Mensajería instantánea: ¿un canal de comunicación seguro (y conforme a la normativa RGDP) para las empresas?
La mensajería instantánea es rápida, divertida y versátil. Para la mayoría de las personas, estas aplicaciones se han convertido en una herramienta de comunicación esencial desde hace aproximadamente una década: más de 3.300 millones de usuarios de teléfonos móviles tienen al menos una aplicación de mensajería y en 2019 se enviaron más de 41 millones de mensajes – por minuto.
Desde entonces, la mensajería móvil ha seguido creciendo exponencialmente: mientras que los consumidores mantienen el contacto con amigos y familiares, los profesionales se han acostumbrado a una comunicación corporativa en tiempo real y desde cualquier lugar.
La mensajería instantánea para fines empresariales es cómoda, pero…
Para las organizaciones que suelen comunicar por correo electrónico o mediante herramientas de colaboración, la mensajería instantánea constituye una alternativa fácil de usar y que ofrece muchas funciones. Las apps manejan una gran variedad de formatos diferentes (por ejemplo, voz, vídeo, texto, archivos), lo que permite a las organizaciones celebrar sesiones de colaboración, reuniones informativas de negocios o videoconferencias con empleados y/o clientes. Las multinacionales apoyan a compañeros de trabajo en todo el mundo, mejorando así el flujo de información y la satisfacción del cliente; mientras tanto, el historial del chat mantiene un registro de todas las conversaciones.
Sin embargo, los problemas de privacidad y seguridad de los datos relacionados con la mensajería instantánea se han multiplicado en los últimos años: estudios demuestran que, junto con el correo electrónico y el intercambio de archivos en la nube, las plataformas de mensajería instantánea se encuentran entre los canales más peligrosos para la pérdida, el robo o el mal uso de datos en las organizaciones.
Se podría decir que la mensajería instantánea es un canal de comunicación muy atractivo y eficaz para fines empresariales. No obstante, la protección de datos y el cumplimiento de la normativa pueden ser un problema. Aunque existen apps empresariales de mensajería instantánea centradas en la seguridad que proponen diversos enfoques para cubrir este aspecto, no todas abordan la seguridad con eficacia.
Mensajería instantánea: ¿un canal de comunicación seguro (y conforme a la normativa RGDP) para las empresas?
Que los empleados utilicen su propio teléfono móvil para compartir información empresarial (BYOD o Bring Your Own Device) es una práctica bastante común que mejora la flexibilidad y la productividad. Las directrices de la empresa pueden establecer el marco para una configuración de seguridad básica en los dispositivos de los empleados, aunque en la práctica los datos empresariales sensibles, como la información de los clientes o las proyecciones empresariales, pueden quedar expuestos, particularmente cuando los empleados se comunican a través de una plataforma de mensajería instantánea personal: además de carecer de características de seguridad satisfactorias, se escapa del “radar informático” de la empresa.
Esta práctica -también llamada TI en la sombra- conlleva graves riesgos, incluso si la app proporciona una encriptación de extremo a extremo (end-to-end o E2E). Incluso la mejor encriptación E2E no es garantía contra una «pérdida de datos»: algunas aplicaciones de mensajería con encriptación E2E recopilan y procesan sistemáticamente datos sensibles de los usuarios con fines publicitarios y de marketing. Los metadatos rastreados pueden incluir información sobre ubicación, hora y duración de la comunicación, número de teléfono y dirección IP.
Las plataformas de mensajería instantánea que llevan a cabo esta práctica no cumplen con el RGPD y la misma lógica se aplica a las empresas que permiten las comunicaciones corporativas a través de una plataforma de mensajería instantánea «recopiladora de datos»: en virtud de la legislación europea de protección de datos, el uso de plataformas no conformes con fines de comunicación corporativa puede acarrear enormes multas y posibles daños a la reputación. Con la introducción de la Directiva NIS2 en enero, la seguridad informática corporativa ahora depende directamente de la dirección de las empresas, que debe establecer planes para la gestión de riesgos y de emergencias antes de octubre de 2024.
Una plataforma de mensajería instantánea totalmente conforme con el RGPD ayuda a proteger el contenido de las comunicaciones y los metadatos de los usuarios contra malas prácticas. Hoy en día, la mayoría de las aplicaciones proponen una encriptación E2E, políticas de contraseñas y autenticación de dos factores; son características de seguridad necesarias, pero están lejos de garantizar la seguridad de los metadatos (véase «pérdida de datos» arriba). Contrariamente a las plataformas de mensajería para consumidores, las apps de mensajería especializadas para empresas ofrecen la gestión de usuarios y también proporcionan un amplio conjunto de parámetros configurables, que permiten a los administradores informáticos controlar, asegurar y aplicar políticas en los dispositivos de los empleados.
Otros aspectos importantes a tener en cuenta en el contexto de las apps de mensajería empresarial serían la ubicación del servidor, la posibilidad de acceder al servicio sin facilitar un número de teléfono, la encriptación E2E durante conferencias telefónicas, la preparación para BYOD o una arquitectura descentralizada con listas de contactos gestionadas en los dispositivos de los usuarios (frente a un almacenamiento centralizado).
La verdadera seguridad de datos ayuda a generar confianza
“The Economist” sugirió en 2017 que los datos son el nuevo petróleo. Los datos se han convertido en una mercancía valiosa y el volumen de información generada por las empresas no ha parado de crecer desde entonces. De hecho, es probable que la tendencia se mantenga: un estudio espera que el 70% de las empresas generen un aumento anual de al menos el 25% de datos en los próximos años. La expansión de la huella digital de las empresas exige la protección de los datos empresariales sensibles.
Una verdadera aplicación de mensajería debería incluir todas las funciones habituales de una herramienta de estas características, junto con las medidas adecuadas para garantizar la seguridad de los datos, la privacidad de los usuarios, el cumplimiento de la legislación y la continuidad de negocio en caso de un ciberataque. Es más, también debería ofrecer una gestión centralizada que facilite una configuración y un control a distancia de los ajustes de la aplicación en los dispositivos de los empleados.
Teniendo en cuenta el creciente número de ciberamenazas en todos los frentes, las empresas no pueden correr riesgos con sus datos sensibles y/o confidenciales. Además de cumplir con la normativa, garantizar la seguridad de los datos en todos los canales de comunicación ayuda a evitar titulares negativos y a minimizar potenciales riesgos reputacionales. Son factores clave que fomentan la confianza de los clientes y que, en última instancia, refuerzan la resiliencia corporativa en un entorno económico incierto.