En el ámbito laboral, nos hemos acostumbrado a un flujo de información constante a través del teléfono móvil. En este contexto, la mensajería instantánea se ha establecido como una herramienta imprescindible que permite intercambiar documentos al instante, realizar videoconferencias o simplemente estar en contacto con empleados fuera de la oficina. Se podría decir que hoy la mensajería instantánea es increíblemente útil y es difícil imaginar un lugar de trabajo moderno sin ella.
El Día de la Privacidad de Datos, iniciado por el Consejo Europeo en 2007 y celebrado cada 28 de enero, promueve la protección de datos; ante el creciente número de ciberamenazas sirve de recordatorio para que las empresas procedan con las mejores prácticas en todas las áreas, canales de comunicación incluidos. Teniendo en cuenta que más de la mitad de los fraudes digitales se perpetra a través de dispositivos móviles, la comunicación a través de una app de mensajería no apta para el ámbito laboral pone en riesgo la privacidad y la seguridad de los datos de empleados, clientes y de la empresa. Y para proteger estos datos y cumplir con las normativas vigentes no basta con recurrir a un cifrado de extremo a extremo (E2EE).
Encriptación sí, pero…
Cuando se habla de una aplicación de mensajería segura lo primero que viene a la mente es el cifrado de extremo a extremo, una medida para garantizar que sólo el emisor y el destinatario puedan leer los mensajes y abrir los archivos enviados. En principio, la gran mayoría de las plataformas de mensajería instantánea hoy ofrece el cifrado de extremo a extremo, aunque con matices: en algunas apps hay que activarlo manualmente, y no todas trabajan con código de fuente abierta ("open source", sinónimo de máxima transparencia en este campo). Algunas de las plataformas de comunicación más populares no ofrecen cifrado de extremo a extremo para videollamadas de grupo.
La encriptación juega sin duda un papel importante en las apps de mensajería instantánea, pero los CISOs saben que hay muchos otros aspectos que son determinantes para mantener la privacidad, como por ejemplo la puesta en marcha de unos protocolos de seguridad sólidos y una gestión estricta de los derechos de acceso de los usuarios. En este sentido, necesitan disponer de una plataforma diseñada para el uso profesional y que ofrezca todas las opciones de seguridad necesarias. Sólo así podrán configurarla correctamente y asegurar que su empresa cumpla con las premisas del marco jurídico de la Unión Europea.
…la privacidad de datos requiere más
Por otro lado, la selección de un proveedor de confianza es clave: en la UE, el tratamiento y almacenamiento de datos personales en las empresas está regulado por el Reglamento General de Protección de Datos (RGPD). Sin embargo, si los servidores (o los servidores para las copias de seguridad) de una plataforma se sitúan fuera de la UE, es probable que los metadatos puedan ser recopilados y transmitidos en aquella jurisdicción. En el caso de las aplicaciones de mensajería, los metadatos contienen información sobre la ubicación, hora y duración de la comunicación, números de teléfono y direcciones IP. Las empresas que canalizan su comunicación a través de una app con estas características corren el riesgo de no cumplir con el RGPD.
Asimismo, cabe recordar que alrededor de dos tercios de los servicios europeos en la nube (SaaS) son gestionados por proveedores con sede en Estados Unidos. Estos están sujetos a la Cloud Act, una ley que permite a las autoridades estadounidenses consultar los archivos almacenados en cualquier momento.
Por último, hay que recordar que, desde el 17 de octubre 2024, la directiva NIS2 es vinculante en todos los países de la Unión Europea: la normativa obliga las empresas a prevenir los riesgos digitales, poner en marcha medidas para minimizarlos y supervisar su aplicación en todas las áreas de negocio. Igualmente, DORA, la directiva que regula la ciberseguridad en el sector financiero y en los proveedores tecnológicos (servicios en la nube incluidos), acaba de entrar en vigor (17 de enero 2025). En este contexto, el Día de la Privacidad de Datos también resalta la importancia de la privacidad en la comunicación empresarial, donde una app de mensajería segura reducirá el riesgo de una "pérdida de datos". ¿A qué empresa no le gustaría cumplir con las normas vigentes y así prevenir problemas legales y/o reputacionales?