En la última década, las organizaciones han adoptado rápidamente las comodidades de la tecnología digital, siendo la mensajería instantánea uno de los exponentes más visibles de esta tendencia: como alternativa al correo electrónico o a las herramientas de colaboración, la mensajería instantánea es fácil de usar y muy versátil. Permite manejar una gran variedad de formatos (voz, vídeo, texto, archivos, etc.) y ofrece celebrar sesiones de colaboración, reuniones informativas o videoconferencias con empleados y/o clientes. Los «smartphones» se han convertido en una herramienta imprescindible para los empleados en desplazamiento, ya que ayuda a mejorar los flujos de información y la satisfacción del cliente.
Sin embargo, el uso del teléfono móvil con fines empresariales no está exento de riesgos. Los ciberataques van en aumento y para muchas organizaciones, públicas o privadas, mantener a raya a los intrusos digitales no deseados forma parte de la rutina diaria. Mientras que la denegación de servicio distribuida (DDoS), el phishing, los ataques a contraseñas o el ransomware se encuentran entre las amenazas más comunes[1], los estudios también muestran que, junto con el correo electrónico y el intercambio de archivos en la nube, la mensajería instantánea no segura a través de smartphones es uno de los canales más arriesgados para la violación de datos, el robo o el uso indebido de datos en las organizaciones.
No basta con la encriptación
Un número sorprendentemente de organizaciones sigue trabajando con apps de mensajería pensadas para el uso privado; cuando se les pregunta por la privacidad de los datos, señalan el cifrado de extremo a extremo (EE2E), una práctica estándar que garantiza que sólo el remitente y el destinatario tengan acceso a los contenidos. Sin embargo, ni siquiera el mejor cifrado es garantía contra una «fuga de datos»: algunas de las apps más populares recopilan y procesan sistemáticamente datos sensibles de los usuarios con fines publicitarios y de marketing, un modelo de negocio que se basa en la recopilación de grandes cantidades de metadatos, como por ejemplo información sobre la ubicación, la hora y la duración de la comunicación, el número de teléfono y la dirección IP. La recopilación de estos metadatos vulnera la privacidad de los ejecutivos y/o del resto de los empleados.
Por otra parte, las organizaciones tienen poco control sobre la configuración de privacidad de los teléfonos móviles de los empleados. La mayoría de las apps para el uso privado simplemente no cumplen las exigencias de seguridad necesarias para comunicaciones empresariales. ¿Sabía que el 90% de los ataques de phishing en aplicaciones de mensajería se realizan a través de WhatsApp?
Una app dedicada para el uso corporativo
Las comunicaciones corren el riesgo de ser interceptadas y las organizaciones deben ser conscientes de que los dispositivos móviles son un punto débil, objetivo constante de los ciberdelincuentes. Un simple clic en un mensaje elaborado por un estafador que se hace pasar por un socio/cliente/proveedor puede inhabilitar una empresa durante días o semanas. Teniendo el marco legislativo de la Unión Europea (NIS2, DORA, CER), es probable que una violación de datos atraiga la atención de las autoridades: las sanciones pueden ser enormes. Por si fuera poco, los titulares negativos y el daño potencial a la reputación amenazan con ser devastadores. Visto así, está claro que las organizaciones no pueden correr el riesgo de una filtración o robo de datos.
El primer paso para blindar la mensajería instantánea en los teléfonos móviles contra intrusos no deseados consiste en sustituir las apps de chat pensadas para el uso privado por un canal de comunicación seguro. Una aplicación de mensajería diseñada para el uso corporativo garantiza la privacidad de los datos de sus usuarios; tiene funciones que permiten a los administradores de TI controlar, proteger y aplicar políticas en los dispositivos de los empleados con parámetros configurables (por ejemplo, preparación para BYOD, difusión, encuestas). En el día a día de la empresa, admite grupos cerrados de usuarios, E2EE para todos los datos de usuario, archivos, imágenes, vídeos, llamadas de grupo y de vídeo. Durante una emergencia, cuando otros sistemas hayan dejado de funcionar, una app dedicada sirve como herramienta de comunicación segura y eficiente.
Un paso más allá: la propiedad absoluta de los datos
Las organizaciones críticas (por ejemplo, agencias gubernamentales, sectores de infraestructuras, instituciones financieras) que habitualmente manejan información sensible, podrían considerar una solución de comunicación autoalojada que proporciona un control total sobre los datos, el servidor y el software. Un entorno de chat independiente y completamente autónomo protege contra el espionaje industrial, el malware, el fraude a directores generales, el phishing, el ransomware y otras amenazas. Al obtener la propiedad absoluta de los datos, la empresa puede garantizar los más altos estándares de seguridad al tiempo que cumple con todos los requisitos legales para la comunicación corporativa.
El autoalojamiento requiere ciertos conocimientos técnicos y una inversión, aunque puede formar parte de una estrategia de ciberseguridad de éxito que ayude a la empresa a protegerse contra criminales. En una encuesta reciente entre CISOs de todo el mundo, un 90 % de ejecutivos indicaron que su organización había sufrido un ataque disruptivo en los últimos doce meses. En este contexto, se puede entender cómo la privacidad y la seguridad de los datos ha pasado de ser cuestión informática para convertirse en asunto prioritario en los consejos de administración. Por su diseño, una solución de mensajería instantánea de autoalojada reduce drásticamente las posibilidades de sufrir un ataque y, por tanto, ayuda a prevenir la ciberdelincuencia. ¿Por qué no formar parte del 10 % restante?
Miguel Rodríguez, CRO y miembro del consejo de Threema
