Miguel Rodríguez, CRO y miembro del consejo de Threema. Threema 62374s
Las brechas de seguridad y los ciberataques son cada vez más frecuentes en un entorno digital. Sorprendentemente, el uso de las apps de mensajería diseñadas para el ámbito personal sigue siendo la norma en muchas organizaciones que parecen minimizar los peligros relacionadas con esta práctica.
¿Cuándo darán las organizaciones el salto hacia una comunicación corporativa protegida, efectiva y alineada con los retos presentes y futuros? El ya célebre "Signalgate" demuestra que el uso de herramientas de comunicación no adecuadas en el ámbito corporativo puede derivar en desastres que, además de comprometer la reputación, exponen datos sensibles e incumplen las normativas vigentes. Es hora de examinar los canales de comunicación en las organizaciones y de implementar estrategias que prioricen la seguridad.
Durante décadas, el correo electrónico ha dominado las comunicaciones profesionales, ofreciendo un estándar fiable para transmitir documentos e ideas. Con la necesidad de inmediatez y la hiperconexión global, han surgido herramientas más rápidas y colaborativas como Microsoft Teams.
En paralelo, las apps de mensajería diseñadas para el uso personal (como WhatsApp o Telegram) han ido ganando terreno rápidamente. Sus ventajas están a la vista: son intuitivas, aceptan una gran variedad de formatos (texto, voz, vídeo, archivos, etc.) y son gratuitas. Sin embargo, esconden importantes lagunas en cuanto a privacidad, legalidad, seguridad y gobernanza de datos. Estudios demuestran que, junto con el correo electrónico y el intercambio de archivos en la nube, la mensajería instantánea diseñada para el uso privado se encuentra entre los canales más peligrosos para la pérdida, robo o uso indebido de datos en las organizaciones.
Las apps que no están preparadas para el uso en entornos empresariales representan un peligro latente para cualquier organización y deben ser tratadas como una prioridad en el marco de una estrategia de ciberseguridad corporativa. Entre los riesgos inherentes a las apps de mensajería para el uso privado, se encuentra la ausencia de configuraciones capaces de responder a las necesidades corporativas, como puede ser una gestión avanzada de s, además de que tampoco restringen adecuadamente el a terceros.
"Signalgate" demostró que un simple error humano puede resultar en la exposición de información confidencial. Otro punto negativo reside en la exposición de metadatos y es que, aunque estas apps ofrecen cifrado de extremo a extremo, los metadatos (ubicación, IP, duración de la comunicación, etc.) son vulnerables. Por otra parte, al tratarse de modelos de negocio basados en la recopilación de datos, muchas aplicaciones comerciales recogen y procesan información de los s con fines comerciales, lo que va en contra de normativas como el RGPD europeo. Por último, no hay que olvidar ni infravalorar que los servidores de estas apps comerciales se encuentran fuera de la Unión Europea; aquellas que tienen sus servidores en los Estados Unidos se rigen por el Cloud Act.
La confianza en las herramientas tecnológicas "fáciles y gratis" es un desafío en todos los niveles organizativos de las empresas. Es necesario fomentar una cultura en la que las herramientas no sean solo funcionales, sino también éticas, legales y seguras. Los ciberataques no van a parar, y los titulares sobre brechas de datos formarán parte de una triste rutina hasta que las estrategias de seguridad en la comunicación corporativa se sometan a un examen riguroso.
Se podría decir que los CISO cuentan con una de las responsabilidades más complejas en el entorno empresarial actual. Mientras que entienden los riesgos de no trabajar con canales de comunicación seguros, a menudo se enfrentan a presupuestos restringidos que perciben la ciberseguridad como un gasto en lugar de una inversión. Lidian con la falta de tiempo para evaluar e implementar soluciones seguras y tropiezan con reticencias a la hora de priorizar la seguridad de los canales de comunicación. Potencialmente, son desfases que pueden salir caros, tal y como se demostró con "Signalgate".
El comportamiento humano es un componente sociológico que afecta a la adopción de nuevas herramientas. Empleados acostumbrados a apps personales tienden a percibir nuevos sistemas como burocráticos o difíciles de usar. La clave está en implementar herramientas que equilibren seguridad con facilidad de uso.
Las soluciones avanzadas de mensajería empresarial ofrecen interfaces muy similares a las aplicaciones convencionales, pero con medidas críticas añadidas, como la categorización de os (internos versus externos), la creación de grupos cerrados o un control central para la gestión de los permisos. Un enfoque adecuado de formación y comunicación puede reducir la reticencia inicial de los s y fomentar su adopción como una mejora real en su entorno laboral.
Yendo un paso más allá, las instituciones que forman parte de los sectores críticos bajo NIS2 (p. ej., energía, salud, gobiernos) manejan datos sensibles y no pueden permitirse fallos de ningún tipo. Para este tipo de organizaciones y para empresas que buscan comunicaciones seguras y un control total sobre sus datos, una herramienta de mensajería profesional autoalojada aporta la máxima protección de datos, ya que facilita la comunicación en un entorno autónomo y sin necesidad de recurrir a servidores externos. Una solución autoalojada permite a las organizaciones gestionar toda la información compartida de forma directa y ayuda a cumplir con el marco legal vigente, como el RGPD.
El número de amenazas digitales sigue creciendo y planificar una estrategia integral de ciberseguridad requiere tiempo y recursos. Hoy, la seguridad digital ya no es opcional, sino que representa una necesidad crítica para garantizar la sostenibilidad operativa. Las organizaciones que comunican a través de una app de mensajería profesional segura cumplen con las normativas vigentes, reducen el riesgo de tener que enfrentarse a posibles sanciones y evitan titulares negativos, como el "Signalgate". La pregunta no es si deben actuar, sino cuánto están dispuestas a arriesgar.
***Miguel Rodríguez es CRO y miembro del consejo de Threema.