Es probable que tu compañía sea de las que se ha visto obligada a implantar el teletrabajo a causa de la crisis Covid-19 para mantener la actividad. En ese caso, también es probable que la propia empresa te haya recomendado aplicaciones y programas como alternativas para mantener reuniones, videoconferencias, envío de información confidencial y mantenimiento de las comunicaciones entre los empleados de la organización. Aplicaciones como Whatsapp y Zoom están siendo de las más usadas actualmente en el teletrabajo, seguidas por Telegram y otras.

Qué cara se le habrá quedado a los directivos y responsables cuando recibieron noticias como: “El Gobierno, Newtral y Ana Pastor leen tus mensajes de Whatsapp” o “La guardia civil desaconseja el uso de Zoom debido a sus vulnerabilidades”.

Resulta que la mayor parte de las empresas que actualmente teletrabajan, comparten información confidencial por alguna de estas aplicaciones, en algunos casos crítica, para mantener la continuidad del negocio.

¿El gobierno, Newtral o Ana Pastor pueden leer tus mensajes de WhatsApp?

El gobierno, Newtral y Ana Pastor probablemente no leen tus mensajes, siendo este aviso un bulo que ha sido desmentido en varios medios. Newtral, la empresa de Ana Pastor, es una empresa que pertenece a la red de verificadores de bulos de Facebook en España. Cuando Newtral verifica que una noticia es falsa, lo notifica a Facebook para que esta clasificación sea visible, y se establezcan medidas para evitar su divulgación. Esto es un mecanismo que ha ideado Facebook aplicándolo no solo en España, y que no está relacionado con la dificultad ocasional de reenviar mensajes a varios contactos en WhatsApp.

Si los usuarios desconfían o no de la “neutralidad” de las verificaciones de Newtral por las posibles inclinaciones políticas de Ana Pastor, esto ya es un asunto de percepción subjetiva que cada uno tiene derecho a tener, pero no justifica la afirmación de que Newtral, Ana Pastor o el gobierno realizan intromisiones ilegítimas a la información compartida, siendo esta noticia fake.

WhatsApp cifra las conversaciones de extremo a extremo, por lo que técnicamente ni la propia compañía podría, aunque quisiera, leer nuestros mensajes. Mucho menos podrían hacerlo Ana Pastor o Pedro Sánchez. WhatsApp aplica otros mecanismos para limitar reenvíos de información, pero no puede afirmarse tampoco que los aplique porque lee nuestros nuestros contenidos.

¿Zoom es una App segura para mantener video llamadas sobre temas estrictamente confidenciales?

Zoom es otra de las aplicaciones más usadas en el confinamiento por las compañías, ya que permite mantener video llamadas con una calidad aceptable. Si bien la App se presentaba como “aparentemente segura”, con cifrado de extremo a extremo, ha sido víctima de una brecha de seguridad confirmada recientemente por el INCIBE que podría permitir a ciberdelincuentes robar información confidencial y ejecutar archivos en el dispositivo de la víctima. Además, se ha constatado que el cifrado nunca fue de extremo a extremo, y se investiga una posible cesión no autorizada de datos realizada por la compañía a Facebook. Zoom se ha disculpado así en su blog: We sincerely apologize for the concern this has caused, and remain firmly committed to the protection of our users’ privacy. We are reviewing our process and protocols for implementing these features in the future to ensure this does not happen again.

Empresas como Google y la NASA han prohibido el uso de Zoom a sus empleados. Visto esto, las empresas que deseen mantener la confidencialidad estricta de la información compartida deberían plantearse si continuar o no en su uso, luego de realizar un estudio que evalúe los riesgos. Si tus video llamadas versarán sobre temas que revisten poca importancia para la compañía, quizás sea indiferente usar esta u otra aplicación, ya que la información intercambiada no es especialmente sensible. Según se afirma en un articulo de El País, uno de los riesgos del uso de Zoom es que en plena reunión acceda un intruso y proyecte porno a pantalla completa, pero el impacto grave estaría en la sustracción de información de la que alerta INCIBE, más que en la proyección del porno. No obstante, es totalmente fake que la guardia civil española haya desaconsejado su uso, ya que no se han pronunciado sobre esto.

Entonces, ¿Qué aplicación es totalmente segura para teletrabajar intercambiando información confidencial?

Ninguna. La seguridad 100% no esta garantizada en el uso de ninguna aplicación y nunca podremos afirmar que el riesgo de que una brecha de seguridad ponga al descubierto la información es “cero”. Las aplicaciones pueden establecer medidas más o menos estrictas de cifrado, así como otras medidas encaminadas a mantener la confidencialidad, integridad y disponibilidad de la información, pero ninguna podrá garantizar de forma absoluta su efectividad.

Con todo lo anterior solo cabe recomendar a las empresas que realicen un uso de responsable de estas y otras aplicaciones, evaluando previamente el impacto que ocasionaría la divulgación de la información intercambiada en caso de presentarse una brecha de seguridad. En cualquier caso, la trasmisión o almacenamiento de información crítica para el negocio nunca debería realizarse a través de estas aplicaciones, salvo que sea indispensable. Debemos prever las posibles brechas, y contar con que lo que almacenemos o trasmitamos en este tipo de aplicaciones siempre tendrá un riesgo, por mínimo que sea, de ser descubierto. Luego de identificar el riesgo y evaluarlo, solo debemos continuar con su uso si este riesgo se considera como “aceptable” por la compañía, de forma tal que si las amenazas se materializan, el negocio continuará su actividad sin demasiada perdida económica o reputacional.

Cabe recordar que el análisis de riesgos es una obligación marcada por el Reglamento General de Protección de Datos (RGPD) y la Ley de Protección de datos y Garantía de los derechos Digitales (LOPDGDD), normas de las que derivaran las medidas más o menos estrictas que deban implantarse en las empresas. Si la brecha de seguridad pone al descubierto datos personales y la empresa no es capaz de demostrar que evaluó previamente este riesgo e implantó medidas para mitigarlo, además del impacto provocado por la divulgación, podría enfrentarse a sanciones cuyo límite legal alcanza los 20 millones de euros.

En consecuencia, merece la pena dedicar unos minutos a evaluar la seguridad de las aplicaciones que usamos en correspondencia con el tipo de información que almacenamos o compartimos, porque de ello dependerá también la continuidad de nuestros negocios.

Lilliam Valenzuela

Abogada Socia en Umbra Abogados

Delegada de Protección de Datos Certificada.