Aviso a altos cargos y funcionarios para que no revelen información confidencial en las notificaciones del calendario del móvil

La protección de los dispositivos móviles que utilizan los altos cargos de la administración va más allá de intentar evitar que un virus informático, un programa espía como Pegasus, infecte un teléfono y robe información.

Hay otras opciones de que se produzca una fuga de información. El Centro Criptológico Nacional, dependiente del Centro Nacional de Inteligencia, contempla una de ellas en un documento reciente.

Este organismo se encarga de “contribuir a la mejora de la ciberseguridad española, a través del CCN-CERT, afrontando de forma activa las amenazas que afecten a sistemas del Sector Público, a empresas y organizaciones de interés estratégico para el país, en coordinación con el Centro Nacional de Protección de Infraestructuras Críticas (CNPIC) y a cualquier sistema TIC que procese información clasificada”.

Para ello, edita una serie de guías para utilizar tecnologías de la información y la comunicación. Hace unos días publicó la “Guía CCN-STIC 1617 sobre procedimiento de empleo seguro de dispositivos Samsung Galaxy (Android 12)”.

Se trata de un documento dirigido principalmente a los usuarios de dispositivos cualificados por el Centro Criptológico Nacional, es decir, altos cargos y funcionarios de la administración a los que se les haya entregado, en razón de su cargo, teléfonos móviles.

Incluye una serie de instrucciones para configurar de forma segura un teléfono móvil Samsung Galaxy con sistema operativo Android 12.

La guía del Centro Criptológico Nacional incluye una advertencia singular. Trata sobre la “Alarma de calendario”, que a priori puede no parecer un elemento que suponga una amenaza para la seguridad de la información que se maneja con un teléfono móvil.

“La aplicación predeterminada de Calendario preinstalada por Samsung permite a los usuarios crear eventos que incluyen el título del evento, la ubicación, la fecha y la hora, así como las alarmas de notificación del evento”, se explica en el documento.

El problema procede de que “cuando se configura la alarma, a la hora especificada, los detalles del evento se muestran en la pantalla del dispositivo, incluso cuando el dispositivo está en estado de bloqueo”.

Es decir, aunque la pantalla esté apagada, si el usuario tenía programado un evento para ese momento, la pantalla se ilumina y muestra los detalles de ese aviso. Eso permite que cualquiera vea las notas que el usuario escribió con ese evento.

Por ello, el Centro Criptológico Nacional indica que los altos cargos y funcionarios que tengan un Samsung Galaxy con Android 12 certificado por este organismo “deben estar formados para no configurar esta opción o para no incluir información confidencial en el título y la ubicación del evento”. Un despiste podría revelar datos confidenciales sobre reuniones entre altos cargos, informes, cometidos...