

5.4

ACCESO FÍSICO AL DISPOSITIVO MÓVIL ..................................................................... 49

5.4.1

PIN DE LA TARJETA SIM ............................................................................................ 49

5.4.2

CÓDIGO DE ACCESO AL DISPOSITIVO MÓVIL ..................................................... 52

5.4.3

TOUCH ID ...................................................................................................................... 60

5.4.4

RESTAURACIÓN REMOTA DEL CÓDIGO DE ACCESO ........................................ 61

5.4.5

VULNERABILIDADES DE DESBLOQUEO DE IOS ................................................. 61

5.4.6 MARCACIÓN POR VOZ ............................................................................................... 65

5.5

5.6

RESTRICCIONES EN EL PROCESO DE ACTIVACIÓN .................................................. 66

PANTALLA DE DESBLOQUEO: PREVISUALIZACIÓN DE DATOS ............................ 69

5.6.1

ACCESOS MIENTRAS EL DISPOSITIVO MÓVIL ESTÁ BLOQUEADO................ 69

5.6.2

CENTRO DE NOTIFICACIONES ................................................................................. 70

5.6.3

CENTRO DE CONTROL ............................................................................................... 75

5.7

CIFRADO DE DATOS EN IOS............................................................................................. 77

5.7.1

CIFRADO DEL DISPOSITIVO MÓVIL ....................................................................... 77

5.7.2

CIFRADO DE LOS DATOS DE LAS APLICACIONES .............................................. 82

5.7.3

BORRADO DE LA MEMORIA DEL DISPOSITIVO .................................................. 83

5.7.4

CIFRADO DE LAS TARJETAS DE ALMACENAMIENTO EXTERNAS ................. 84

5.8

GESTIÓN DE CERTIFICADOS DIGITALES Y CREDENCIALES EN IOS ..................... 84

5.8.1

CERTIFICADOS DIGITALES Y CREDENCIALES DEL USUARIO (KEYCHAIN) 84

5.8.2

CERTIFICADOS DIGITALES RAÍZ DE IOS ............................................................... 88

Centro Criptológico Nacional



4



SIN CLASIFICAR

CCN-STIC-454



Seguridad de dispositivos móviles: iPad (iOS 7.x)

SIN CLASIFICAR

5.8.3

FIRMA DIGITAL Y VERIFICACIÓN DE APLICACIONES EN IOS ........................ 92

5.8.4

ENTERPRISE SINGLE SIGN ON (SSO) ...................................................................... 93

5.8.5

ICLOUD KEYCHAIN .................................................................................................... 94

5.9

ELIMINACIÓN DE DATOS DEL DISPOSITIVO MÓVIL ................................................. 96

5.10 CONFIGURACIÓN POR DEFECTO DEL DISPOSITIVO MÓVIL ................................... 99

5.11

SERVICIOS DE LOCALIZACIÓN GEOGRÁFICA .......................................................... 101

5.11.1 UBICACIONES FRECUENTES .................................................................................. 108

5.11.2 ASSISTED GPS (A-GPS) ............................................................................................. 110

5.11.3

SERVICIO DE LOCALIZACIÓN DE MAPAS ........................................................... 111

5.11.4 OTRAS APLICACIONES QUE HACEN USO DE LA LOCALIZACIÓN ................ 113

5.11.4.1 TIEMPO ..............................................................