Apps de mensajería instantánea: ¿cumplen con los altos estándares de seguridad de los entes públicos?
Miguel Rodríguez, Chief Revenue Officer y miembro del Consejo de Threema
Se podría decir que hoy la mensajería instantánea (MI) es el canal más importante para la comunicación en tiempo real. Las aplicaciones son fáciles de usar, tienen muchas funciones y admiten un abanico de formatos diferentes (voz, vídeo, texto, archivos, etc.); en este sentido, para millones de personas es la vía preferida para mantenerse en contacto con amigos y familiares. Por otro lado, las instituciones públicas y las empresas han adoptado rápidamente la MI como alternativa a otras herramientas de comunicación para dar apoyo a los empleados fuera de la oficina, intercambiar archivos y celebrar sesiones de colaboración o sesiones informativas relacionadas con el negocio. Sin olvidar que las plataformas de MI ofrecen tasas de apertura excepcionales en comparación con los canales de comunicación tradicionales (p. ej. el correo electrónico o herramientas de colaboración).
Sin embargo, aunque la MI es un canal de comunicación muy atractivo para el ámbito laboral, la protección de datos puede ser un problema, en especial para las organizaciones que suelen manejar información sensible o confidencial, como por ejemplo, las autoridades públicas, las fuerzas armadas, la policía, los bomberos o el sector sanitario. Estas instituciones no pueden correr el riesgo de exponer información confidencial. Estudios demuestran que, junto con el correo electrónico y el intercambio de archivos en la nube, las plataformas de mensajería instantánea se encuentran entre los canales más peligrosos para la pérdida, el robo o el mal uso de datos en las organizaciones.
Las administraciones públicas suelen tener estructuras complejas, varios cientos o incluso miles de empleados, varias oficinas e innumerables áreas de responsabilidad. Proporcionar herramientas de comunicación rápidas y seguras a sus empleados puede ser todo un reto y garantizar una comunicación segura en las instituciones públicas y los ayuntamientos no es tarea fácil: cada día se intercambian datos personales, las oficinas y departamentos implicados trabajan a menudo de forma independiente y el gran número de empleados es difícil de coordinar. Además, la comunicación por correo electrónico no siempre es la solución más eficaz, sobre todo si los empleados trabajan fuera de la oficina. ¿Cómo pueden los organismos públicos superar estos retos para garantizar una comunicación segura?
No todas las apps de mensajería son seguras
Las instituciones públicas entran en el ámbito de aplicación del Reglamento General de Protección de Datos (RGPD): deben cumplir con los requisitos para gestionar adecuadamente los datos personales y con la Directiva NIS2 anunciada recientemente. En este contexto, cabe recordar que sólo un puñado de plataformas de mensajería instantánea cumple realmente con el marco normativo para el intercambio de datos sensibles.
Hoy en día, la encriptación de extremo a extremo (E2EE) está considerada como el principal distintivo de una plataforma MI “segura”. No obstante, y a pesar de formar parte de las medidas de seguridad necesarias, el E2EE ‘per se’ no es ninguna garantía contra la «recolección de datos». Así, algunas de las apps de mensajería más populares -que ofrecen E2EE- sistemáticamente recopilan y procesan metadatos sensibles de los usuarios: esto incluye información sobre la ubicación, la hora y la duración de la comunicación, el número de teléfono y la dirección IP. Estas apps no cumplen con el GDPR y la misma lógica se aplica a las instituciones que las utilizan. Por otra parte, el uso de aplicaciones de consumo para fines empresariales aumenta el riesgo de fuga de datos y de «TI en la sombra», ya que los empleados se comunican a través de sus aplicaciones personales, sin conocimiento y/o control de la organización.
Una fórmula ganadora: comodidad, seguridad y conformidad
La mejor forma de evitar que los empleados públicos utilicen aplicaciones de chat que carecen de la seguridad adecuada y no cumplen con la normativa de protección de datos es proporcionarles una plataforma de mensajería instantánea segura dedicada, creada específicamente para empresas e instituciones, que ofrezca todas las comodidades habituales, pero que también incluya funciones clave como: 1. Cifrado de extremo a extremo, lo que significa que los mensajes sólo pueden ser leídos por los participantes en la conversación y que el proveedor de servicios no tiene forma de descifrar estos mensajes ni tampoco los almacena en sus servidores; 2. Cumplimiento total de la GDPR; 3. Código abierto: código fuente de acceso público, lo que significa que la mecánica de la aplicación es transparente y puede ser revisada por expertos externos; 4. Privacidad: el uso indebido de los datos se descarta desde el principio, ya que apenas se solicitan datos de los usuarios; 5. Posibilidad de “self-hosting”: los datos altamente sensibles están mejor protegidos cuando la plataforma de mensajería se aloja en un servidor interno ubicado en la sede de la institución o empresa. 6. Gestión de usuarios: una consola de administración permite a las empresas preconfigurar remotamente la app para los empleados con las políticas de la empresa y gestionar a los usuarios de forma automática.
Además de resolver problemas de conformidad y seguridad, una plataforma de mensajería empresarial ayuda a las administraciones públicas con la comunicación descendente: las estructuras gestionadas de forma centralizada pueden dirigirse fácilmente a toda la plantilla o a departamentos específicos. Incluso los empleados que no tienen un puesto de trabajo permanente pueden ser contactados fácilmente e incluidos en el flujo de información corporativo. Por otra parte, una clara división entre conversaciones privadas y comunicación institucional contribuye a un sano equilibrio entre vida laboral y personal, ya que los usuarios pueden desactivar las notificaciones fuera del horario de trabajo.
En definitiva, la mensajería instantánea es una herramienta excelente para aumentar la eficacia de los procesos de trabajo gracias a un intercambio de información rápido y directo en tiempos «normales». Pero no solo eso: cuando las TI se caen debido a un ciberataque, una plataforma de mensajería corporativa a prueba de crisis puede resultar inestimable, ya que permite mantener la comunicación y continuar con las operaciones. Los intentos de phishing son cada vez más frecuentes en las plataformas de mensajería instantánea y las instituciones públicas harían bien en priorizar la seguridad. Mientras que la educación y la formación pueden ayudar a concienciar a los empleados, una plataforma de mensajería dedicada ofrece todas las medidas adecuadas para garantizar la seguridad de los datos, la privacidad de los usuarios y el cumplimiento de la normativa.