Sign in

Dispositivos personales y datos de la Universidad

Dispositivos personales y datos de la Universidad

Trabajar desde casa, revisar un documento en el móvil, abrir un fichero compartido durante un viaje o terminar una gestión fuera del despacho ya forma parte de la actividad diaria. Esa flexibilidad ayuda, pero también difumina una frontera que antes era más clara: qué es personal, qué es universitario, dónde se guarda la información y desde qué dispositivo se consulta.

El problema no está en usar tecnología fuera del puesto habitual, sino en hacerlo sin una separación mínima. Un ordenador familiar, un móvil privado sin cifrado configurado o una carpeta local llena de listados pueden convertir una tarea sencilla en una exposición innecesaria de datos personales, documentos internos o información confidencial.

En la Universidad Pontificia Comillas manejamos correos, documentos compartidos, convocatorias, tutorías, expedientes, actas, materiales docentes, proyectos de investigación y gestiones administrativas. Muchas veces parecen ficheros rutinarios, pero pueden contener información que no debe circular fuera de los espacios previstos.

Qué significa BYOD y por qué importa ahora

BYOD viene de Bring Your Own Device, es decir, usar un dispositivo personal para una actividad profesional o universitaria. Puede ser un portátil propio, un móvil privado, una tableta o incluso un ordenador doméstico compartido. En la práctica, ocurre cuando consultamos el correo institucional desde el teléfono, editamos un documento desde casa o descargamos una hoja de cálculo para “trabajar un rato más”.

Este uso se ha vuelto más frecuente por el trabajo híbrido, la movilidad, la atención a plazos y la disponibilidad permanente de servicios en la nube. La dificultad aparece cuando los datos salen del entorno de trabajo y acaban en descargas locales, carpetas personales, aplicaciones no previstas, copias duplicadas o dispositivos que también usan otras personas.

No todos los riesgos son espectaculares. A veces basta con una descarga olvidada, una sincronización automática, una pantalla sin bloquear, una copia en una carpeta equivocada o un móvil perdido. Una lista con nombres, correos, calificaciones, datos de investigación, teléfonos o información de gestión no debería quedar almacenada en un dispositivo personal si no es necesario para la función que se está realizando.

Señales útiles y límites

Hay señales que conviene tomar en serio. Por ejemplo, descubrir que una hoja con datos personales está en el escritorio del ordenador de casa, que el móvil guarda adjuntos del correo, que una aplicación de terceros tiene acceso a documentos, que se han enviado ficheros a una cuenta personal para imprimirlos o que un dispositivo compartido mantiene una sesión abierta.

Otra señal habitual es la acumulación: varias versiones del mismo listado, descargas antiguas, copias en carpetas temporales, ficheros enviados por mensajería o documentos que ya no hacen falta pero siguen disponibles. La información que se queda “por si acaso” aumenta el riesgo sin aportar valor real.

Una señal aislada no confirma un incidente. Tener un fichero descargado no significa automáticamente que haya habido una fuga. Pero sí indica que conviene corregir el hábito: cerrar sesión, retirar copias innecesarias, revisar permisos, mover el trabajo al espacio adecuado y avisar si se sospecha que alguien no autorizado ha podido acceder.

Qué ocurre por dentro cuando mezclamos usos

Cuando se descarga un documento en un dispositivo personal, deja de depender solo del entorno universitario. Puede quedar en la carpeta de descargas, sincronizarse con una nube privada, aparecer en la lista de ficheros recientes, conservarse en copias automáticas o abrirse con aplicaciones que guardan cachés temporales. La persona ve un documento normal; por dentro, pueden haberse creado varias huellas del fichero.

Cuando se accede desde un móvil privado, también entran en juego el bloqueo de pantalla, el cifrado del dispositivo, las copias de seguridad, las notificaciones visibles, las aplicaciones instaladas y la posibilidad de pérdida o robo. Si el móvil no tiene cifrado configurado o una protección adecuada, los datos almacenados localmente quedan más expuestos.

Cuando se trabaja desde un ordenador compartido, el riesgo cambia. Puede haber otros usuarios, navegadores que recuerdan sesiones, descargas visibles, historiales, impresoras domésticas o carpetas sincronizadas. Aunque nadie actúe de mala fe, una persona de la familia podría abrir un documento por error, adjuntarlo sin darse cuenta o verlo en una vista previa.

Qué está en juego en la Universidad

En la Universidad, la información no siempre parece sensible a primera vista. Un listado de asistentes, una tutoría pendiente, una convocatoria, una rúbrica de evaluación, una hoja de seguimiento, un acta en preparación o una tabla de contactos pueden parecer documentos de trabajo normales. Sin embargo, pueden incluir datos personales, información académica, decisiones internas o datos sujetos a confidencialidad.

En docencia, puede afectar a calificaciones, trabajos, comunicaciones con estudiantes o documentación de tutorías. En investigación, a datos de participantes, resultados preliminares, colaboraciones, propiedad intelectual o documentación de proyectos. En gestión, a expedientes, contratos, convocatorias, movilidad, bibliotecas, compras, servicios, correo institucional y documentos compartidos.

El objetivo no es bloquear la actividad ni dificultar el trabajo. Es evitar que los datos se dispersen. Cuanto menos se descargan, duplican y almacenan fuera de los espacios previstos, más fácil es protegerlos, corregir errores y reducir el impacto si ocurre algo.

Cómo ayuda el STIC

El STIC puede orientar cuando hay dudas sobre el uso seguro de dispositivos, accesos, sesiones, documentos compartidos o posibles exposiciones de información. También puede ayudar a valorar qué pasos dar si se ha perdido un dispositivo, si se ha usado un ordenador compartido, si se han descargado datos por error o si se sospecha que un fichero ha quedado accesible donde no debía.

Su papel es acompañar, contener, revisar y coordinar cuando proceda. En estos casos, avisar pronto ayuda más que intentar resolverlo en solitario. Muchas situaciones se pueden encauzar mejor si se conoce qué documento era, dónde pudo quedar guardado, qué tipo de datos contenía y desde qué dispositivo se accedió.

El aviso temprano no debe verse como una confesión de culpa, sino como una medida de cuidado. En seguridad, el tiempo y el contexto ayudan: no es lo mismo detectar una descarga innecesaria el mismo día que encontrar meses después copias dispersas en varios dispositivos.

Lo que ha cambiado en 2025 y 2026

En 2025 y 2026 han coincidido varias tendencias que hacen más importante ordenar los usos pro-perso. La IA generativa, que crea texto, imágenes, audio o código a partir de instrucciones, facilita tareas legítimas, pero también puede aumentar el riesgo de copiar información interna en servicios no adecuados. El Foro Económico Mundial señaló en 2026 que la adopción acelerada de IA está cambiando el mapa de riesgo, y que el 87% de los encuestados identificó las vulnerabilidades relacionadas con IA como el riesgo cibernético de crecimiento más rápido durante 2025.

También han ganado peso el robo de sesión y el abuso de credenciales. El robo de sesión consiste en aprovechar una sesión ya iniciada para acceder sin necesitar de nuevo la contraseña. Por eso es tan importante cerrar sesión en dispositivos compartidos, no guardar accesos en navegadores no controlados y evitar descargas locales innecesarias.

El phishing, el smishing y el vishing siguen evolucionando. Phishing es el engaño por correo; smishing, por SMS o mensajería; vishing, por llamada. El informe 2026 del Foro Económico Mundial indica que el 77% de los encuestados observó un aumento del fraude digital y del phishing, y que los tipos más comunes mencionados fueron phishing, fraude de pagos y robo de identidad.

Los informes de brechas siguen apuntando a factores muy cercanos al día a día: credenciales robadas, ingeniería social, phishing, vulnerabilidades sin corregir y ransomware. Verizon resume en su DBIR 2026 que las causas frecuentes de brecha siguen implicando el factor humano, credenciales robadas, explotación de vulnerabilidades y ransomware.

Datos recientes en contexto

ENISA publicó su Threat Landscape 2025 el 1 de octubre de 2025, con un análisis de 4.875 incidentes ocurridos entre el 1 de julio de 2024 y el 30 de junio de 2025. El dato sirve para recordar que el riesgo no depende solo de grandes ataques, sino de un ecosistema amplio de amenazas y tendencias. [ENISA, 2025]

Verizon analizó en su DBIR 2025 más de 22.000 incidentes de seguridad y 12.195 brechas confirmadas. En ese informe, el abuso de credenciales representó el 22% de los vectores iniciales y la explotación de vulnerabilidades el 20%. Estos datos pueden variar por sector, muestra y metodología, pero refuerzan una idea sencilla: proteger accesos, dispositivos y actualizaciones sigue siendo una base necesaria. [Verizon, 2025]

La Comisión Europea recuerda el principio de minimización: cuando se necesitan datos personales, deben ser adecuados, pertinentes y limitados a lo necesario para la finalidad prevista. Aplicado al trabajo diario, significa no recopilar, descargar ni conservar más datos de los necesarios para realizar la función correspondiente. [Comisión Europea, consulta 2026]

El Foro Económico Mundial indicó en 2026 que el porcentaje de organizaciones que evalúan la seguridad de sus herramientas de IA pasó del 37% en 2025 al 64% en 2026. Es una señal de madurez: antes de usar una herramienta nueva, conviene preguntarse qué datos se van a introducir, dónde quedan y quién puede acceder. [WEF, 2026]

Consejos prácticos para separar, reducir y proteger

  • Trabaja directamente desde tu espacio personal OneDrive de la Universidad cuando manejes datos personales o información confidencial. Así evitas descargar copias en el ordenador personal o en el móvil, reduces versiones dispersas y mantienes el trabajo dentro del entorno previsto.
  • No descargues listados, actas, expedientes, datos de tutorías, información de investigación o documentos confidenciales en dispositivos personales. Si necesitas consultarlos, prioriza el acceso en línea desde el espacio adecuado y con sesión controlada.
  • No almacenes datos personales en el móvil si no tiene cifrado configurado y una protección adecuada. El móvil se pierde, se presta o se desbloquea en más contextos que un equipo de despacho; si no es necesario guardar el fichero, no lo guardes.
  • Si ya tienes listas o datos personales en tus dispositivos privados, elimínalos cuando ya no sean necesarios. Revisa descargas, escritorio, documentos recientes, aplicaciones de mensajería, papelera y carpetas sincronizadas con nubes personales.
  • Aplica el principio de minimización. Recoge y conserva solo los datos necesarios para el buen desarrollo de tu función. Si una columna, un dato o una copia no aporta nada a la tarea, probablemente aumenta el riesgo sin mejorar el resultado.
  • Evita enviarte documentos al correo personal para “seguir luego”. Ese gesto crea una copia fuera del entorno universitario, puede saltarse controles de acceso y dificulta saber dónde está realmente la información.
  • No uses ordenadores familiares o compartidos para abrir documentos con datos personales. Si no hay alternativa, evita descargar, no guardes contraseñas, cierra sesión al terminar y borra los ficheros temporales que se hayan creado.
  • Bloquea siempre el dispositivo cuando te levantes. En casa, en un despacho compartido, en una biblioteca o durante un viaje, un bloqueo de pantalla evita accesos accidentales y miradas innecesarias.
  • Revisa los permisos antes de compartir. Compartir un enlace “con cualquiera que lo tenga” puede ser cómodo, pero no siempre es adecuado. Ajusta destinatarios, permisos de edición y caducidad si está disponible.
  • No instales aplicaciones no necesarias para abrir documentos de trabajo. Algunas piden permisos excesivos o sincronizan contenido en ubicaciones personales. Usa aplicaciones y servicios previstos para la tarea.
  • Mantén el sistema y el navegador actualizados. Las actualizaciones reducen fallos conocidos que pueden afectar a sesiones, documentos y credenciales.
  • Haz limpieza periódica de copias locales. Un buen momento es al cerrar una convocatoria, terminar una evaluación, finalizar una tutoría documentada o concluir una fase de proyecto.

Ejemplos cotidianos que conviene corregir

Un caso frecuente es descargar una hoja de cálculo para revisarla “más cómodo” en el portátil de casa. Si contiene datos personales o información confidencial, es preferible trabajar directamente desde OneDrive de la Universidad, evitando que el fichero quede en descargas, copias de seguridad personales o listas de documentos recientes.

Otro caso habitual es abrir un adjunto en el móvil mientras se está fuera del campus. Si el documento se descarga automáticamente, puede permanecer en el dispositivo mucho después de haberlo consultado. Conviene revisar la configuración de descargas, borrar lo que no sea necesario y evitar almacenar información sensible en el teléfono.

También puede ocurrir que se comparta un ordenador doméstico para imprimir, firmar o revisar un documento. El riesgo no está solo en la impresión: puede quedar una copia local, una vista previa, un acceso recordado o una sesión abierta. Si el documento contiene datos personales, ese camino debería evitarse.

Qué hacer si ya ha pasado

Si has descargado datos personales o información confidencial en un ordenador personal, un móvil privado o un dispositivo compartido, lo primero es dejar de seguir moviendo el fichero. No lo reenvíes, no lo subas a otra nube, no lo copies a un USB y no intentes “arreglarlo” creando nuevas versiones.

Después, identifica con calma qué documento era, dónde quedó guardado, si se abrió desde una cuenta personal, si el dispositivo lo usa alguien más y si pudo sincronizarse con otro servicio. Si puedes hacerlo sin destruir evidencias útiles, elimina las copias innecesarias de ubicaciones personales y revisa descargas, escritorio, papelera y aplicaciones usadas para abrirlo.

Si sospechas que otra persona ha podido acceder, que el dispositivo se ha perdido, que la sesión quedó abierta o que el fichero pudo compartirse por error, avisa pronto por el canal oficial. Para comunicar una incidencia o pedir ayuda, utiliza Jira.

Si procede cambiar una contraseña, hazlo desde un acceso legítimo y seguro, no desde el dispositivo sobre el que tienes dudas. No retrases el aviso por vergüenza: estas situaciones suelen empezar con un gesto cotidiano, y cuanto antes se conozcan, mejor se puede reducir el impacto.

Privacidad y trato respetuoso

La protección de datos no va de desconfianza, sino de proporcionalidad. No todos los documentos requieren las mismas medidas, pero los datos personales y la información confidencial sí necesitan límites claros: quién accede, desde dónde, durante cuánto tiempo y con qué finalidad.

El trato debe ser siempre respetuoso. Una incidencia puede ocurrir por prisas, multitarea, presión de plazos o una interpretación equivocada de cómo funciona una descarga. La respuesta adecuada es aprender, contener y mejorar hábitos, no señalar a quien avisa.

También es una cuestión de confianza con estudiantes, compañeros, colaboradores y participantes en proyectos. Manejar solo los datos necesarios, trabajar en el espacio previsto y eliminar copias que ya no hacen falta ayuda a proteger a las personas y a la propia actividad universitaria.

Menos copias, menos exposición

La mejor protección no siempre es añadir más herramientas: muchas veces es reducir copias, ordenar permisos y trabajar en el lugar correcto. Si un documento con datos personales puede consultarse y editarse desde OneDrive de la Universidad, no hace falta descargarlo al ordenador personal ni guardarlo en el móvil.

Antes de mover información, conviene parar unos segundos: qué datos contiene, si son necesarios, dónde van a quedar y quién podría acceder. Esa pausa evita muchos problemas posteriores.

Separar lo personal de lo universitario no resta agilidad; ayuda a trabajar con más tranquilidad. Menos descargas, menos duplicados y menos datos innecesarios significan menos riesgo. Parar, verificar y pedir ayuda a tiempo es una buena forma de cuidar el trabajo de todos.

Read next