Deteniendo a los 'App Killers': Cómo proteger las aplicaciones MTD mediante privilegios basados en roles de AMAPI

Un desafío persistente y frustrante en la movilidad empresarial es garantizar que las aplicaciones de seguridad críticas para la misión permanezcan activas. Usted despliega una solución de defensa contra amenazas móviles (MTD) de última generación en su flota corporativa, solo para descubrir que los dispositivos están dejando de cumplir con las normativas. ¿El culpable? Los agresivos protocolos de optimización de batería de los fabricantes (OEM), a menudo denominados "app killers", o usuarios finales expertos que fuerzan manualmente la detención de la aplicación para ahorrar batería o eludir la monitorización.

Para mantener una postura de seguridad de confianza cero (zero-trust), sus aplicaciones MTD deben ejecutarse de forma silenciosa y continua en segundo plano, las 24 horas del día, los 7 días de la semana. Cuando los límites de ejecución en segundo plano de Android terminan estas aplicaciones, su red empresarial se vuelve vulnerable al phishing, a cargas maliciosas y a ataques de intermediario (man-in-the-middle). Históricamente, solucionar esto requería scripts JSON complejos y personalizados, y batallas constantes con los ajustes de batería específicos de cada fabricante.

Descubra cómo aprovechar los últimos privilegios basados en roles de la API de gestión de Android (AMAPI) dentro de Nomid MDM para que sus herramientas de defensa contra amenazas móviles sean completamente a prueba de manipulaciones. Como socio oficial de Android Enterprise, Nomid MDM ofrece un enfoque fluido y basado en la interfaz de usuario para eludir las agresivas restricciones del sistema operativo, garantizando que su pila de seguridad permanezca invencible en despliegues de salud, comercio minorista, educación y logística.

Comprendiendo el problema de los "App Killers" en Android

Antes de poder detener eficazmente a los "app killers" de Android, debe comprender cómo gestiona los recursos el sistema operativo Android. Para maximizar la duración de la batería, Android emplea varias funciones agresivas de ahorro de energía, sobre todo el modo Doze y las categorías de espera de aplicaciones (App Standby Buckets). Aunque son excelentes para dispositivos de consumo, estas funciones causan estragos en las herramientas de seguridad empresarial.

Cuando un dispositivo está desenchufado y parado, el modo Doze restringe la actividad de la CPU y de la red en segundo plano. Además, las categorías de espera de aplicaciones clasifican las apps en función de la interacción del usuario. Dado que las aplicaciones MTD están diseñadas para ser invisibles para el usuario, el sistema operativo a menudo las clasifica en las categorías "Rara" o "Restringida", lo que limita gravemente su capacidad para buscar amenazas o informar a la consola MDM.

A este comportamiento a nivel de sistema operativo se suma la manipulación por parte del usuario. Si un empleado nota que una aplicación consume batería, puede ir a los ajustes del dispositivo y pulsar "Forzar detención". Una vez que se fuerza la detención, una aplicación no puede reiniciarse por sí misma hasta que el usuario la inicie manualmente de nuevo. Para que la protección MTD de Android Enterprise sea eficaz, debe neutralizar tanto la optimización de la batería a nivel de sistema operativo como la capacidad del usuario para finalizar la aplicación.

La solución de Nomid MDM: Privilegios basados en roles de AMAPI

La solución moderna a este desafío reside en la API de gestión de Android (AMAPI). Google introdujo los privilegios basados en roles de AMAPI (específicamente a través de DelegatedScope) para permitir que los gestores de activos de TI concedan permisos elevados a nivel de sistema a aplicaciones específicas sin requerir que esas aplicaciones sean el Controlador de Políticas de Dispositivo (DPC).

Combinado con políticas precisas de exención de optimización de batería de MDM y ajustes estrictos de bloqueo de aplicaciones, Nomid MDM garantiza que sus aplicaciones de Android instaladas de forma forzada se conviertan en aplicaciones de seguridad verdaderamente a prueba de manipulaciones. Ya sea que esté desplegando escáneres robustecidos en un almacén logístico o tabletas con Samsung Knox en un entorno sanitario clínico, esta configuración garantiza que su solución MTD sobreviva a reinicios, interferencias del usuario y a la agresiva gestión de recursos del sistema operativo.

Tutorial paso a paso: Cómo hacer que las aplicaciones MTD sean a prueba de manipulaciones en Nomid MDM

Siga estos pasos precisos dentro de su consola Nomid MDM para configurar, desplegar y proteger su aplicación de defensa contra amenazas móviles utilizando los privilegios basados en roles de AMAPI. Este tutorial asume que ya ha vinculado su cuenta gestionada de Google Play a su instancia de Nomid MDM.

Paso 1: Instalación forzada de la aplicación MTD

Para garantizar que la aplicación MTD esté presente en el dispositivo inmediatamente después del registro Zero-Touch, debe configurarla como una aplicación de instalación forzada. Esto evita que el usuario la desinstale.

1. Inicie sesión en su Consola de administración de Nomid MDM.
2. Vaya a Aplicaciones > Catálogo de aplicaciones en el menú de navegación de la izquierda.
3. Haga clic en Añadir aplicación y busque su solución MTD específica (por ejemplo, Lookout, Zimperium o Microsoft Defender) en el iframe de Google Play gestionado.
4. Apruebe la aplicación y sus permisos requeridos, luego haga clic en Sincronizar.
5. Vaya a Políticas > Perfiles de dispositivo y seleccione el perfil asignado a sus dispositivos de destino.
6. En la pestaña Aplicaciones, localice su aplicación MTD y cambie el Tipo de despliegue a Instalación forzada (equivalente en AMAPI: installType: FORCE_INSTALLED).
7. Guarde el perfil.

Resultado esperado: La aplicación MTD ahora se descargará e instalará automáticamente en todos los dispositivos asignados a este perfil sin requerir la interacción del usuario, y el botón "Desinstalar" estará desactivado en el dispositivo.

Advertencia: Las aplicaciones de instalación forzada consumirán datos de red durante el aprovisionamiento inicial del dispositivo. Si está realizando el despliegue a través de registro Zero-Touch sobre redes celulares en entornos de logística o servicios de campo, asegúrese de que sus planes de datos tengan en cuenta esta carga inicial.

Paso 2: Aplicar la exención de optimización de batería de MDM

A continuación, debe indicar al sistema operativo Android que ignore esta aplicación específica al aplicar el modo Doze y los límites de espera de aplicaciones.

1. Aún en la sección Perfiles de dispositivo de Nomid MDM, edite su perfil de destino.
2. Vaya a la pestaña Configuraciones avanzadas de aplicaciones.
3. Localice la sección Exenciones de optimización de batería.
4. Haga clic en Añadir exención y seleccione su aplicación MTD de la lista desplegable.
5. Active el ajuste a Exento de optimización. (Esto aprovecha la política de AMAPI batteryOptimization: EXEMPTED).
6. Guarde sus cambios.

Resultado esperado: El sistema operativo Android ya no suspenderá los procesos en segundo plano de la aplicación MTD, garantizando un escaneo continuo de amenazas independientemente del nivel de batería del dispositivo o del estado de espera.

Paso 3: Asignar privilegios basados en roles de AMAPI (Ámbitos delegados)

Este es el paso crítico para detener a los "app killers" de Android. Al delegar el ámbito de Administrador de Seguridad, le da a la aplicación MTD la autoridad para monitorizar eventos a nivel de sistema sin ser finalizada por el sistema operativo.

1. En la consola de Nomid MDM, vaya a Seguridad > Privilegios delegados.
2. Haga clic en Crear nueva delegación.
3. Seleccione su perfil de dispositivo de destino.
4. En el campo Aplicación de destino, seleccione su aplicación MTD.
5. En la lista de Ámbitos delegados, marque la casilla de Administrador de seguridad (equivalente en AMAPI: DELEGATED_SCOPE_SECURITY_ADMIN).
6. Opcional: Si su aplicación MTD realiza protección contra phishing a través de una VPN local, marque también la casilla de Administrador de actividad de red (equivalente en AMAPI: DELEGATED_SCOPE_NETWORK_ACTIVITY_LOGS).
7. Haga clic en Aplicar delegación.

Resultado esperado: La aplicación MTD posee ahora privilegios elevados a nivel de sistema. El sistema operativo la reconoce como un componente de seguridad crítico, lo que reduce enormemente la probabilidad de una terminación inesperada por los protocolos de gestión de memoria específicos del fabricante.

Nota: No todas las aplicaciones MTD están preparadas para aceptar todos los ámbitos delegados de AMAPI. Consulte la documentación de su proveedor de MTD específico para asegurarse de que solo está delegando los ámbitos que su aplicación está programada para utilizar.

Paso 4: Bloquear los ajustes de información de la aplicación para evitar la manipulación del usuario

Incluso con las protecciones a nivel de sistema operativo activadas, un usuario podría intentar ir a los ajustes del dispositivo y pulsar "Forzar detención" o borrar los datos de la aplicación. Debe bloquear el acceso a estos ajustes.

1. Vaya a Políticas > Perfiles de dispositivo y abra su perfil de destino.
2. Vaya a la pestaña Restricciones de dispositivo.
3. Desplácese hacia abajo hasta la sección Gestión de aplicaciones.
4. Localice el ajuste etiquetado como Permitir al usuario modificar los ajustes de la aplicación y cámbielo a Desactivado (equivalente en AMAPI: modifyAppSettingsDisabled: true).
5. Para ser completamente exhaustivo, localice Permitir al usuario forzar la detención de aplicaciones y cámbielo a Desactivado.
6. Haga clic en Publicar perfil para enviar estos cambios a su flota.

Resultado esperado: Cuando un usuario vaya a Ajustes > Aplicaciones > [App MTD], los botones "Forzar detención", "Desinstalar" y "Borrar datos" aparecerán en gris y no se podrán pulsar. La aplicación es ahora totalmente a prueba de manipulaciones.

Verificación de la protección MTD a prueba de manipulaciones

Después de enviar el perfil actualizado de Nomid MDM a sus dispositivos, debe verificar que la configuración detiene con éxito a los "app killers" de Android y evita la manipulación del usuario. Tome un dispositivo de prueba que haya recibido el perfil actualizado y realice las siguientes comprobaciones:

• La prueba de detención forzada: Vaya a Ajustes > Aplicaciones > [Su App MTD]. Verifique que los botones "Forzar detención" y "Desinstalar" estén en gris.
• La prueba de optimización de batería: Vaya a Ajustes > Batería > Optimización de batería (las rutas de los menús varían según el fabricante). Busque su aplicación MTD. Debería decir "No optimizada" y el usuario no debería poder cambiar este estado.
• La prueba de reinicio: Reinicie el dispositivo. No abra la aplicación MTD manualmente. Inicie sesión en la consola web de su proveedor de MTD y verifique que el dispositivo se conecte e informe de su estado de salud en los 5 minutos posteriores al arranque. Esto confirma que la aplicación se está iniciando automáticamente en segundo plano.

Si el dispositivo supera las tres pruebas, sus privilegios basados en roles de AMAPI y las exenciones de optimización de batería de MDM están funcionando perfectamente.

Preguntas frecuentes sobre resolución de problemas

¿Por qué mi aplicación MTD sigue entrando en modo de suspensión en dispositivos Samsung?

Los dispositivos Samsung utilizan un sistema de gestión de batería patentado junto con el modo Doze nativo de Android. Aunque la política de exención de batería de Nomid MDM gestiona la parte nativa de Android, es posible que deba aprovechar nuestra integración profunda con Samsung Knox. En la consola de Nomid MDM, vaya a la sección OEMConfig de su perfil, añada el Knox Service Plugin (KSP) y ponga explícitamente en la lista blanca el nombre del paquete de la aplicación MTD en los ajustes de optimización de batería de Knox.

El ámbito delegado "Administrador de seguridad" no se aplica. ¿Qué ha fallado?

AMAPI rechazará un ámbito delegado si la aplicación de destino no está instalada de forma forzada o si el manifiesto de la aplicación no declara soporte para ese rol de gestión específico. Asegúrese de que el Paso 1 (Instalación forzada) se haya completado y sincronizado totalmente antes de aplicar el Paso 3. Además, verifique con su proveedor de MTD que la versión actual de su aplicación soporta los ámbitos delegados de AMAPI.

¿Pueden los usuarios eludir esto iniciando en Modo seguro?

¿Cómo actualizo la aplicación MTD si he bloqueado las modificaciones de la aplicación?

Bloquear la restricción "Modificar ajustes de la aplicación" evita que el usuario cambie los estados de la aplicación; no impide que el MDM actualice la aplicación. Nomid MDM continuará enviando actualizaciones de forma silenciosa a la aplicación MTD a través de Google Play gestionado en segundo plano, cumpliendo con sus políticas de ventana de mantenimiento configuradas.

El dispositivo aparece como "No conforme" en Nomid MDM después de aplicar estos ajustes. ¿Por qué?

Esto suele ocurrir si la aplicación MTD requiere que el usuario la abra una vez para conceder permisos locales del dispositivo (como Ubicación o Almacenamiento) antes de que pueda activarse. Para solucionar esto, utilice las Políticas de permisos de aplicaciones de Nomid MDM para conceder automáticamente y de forma silenciosa todos los permisos de ejecución requeridos a la aplicación MTD. Establezca la política de permisos en GRANT para el nombre del paquete MTD específico para que no se requiera la interacción del usuario.

Conclusión

Detener a los "app killers" de Android y garantizar el funcionamiento continuo de su pila de seguridad ya no es un juego de adivinanzas con soluciones alternativas específicas de cada fabricante. Al aprovechar los privilegios basados en roles de AMAPI, las exenciones de optimización de batería y las restricciones estrictas de gestión de aplicaciones, puede transformar los despliegues móviles estándar en terminales reforzados de confianza cero.

Nomid MDM abstrae la complejidad del scripting JSON de la API de gestión de Android, permitiendo a los gestores de activos de TI desplegar soluciones MTD a prueba de manipulaciones con solo unos pocos clics. Ya sea que esté protegiendo datos de pacientes en el sector sanitario o sistemas de punto de venta en el comercio minorista, la implementación de estos pasos garantiza que sus aplicaciones de defensa contra amenazas móviles se ejecutarán sin problemas en segundo plano.

¿Está listo para experimentar un despliegue de dispositivos ultrarrápido y un control de seguridad sin precedentes? Inicie sesión en su consola de Nomid MDM hoy mismo para configurar sus privilegios delegados, o póngase en contacto con nuestros especialistas en integración de Android Enterprise para optimizar la postura de seguridad de su flota.