Volver al blog Ciberseguridad

¿Cómo proteger los móviles y portátiles de la empresa (MDM)?

26 de junio de 2026 3L Systems

Contenido del artículo

Para proteger los móviles y portátiles de tu empresa, la respuesta corta es: implanta un sistema de gestión de dispositivos (MDM), como Microsoft Intune, que te permita administrar todos los equipos desde un único panel, exigir cifrado y contraseña, aplicar políticas de seguridad homogéneas y, si un dispositivo se pierde o lo roban, bloquearlo o borrarlo a distancia. En lugar de confiar en que cada empleado configure bien su teléfono o su portátil, el control pasa a estar centralizado y se aplica solo. A continuación te explicamos en qué consiste, qué te permite hacer y cómo abordarlo en una pyme sin complicarte la vida.

Por qué los dispositivos son hoy el punto débil

Hace años, los datos de una empresa vivían dentro de la oficina. Hoy viven en el portátil que viaja en el maletero, en el móvil con el que se contesta el correo desde casa y en la tablet que usa el comercial en la calle. Cada uno de esos equipos es una puerta a la información de la empresa, y cada puerta que no controlas es un riesgo. Un teléfono olvidado en un taxi o un portátil robado pueden convertirse en una fuga de datos seria si no estaban protegidos de antemano.

El problema no suele ser la mala intención, sino la dispersión: equipos sin contraseña, sin cifrar, con software desactualizado o con datos de la empresa mezclados con los personales. La solución no es prohibir el trabajo en movilidad —que ya forma parte de cómo trabajamos—, sino ponerle reglas claras y automáticas. Ahí entra el MDM.

Qué es la gestión de dispositivos (MDM / Intune)

Un MDM (Mobile Device Management) es una plataforma que te permite gestionar de forma centralizada todos los dispositivos de la empresa: móviles, tablets y también portátiles y ordenadores de sobremesa. Aunque el nombre nació con los móviles, las herramientas actuales cubren todo el parque de equipos, por lo que cada vez se habla más de gestión unificada de dispositivos.

En el ecosistema Microsoft, la herramienta de referencia es Microsoft Intune, que se integra de forma natural con Microsoft 365 y con las identidades de la empresa. La idea es sencilla: cada dispositivo se inscribe una vez en el sistema y, a partir de ahí, recibe automáticamente las políticas y la configuración que defina la empresa. Si un equipo no cumple las reglas —por ejemplo, no tiene el disco cifrado o le faltan actualizaciones—, se le puede restringir el acceso a los recursos corporativos hasta que se ponga al día.

Qué te permite hacer en la práctica

Cifrado de la información

El cifrado convierte los datos del dispositivo en ilegibles para cualquiera que no tenga la clave. Si roban un portátil con el disco cifrado, quien lo tenga se encontrará con un equipo inservible, no con tus contratos y tu contabilidad. Con un MDM puedes exigir el cifrado de disco (BitLocker en Windows, por ejemplo) en todos los equipos y comprobar que realmente está activo, sin depender de que cada persona lo configure.

Borrado y bloqueo remoto

Es una de las funciones más valoradas: si un dispositivo se pierde o lo roban, puedes bloquearlo o borrarlo a distancia para que la información no caiga en malas manos. En equipos personales, además, puedes borrar solo los datos de la empresa y dejar intactas las fotos y las apps personales del empleado. Hay un matiz honesto que conviene conocer: para que el borrado se ejecute, el dispositivo debe haber estado inscrito antes y necesita conectarse a la red en algún momento para recibir la orden. Por eso lo importante es tenerlo preparado antes del incidente, no después.

Políticas de seguridad homogéneas

Con un MDM defines una vez las reglas y se aplican a todos: contraseña o PIN obligatorio, bloqueo automático de pantalla, actualizaciones del sistema al día, antivirus activo, bloqueo de la instalación de apps no autorizadas o restricciones sobre dónde se pueden copiar los datos. En vez de perseguir a cada empleado, el sistema vigila el cumplimiento y te avisa de los equipos que se salen de la norma.

La idea clave: con un MDM dejas de confiar la seguridad a la voluntad de cada usuario y pasas a que se aplique de forma automática y verificable. Si un equipo no cumple, no entra. Así de simple.

BYOD: cuando el móvil es del empleado

En muchas pymes el correo y las herramientas de trabajo acaban en el móvil personal del empleado. A esto se le llama BYOD (Bring Your Own Device, «trae tu propio dispositivo»), y plantea una duda legítima: ¿cómo protege la empresa sus datos sin meterse en el teléfono privado de alguien?

La respuesta moderna no es controlar todo el teléfono, sino separar lo profesional de lo personal. Se protege únicamente el perfil de trabajo o las aplicaciones corporativas (correo, Teams, documentos): ahí la empresa puede exigir PIN, impedir copiar datos a apps personales y borrar solo esa parte si hace falta. El resto del teléfono sigue siendo del empleado y queda fuera de la gestión. Es un equilibrio sensato entre seguridad y privacidad, pero conviene acompañarlo de una política de uso clara y, dado que afecta a datos personales, valorar las implicaciones en términos generales con el asesoramiento adecuado. No es algo que deba improvisarse.

Cómo abordarlo en una pyme

Implantar un MDM no consiste en «activar una casilla»: es un proyecto pequeño pero que conviene hacer bien, porque define cómo accede toda la empresa a su información. A grandes rasgos, el camino es este:

  • Inventario: saber qué dispositivos hay, de quién son (empresa o personales) y a qué acceden.
  • Definir las políticas: decidir qué se exige (cifrado, contraseña, actualizaciones) y cómo se trata el BYOD.
  • Inscripción: dar de alta los equipos en la plataforma, idealmente de forma escalonada.
  • Formación y acompañamiento: explicar al equipo qué cambia y por qué, para que lo vean como una protección y no como un estorbo.
  • Revisión continua: vigilar el cumplimiento y ajustar las reglas con el tiempo.

Buena parte de las pymes ya disponen de la licencia necesaria dentro de su suscripción de Microsoft 365 y solo les falta configurarlo bien. En 3L Systems, como Partner de Microsoft desde 2003, ayudamos a implantar la gestión de dispositivos dentro de un enfoque más amplio de protección de equipos: no solo el MDM, sino también el antivirus, las actualizaciones y la defensa frente a amenazas. Y si quieres entender mejor el resto de obligaciones de seguridad y trazabilidad, te puede interesar nuestro artículo sobre qué software necesitas para VeriFactu.

El MDM es una pieza importante, pero no lo cubre todo por sí solo. Funciona mejor cuando se combina con un buen control de identidades y accesos, copias de seguridad y unas pautas de uso razonables. Lo sensato es revisar tu caso concreto antes de comprar o configurar nada: muchas veces la solución pasa por aprovechar mejor lo que ya tienes.

Preguntas frecuentes

¿Qué es exactamente un MDM?

MDM (Mobile Device Management) es un sistema de gestión de dispositivos que permite administrar de forma centralizada los móviles, tablets y portátiles de una empresa: aplicar políticas de seguridad, instalar aplicaciones, exigir cifrado y contraseña, y actuar a distancia si un equipo se pierde. En el ecosistema Microsoft, la herramienta de referencia es Microsoft Intune. Hoy el término más amplio es gestión unificada de dispositivos, porque cubre tanto móviles como ordenadores.

¿Puedo borrar un móvil de empresa a distancia si lo roban?

Sí. Con un MDM configurado puedes lanzar un borrado remoto del dispositivo o, en equipos personales, eliminar solo los datos corporativos sin tocar lo personal del empleado. Para que funcione, el dispositivo necesita estar inscrito previamente y, en el momento del borrado, conectado a la red en algún momento para recibir la orden. Por eso conviene tenerlo todo preparado antes de que ocurra el incidente.

¿El MDM sirve también para los portátiles, no solo para móviles?

Sí. Aunque el nombre viene de los móviles, las plataformas actuales como Microsoft Intune gestionan también portátiles y equipos de sobremesa con Windows o macOS. Puedes exigir cifrado de disco, antivirus activo, actualizaciones al día y bloqueo automático, y comprobar que cada equipo cumple esas condiciones antes de dejarle acceder a los recursos de la empresa.

¿Puedo gestionar los móviles personales de mis empleados (BYOD)?

Sí, mediante un enfoque BYOD que separa lo profesional de lo personal. En lugar de controlar todo el teléfono, se protege solo el perfil o las aplicaciones de trabajo. Así la empresa cuida sus datos y el empleado conserva su privacidad. Conviene acompañarlo de una política de uso clara y, dado que afecta a datos personales, valorar las implicaciones de privacidad con el asesoramiento adecuado.

¿Necesito Microsoft 365 para usar Intune?

Microsoft Intune se incluye en varios planes de Microsoft 365 para empresa y también puede contratarse por separado. Lo más habitual en una pyme es que ya disponga de la licencia adecuada dentro de su suscripción de Microsoft 365 y solo falte configurarlo correctamente. Lo recomendable es revisar qué licencias tienes hoy antes de contratar nada nuevo.

¿Quieres proteger
los equipos de tu empresa de verdad?

Revisamos qué dispositivos y licencias tienes hoy y te proponemos cómo gestionarlos de forma segura, sin complicaciones. Primera consultoría gratuita y sin compromiso.

Habla con un experto Ver más artículos
info@3lsystems.es · Edificio Algón, Burjassot (Valencia)