No hay vuelta atrás: la digitalización sigue transformando profundamente el entorno empresarial. No obstante, el innegable avance en eficiencia y productividad no está exento de riesgos. La ciberdelincuencia figura entre los delitos más frecuentes y perjudiciales de nuestro tiempo y las organizaciones necesitan protegerse constantemente. Ya sean filtraciones de datos o accesos no autorizados, se debe afrontar el cumplimiento de las normativas si no quieren verse sancionadas. En este contexto, la seguridad de los canales de comunicación no siempre recibe la atención que merecen.
El flanco digital por defender es amplio y la tarea se ha convertido en un reto diario para las empresas
Miguel Rodríguez,
CRO de Threema
Índice de temas
Cómo lograr una comunicación segura
Es evidente que hoy en día las aplicaciones de mensajería desempeñan un papel muy importante en la comunicación empresarial. A diario canalizan enormes cantidades de información sensible entre empleados y/o clientes, estén donde estén. Obligadas a proteger los datos bajo el marco del RGPD, las empresas confían en la encriptación de extremo a extremo (E2EE), que garantiza que sólo el remitente y el receptor puedan descifrar el mensaje enviado; en la actualidad, la gran mayoría de las apps de mensajería no profesionales ofrecen este servicio. ¿Pero, es suficiente para realmente proteger los datos de la empresa y la privacidad de los interlocutores?
Primero, hay que destacar que las exigencias de seguridad en el ámbito corporativo son elevadas. Una plataforma de comunicación segura necesita ofrecer las opciones de ajuste correspondientes. Sin embargo, la mayoría de las plataformas de mensajería fueron diseñadas originalmente para un uso privado. Por lo tanto, y esa es la realidad, no disponen de los ajustes de seguridad necesarios y no están preparadas para un uso profesional.
Elegir un proveedor de confianza
Más allá de los meros aspectos técnicos (posibilidades de configuración, autenticación, encriptación, etc.), la elección de un proveedor de confianza es clave para la protección de los datos: todos sabemos que las plataformas más populares (como, p. ej., WhatsApp) tienen un modelo de negocio que se basa en compartir información, no en protegerla. Por lo tanto, cae por su propio peso que las apps de mensajería que recopilan metadatos no son aptas para el uso profesional. Las empresas que lo hacen no están cumpliendo con el marco legal de la Unión Europea (RGPD), ya que los metadatos recopilados pueden contener información sobre la ubicación, la hora y la duración de la comunicación, los números de teléfono y las direcciones IP.
Saber distinguir la comunicación segura
A continuación, conviene saber dónde y cómo se guardan los datos, ya que la información almacenada en un servidor fuera de la UE no está protegido por el RGPD. Un servidor situado en EE. UU. permite a las autoridades estadounidenses consultar los archivos almacenados en cualquier momento (CLOUD Act).
En el contexto legal de la protección de datos cabe recordar que desde el pasado 14 de enero. La directiva NIS2 es vinculante en España. Su objetivo principal es armar a las instituciones contra las amenazas digitales: establece que los órganos de dirección asumen la responsabilidad directa para aprobar, establecer y supervisar medidas de seguridad digital para prevenir la ciberdelincuencia. Esto incluye las herramientas de comunicación segura, como por ejemplo las plataformas. Empresas que comunican a través de apps de mensajería no conformes a la normativa, corren el riesgo de ser sancionadas, además de que las multas para los directivos pueden ser personales.
¿Queremos poner en riesgo la continuidad del negocio?
La cuestión no es ‘si’, pero ‘cuándo’. La probabilidad de que una institución tenga que enfrentarse a un ciberataque sigue en auge. En Europa, sólo las administraciones públicas sufrieron 1.880 ciberataques en un año y en España se registraron más de 22.000 incidentes dirigidas a empresas privadas (pymes incluidas) en 2023.
Cuando falla la prevención, hay que saber reaccionar. En este sentido, NIS2 busca fomentar la resiliencia de las empresas e instituciones financieras durante un ciberataque, exigiendo preparativos para asegurar la continuidad operativa: sin estipularlo expresamente, la normativa implica también que las empresas y entidades bancarias dispongan de un canal de comunicación seguro fuera de banda para comunicarse con empleados, directivos y clientes cuando los sistemas de comunicación habituales estén infectados y/o no funcionen.
Otros factores a tomar en cuenta
En un mundo cada vez más dependiente de la comunicación digital, las empresas se enfrentan a amenazas como filtraciones de datos, accesos no autorizados o ataques de ransomware. La concienciación de los empleados es imprescindible; sesiones de formación periódicas ayudan a informar sobre las amenazas existentes y a fomentar las mejores prácticas de seguridad. Paralelamente, políticas de contraseñas seguras y una plataforma con control de acceso centralizado permiten a los administradores gestionar el acceso y los permisos de los usuarios.
Todas las medidas aquí mencionadas contribuyen a prevenir infiltraciones. Además de asegurar la protección de datos y de cumplir la normativa, una app de mensajería profesional segura ayuda a reducir el riesgo de confusiones en la raíz: separar los chats privados de la comunicación empresarial es otro paso importante en la lucha contra la ciberdelincuencia. ¿Qué CISO no firmaría?
