Los servicios de mensajería instantánea se han convertido en una parte esencial de nuestras vidas. Los utilizamos constantemente para comunicarnos con amigos y familiares, pero también para hablar con compañeros de oficina de asuntos que a menudo tienen que ver con la actividad de nuestra empresa. ¿Quién no está en un grupo de WhatsApp con todos sus colegas del trabajo?
Es una realidad a la que no podemos dar la espalda. Que las compañías prohíban el uso de estas herramientas es prácticamente impensable, pero tampoco pueden permitir que información confidencial del negocio circule por canales inseguros sin supervisión alguna.
Secreto profesional, acuerdos de confidencialidad o leyes de protección de datos son algunas de las razones de peso por las que este flujo de información no debe caer en manos de terceros y debe ser controlado.
La mejor solución para una empresa es el término medio: combinar los servicios que sus empleados ya utilizan a diario, sencillos y gratuitos, con herramientas corporativas de pago, más fiables, para manejar los datos más sensibles desde ordenadores y dispositivos móviles.
Pero, ¿cuáles de las aplicaciones comerciales deben evitar y por qué? La respuesta la tiene una investigación realizada por la Electronic Frontier Foundation (EFF), una organización sin ánimo de lucro que defiende, entre otras cosas, la privacidad de los usuarios de internet.
El estudio analiza siete aspectos que, a juicio de la EFF, son los más importantes para asegurar la confidencialidad de una conversación en una ‘app’ de mensajería instantánea. De izquierda a derecha en las imágenes que mostraremos a continuación, son los siguientes:
– Si los mensajes viajan cifrados del emisor al servidor y del servidor al destinatario.
– Si el proveedor del servicio puede leer los mensajes.
– Si el usuario puede comprobar por sus propios medios (a través de alguna opción del servicio) que su interlocutor es quien dice ser y no alguien que suplanta su identidad.
– Si los mensajes antiguos se podrían sustraer si un atacante se hace con las claves de cifrado.
– Si la parte esencial del código de la aplicación (sobre todo la que tiene que ver con el cifrado) se puede consultar. En este caso, la EFF considera aún mejor que el ‘software’ sea ‘open source’ (de código abierto).
– Si el diseño criptográfico del servicio (es decir, cómo se implementa el cifrado) está bien documentado para que lo puedan revisar expertos independientes.
– Si la herramienta ha sido auditada durante los doce meses previos a la evaluación por parte de la EFF.
Aplicaciones de mensajería
– Entre los servicios de mensajería instantánea más populares, Skype es el que sale peor parado con solo un aprobado. Si tu empresa utiliza esta aplicación para organizar videoconferencias entre empleados de distintas sedes, tal vez deberías plantearte un cambio de sistema. Solo cumple con uno de los requisitos de seguridad que exige la EFF: que los mensajes estén cifrados mientras se transmiten.
– Otra de las herramientas más habituales para el teletrabajo, Google Hangouts, tampoco sale muy favorecida en la foto que realiza la organización. Solo obtiene un par de aprobados: los mensajes viajan cifrados (pero no lo están en el servidor del gigante de internet) y la herramienta ha sido auditada de forma reciente. Por lo demás, excesivos puntos débiles como para ser considerada una opción viable en un entorno corporativo.
– Usar el chat de Facebook para comunicarse, algo relativamente habitual entre compañeros de trabajo, tampoco es la mejor idea. En el análisis de la EFF recibe la misma consideración que Hangouts, con solo dos aspectos que superan su listón en materia de seguridad.
– También sucede esto con WhatsApp, el servicio de mensajería instantánea por excelencia, y con Snapchat, una de las ‘apps’ de moda sobre todo entre los más jóvenes. Sus fotos se autodestruyen, sí, pero sus estándares de seguridad están por debajo de lo deseable.
– El chat de Apple, iMessage, corre mejor suerte con solo dos suspensos: el usuario no puede comprobar por sus propios medios que su interlocutor es quien dice ser y el código de la aplicación no está disponible para que otros puedan revisarlo. Tendrás que fiarte de la manzana mordida si quieres emplear esta herramienta.
– Los chats secretos de Telegram son la opción más segura de todas las que hemos incluido en este repaso, cumpliendo con los mínimos requeridos por la EFF en todas las categorías analizadas. Las conversaciones normales con esta herramienta de origen ruso, sin embargo, suspenden en tres categorías: sus mensajes los puede leer el proveedor del servicio, no hay una forma de que el usuario corrobore por sus propios medios que su interlocutor es quien dice ser y los mensajes antiguos se podrían sustraer si un atacante se hiciera con las claves de cifrado.
Así las cosas, si quieres emplear una herramienta comercial o no dispones de una solución propia para gestionar la comunicación interna de tu empresa, lo mejor es que te decantes por alguna de las más seguras o que, al menos, si decides apostar por las más sencillas y populares, tengas en cuenta cuáles son sus puntos débiles.
Como regla general, procura siempre que la información confidencial o sensible se transmita por medios más seguros que un servicio de mensajería instantánea.