“Threema es la primera línea de defensa frente a ataques” Miguel Rodríguez, CRO y miembro del consejo de Threema
En pleno auge de los escándalos de corrupción y tras la reciente filtración de conversaciones privadas entre el presidente Pedro Sánchez y el exministro José Luis Ábalos a través de WhatsApp, la seguridad de las comunicaciones digitales en la administración pública vuelve a estar en entredicho. El SignalGate de Estados Unidos también ha puesto de manifiesto la vulnerabilidad de los canales de mensajería convencionales ante filtraciones, escuchas y ataques. Ante esto, empresas tecnológicas como Threema insisten en la urgencia de adoptar soluciones cifradas y de gestión corporativa, capaces de garantizar la privacidad y la integridad de las comunicaciones en un contexto donde la confidencialidad institucional está más amenazada que nunca. Hablamos de qué aporta esta solución con Miguel Rodríguez, CRO y miembro del consejo de Threema
¿Qué es Threema y cómo surgió la idea de su desarrollo?
Threema comenzó en 2012 como una aplicación de mensajería cifrada y segura, orientada a preservar la privacidad de sus usuarios. La idea surgió al constatar que, en una red wifi compartida, era posible leer los mensajes de otros usuarios con relativa facilidad. La aplicación se lanzó en la App Store y tuvo una excelente acogida, alcanzando 250.000 usuarios en poco tiempo y creciendo de forma exponencial. Desde el principio, Threema fue una aplicación de pago, lo que la diferencia de la mayoría de competidores y permitió que la empresa fuera rentable desde el primer momento. En 2016 se lanzó la versión para empresas, Threemawork, a petición de un alto ejecutivo de Mercedes-Benz, que buscaba una solución con más funcionalidades para el entorno corporativo. Mercedes-Benz fue el primer gran cliente y sigue siéndolo actualmente. En 2021 se lanzó la versión On Premise, que permite a las organizaciones alojar la solución en sus propios servidores. Threema ofrece mayores niveles de seguridad y privacidad que otras alternativas como WhatsApp o Signal, tanto en el ámbito privado como en el corporativo, y está disponible en Android, iOS, Windows, MacOS y Linux.
¿Cómo se garantiza la seguridad en Threema?
La seguridad y la privacidad son prioritarias desde el diseño de la aplicación. Es posible utilizar Threema sin asociar un número de teléfono o correo electrónico, lo que es fundamental para la privacidad. El usuario puede decidir si sincroniza o no la agenda de contactos y si permite ser contactado por desconocidos. Todo el sistema está cifrado de extremo a extremo. A diferencia de otras plataformas, los mensajes no se almacenan en servidores centrales, sino de forma descentralizada en los dispositivos de los usuarios, siempre cifrados. Ni siquiera la empresa puede acceder a los mensajes, ya que no dispone de la información necesaria para descifrarlos. Además, Threema es de código abierto, lo que permite verificar las afirmaciones en materia de seguridad. En cuanto a los metadatos, solo se almacenan los estrictamente necesarios para el funcionamiento de la aplicación, a diferencia de otras plataformas que recogen información sobre contactos, grupos, ubicaciones y otras variables.
Si los mensajes no están en un servidor, ¿el dispositivo del usuario puede saturarse de información?
No, porque el usuario puede decidir dónde guardar la información. Existe la posibilidad de almacenar los archivos en la nube de Apple, en iTunes o en Google Drive, según prefiera el usuario. En ningún caso los archivos se almacenan en los servidores de Threema.
«Es posible utilizar Threema sin asociar un número de teléfono o correo electrónico, lo que es fundamental para la privacidad»
En caso de requerimiento judicial, ¿es posible acceder a los mensajes de los usuarios?
No es posible. La empresa solo puede proporcionar la información mínima de la que dispone, que es muy limitada y se detalla en un informe de transparencia publicado en la página web. No se tiene acceso a ningún mensaje. Solo si el usuario desbloquea su dispositivo y permite el acceso, se podrían consultar los mensajes guardados localmente.
¿Qué administraciones públicas en España utilizan Threema?
En España, Threema trabaja con el Consorcio de Compensación de Seguros y con otras entidades del sector público y privado, como Coren en el sector alimentario y clientes del sector energético. Sin embargo, la mayoría de los clientes pertenecen al sector público en Alemania y Suiza, donde la aplicación es utilizada por el canciller alemán, el gobierno y el ejército suizo, la policía suiza, el gobierno polaco y el banco central alemán, entre otros. En España, el mercado es más reciente y la empresa opera principalmente a través de socios y distribuidores.
¿Cómo es el modelo de licenciamiento y comercialización?
Existen dos productos principales: Threemawork y la versión On Premise. El modelo de licenciamiento es por usuario y año.
¿Quién está detrás de la empresa?
Todos los empleados están en Suiza y el único inversor es un fondo de private equity llamado Afinum, a través de su brazo suizo. Actualmente, la empresa cuenta con 55 empleados y en los últimos años la plantilla se ha triplicado.
¿En qué fase de crecimiento se encuentra la empresa?
La empresa está en una fase de crecimiento acelerado, impulsada por la creciente demanda de soluciones de comunicación segura en el sector público. El número de empleados se ha triplicado en los últimos tres o cuatro años y el interés de gobiernos y grandes organizaciones continúa aumentando.
Dentro de la administración pública hay perfiles muy variados. ¿Todos requieren el mismo nivel de seguridad?
Existen perfiles muy diversos y no todos requieren el mismo nivel de seguridad, pero es fundamental que todos los miembros de una organización puedan comunicarse entre sí a través de una solución común. La fragmentación de canales y la utilización de aplicaciones no corporativas genera riesgos y dificulta la gestión de la seguridad. Los ataques a través de aplicaciones de mensajería son cada vez más sencillos y pueden comprometer la seguridad de toda una organización. Muchas veces se desconoce la diferencia entre una aplicación de mensajería convencional y una solución corporativa diseñada específicamente para proteger la información confidencial y cumplir con la normativa vigente.
¿Por qué en España sigue utilizándose WhatsApp en la administración pública, a pesar de los riesgos conocidos?
La elevada penetración de WhatsApp en España, que ronda el 98% de cuota de mercado, dificulta la adopción de alternativas más seguras. La facilidad de uso y la familiaridad con WhatsApp llevan a muchos usuarios a optar por esta plataforma, sin ser conscientes de las alternativas corporativas que ofrecen el mismo nivel de usabilidad y una seguridad mucho mayor. Además, en España no existe una regulación que obligue a los responsables públicos a utilizar canales de comunicación seguros, a diferencia de lo que ocurre en Estados Unidos.
¿La versión profesional es la única disponible? ¿Existe una versión gratuita?
Threema siempre ha sido una solución de pago, tanto para uso privado como profesional. En el caso de uso privado, la licencia es perpetua y se adquiere por un único pago de seis euros. La filosofía de la empresa es que si el usuario no paga por la aplicación, es él mismo quien se convierte en el producto, como demuestran las prácticas de monetización a través de anuncios en otras plataformas.
¿Cuáles son los objetivos para el mercado español?
El objetivo es incrementar el conocimiento y la presencia de la herramienta en el sector público, aspirando a convertirse en proveedor de referencia para ministerios y organismos como el Ministerio de Defensa o las fuerzas y cuerpos de seguridad, tal y como ya ocurre en otros países europeos. La experiencia demuestra que la entrada en un gobierno facilita la adopción por parte de otras instituciones, al generar confianza y servir de referencia.
¿La tendencia europea hacia la soberanía tecnológica facilita la adopción de Trema?
La tendencia creciente de las administraciones a buscar alternativas locales, especialmente tras episodios en los que proveedores estadounidenses han restringido el acceso a servicios críticos, favorece la adopción de soluciones europeas como Threema. Además, la introducción de anuncios en WhatsApp y otros cambios en las políticas de privacidad están impulsando a grandes organizaciones a buscar soluciones más seguras y controlables.
¿Con qué certificaciones y normativas de seguridad cumple Threema?
Threema cumple con el Reglamento General de Protección de Datos (RGPD) y otras certificaciones de seguridad relevantes, lo que resulta fundamental para su adopción en el sector público.
¿Qué ventajas ofrece la versión On Premise?
La solución On Premise permite a las organizaciones alojar la aplicación en sus propios servidores, garantizando la soberanía sobre los datos y facilitando la integración con los sistemas internos. Además, se ofrece la posibilidad de personalizar la aplicación bajo marca blanca, adaptando el nombre, el icono y los colores a las necesidades de cada cliente. Esto ha llevado a que gobiernos enteros adopten la solución como estándar para sus comunicaciones internas.
¿Podría dar un ejemplo ilustrativo de por qué una administración debería utilizar una solución como Threema ?
Una solución como Threema debe utilizarse como primera línea de defensa frente a ataques, para la protección de la propiedad intelectual y para garantizar la comunicación en situaciones de crisis, ciberataques o emergencias. Existen numerosos casos en los que el uso de una solución de comunicación segura es primordial.
¿Están trabajando en la preparación para el entorno postcuántico?
La empresa lleva más de dos años trabajando en este ámbito. Ya se ha desarrollado un concepto y actualmente se colabora con la Universidad de Zúrich en el desarrollo de soluciones criptográficas resistentes a la computación cuántica, con el objetivo de implementar estas mejoras a finales de este año.
