No uses Whatsapp profesionalmente. 5 razones

 

La ventaja de WhatsApp es su ubicuidad: en España lo usa (casi) todo el mundo.

Eso está muy bien, porque si necesitas de verdad una respuesta rápida de alguien, es muy posible que tarde en ver un correo electrónico que le envíes.

Al final del post hablaremos de mis alternativas favoritas a Whatsapp para comunicaciones de mensajería, audio y vídeo.

Ahora vamos con varios problemas graves para su uso profesional y empresarial:

 

1.- Una (falsa) sensación de impunidad seguridad.

Es cierto que las comunicaciones están cifradas de punto a punto por defecto. pero eso lo que significa de verdad es que ni tu compañía telefónica ni los administradores de este sistema de mensajería, puede leer tus mensajes en tránsito.

Pero hay cosas que no sabes: esos mensajes quedan almacenados (data at rest) en tu dispositivo en texto plano, sin cifrar.

Dependerá de cómo tengas configurado tu dispositivo, que esos datos puedan ser legibles o no por un tercero que consiga acceso a tu dispositivo.

Y por un tercero no sólo estoy hablando de un chorizo, de tu amigo cabroncete, o de tu hija de diez años, sino también de un inspector de hacienda, o de la autoridad de competencia, por poner un par de ejemplos muy tontos.

Si tienes un iPhone, todos tus datos están cifrados por defecto. Eso es así.

Pero un alto porcentaje de los usuarios de Whatsapp acceden a la plataforma desde dispositivos Android antiguos, o desde sus ordenadores personales, y la mayoría de estos dispositivos no tienen el sistema operativo cifrado por defecto como deberían.

Todo esto sin contar con la maravillosa opción de «almacenar tus conversaciones en Google Drive». Por supuesto, este almacenamiento también se produce en plano, sin cifrar, en las fauces del otro gran tiranosaurio de datos mundial.

Dos por uno.

 

2.- Whatsapp es una aplicación eminentemente privada, de uso particular.

Por ello, no es nada adecuada para su utilización profesional (por un abogado, por ejemplo) o en el marco de una empresa (para mantener comunicaciones entre compañeros o entre grupos de trabajo especializados).

Aunque ya sabemos que esto pasa en todas partes.

La primera regla para la protección de la empresa, ya sea mera “información confidencial”, o directamente “secretos empresariales”, es mantenerla bajo control, y aplicarle medidas de protección.

Si la empresa conoce y tolera o directamente promueve el uso de una aplicación de mensajería como WhatsApp para la gestión y transmisión de esta información corporativa entre sus trabajadores, lo que está haciendo es perder el control sobre tales activos: en el día en que tengas que despedir a un trabajador, no podrás obligarle a borrar la información corporativa que se encuentre almacenada en su aplicación de WhatsApp, en su dispositivo privado.

Peor aún: el día que un trabajador abandone voluntariamente tu empresa para ponerse por su cuenta o trabajar para la competencia, tampoco podrás asegurarte de que esa información corporativa es borrada de forma segura de sus dispositivos, por la misma razón.

Solamente puedes imponer reglas obligatorias y por tanto establecer medidas efectivas de seguridad sobre la información que manejan los trabajadores, si les proporcionas dispositivos técnicos y aplicaciones corporativas para ello.

Pero si se permite el uso de dispositivos particulares, y de aplicaciones privadas para usos corporativos y para el manejo de información corporativa, la capacidad de controlar y recuperar la información queda en suspenso.

Por poner un ejemplo: si alguno de nuestros trabajadores sufre el robo de un Smartphone corporativo que tenga instalado sistema MDM, podrás formatearlo en remoto, convirtiéndolo en un caro ladrillo. Y el ladrón no podrá acceder en ningún caso a la información alojada en el mismo.

Simplemente tendrás que disponer una política de uso de dispositivos corporativos mínimamente cuidada.

Sin olvidar que cuando la empresa decide «utilizar» los dispositivos particulares de los trabajadores para sus propios fines, tiene que cumplir una serie de condiciones, véase el «Caso Telepizza».

 

3.- El “riesgo cuñao” o “colechat”

Otro problema que parece muy tonto pero no lo es, es tener información corporativa más o menos sensible literalmente al lado de grupos de contacto privados, multitudinarios y habitualmente peligrosos.

¿Nunca te has equivocado de chat? ¿Nunca has mandado un mensaje con una fotografía o gif gracioso al chat equivocado?.

Te ha pasado.

Y lo sabes.

Pues bien, imagínate que esto te ocurre con un mensaje de texto, fotografía o documento que contengan información comprometida de la empresa.  

Imagínate que esa información llega por error a un chat de esos de mucha gente.

Imagínate que entre toda esa gente hay alguien que le da por reenviar tu mensaje.

Se han dado casos, créeme.

 

4.- Transferencia internacional de datos

Al utilizar esta plataforma, los datos personales que puedan estar involucrados en estas comunicaciones “viajan” a los Estados Unidos de Norteamérica.

Es decir, esos datos personales salen del ámbito europeo, lo que constituye una transferencia internacional de datos.

Si bien la plataforma está adherida al “privacy shield”, esta transferencia internacional de datos debe ser informada a los interesados (a los titulares de los datos transmitidos: clientes, trabajadores, según el caso).

Y esto es algo que casi nadie hace.

 

5.- Whatsapp business

WhatsApp puede ser una poderosa herramienta de comunicación con tus clientes, siempre que el contenido de estas comunicaciones se restrinja a lo puramente comercial.

Pero creo que jamás deberíamos utilizar una herramienta como esta para gestionar y transmitir información que por cualquier razón resulte valiosa o comprometida para cualquiera de las dos partes.

Bonus track.- Facebook ¡¡FACEBOOK!!

Como se ha dicho anteriormente, los mensajes son cifrados y la empresa titular de la plataforma no puede leerlos. Pero sí tiene acceso pleno a todos los metadatos generados por tus interacciones con la herramienta.

¡¡Son los metadatos, estúpido!!

Los metadatos no son datos y por eso no importan ¿no? ¿NO?. Dile eso a Michael Hayden, ex Jefe de la NSA. En sus propias (y famosas) palabras:

«matamos gente basándonos en metadatos» («we kill people basing on metadata«)

Asumiendo que no compartes tu ubicación, o fotografías con metadatos de ubicación, recuerda que WhatsApp almacena igualmente tus datos precisos de ubicación. Eso le permite saber dónde duermes y, sí, con quién. Le permite saber si «hablas» mucho con tu madre o te llevas mal con ella.

Y toda esa magia se debe a los metadatos. Otros pueden ser, por ejemplo, los siguientes:

• La identificación de las personas que forman parte de cada uno de tus chats (en algunos casos como hemos visto, puede ser compañeros de trabajo de un grupo especializado).
• Si estás o no conectado en un determinado momento.
• Las horas a las que te conectas y desconectas de la aplicación.
• Las personas con las que mantienes contacto más intenso. De aquí, decía, puede deducirse cómo te llevas (o no) con tu familia.
• Se pueden deducir fácilmente quiénes son tus clientes.
• Eso por no hablar de los famosos mosqueos derivados del famoso “doble check azul” indicativo de cuándo has realmente leído un determinado mensaje.

La empresa que tiene acceso a todos estos (tus) metadatos es, ni más ni menos que Facebook.

Saca tus propias conclusiones sobre este tema.

 

Bonustrack 2: ¿¿Recuerdas por qué se llama así esta aplicación??

Pues por un antiguo anuncio de cerveza verdaderamente chorras.

Este:

Alternativas:

Comunicación dentro de la empresa: Cualquier aplicación corporativa integrada en el ecosistema que utilice tu empresa, será mejor que Whatsapp: las del ecosistema Google, las de Office 365… lo que sea que venga integrado en tu plataforma y esté disponible, será preferible al uso de apps privadas en dispositivos privados de los trabajadores.

Repito: el objetivo principal es que la información corporativa no abandone los dispositivos y redes corporativos.

Comunicación del profesional o del empresario individual con sus clientes: Una app móvil de mensajería de texto audio y vídeo para comunicarte de forma segura con tus clientes (que la tengan, claro): Signal.

Signal ofrece su código abierto, por tanto auditable y modificable. Ofrece sólida encriptación por defecto y es gratuita.

Mereció famosamente el visto bueno de Edward Snowden para realizar comunicaciones seguras y privadas.

Sé que Telegram  es la “segunda” favorita de los españoles peeeero:

• Telegram no encripta comunicaciones por defecto (salvo que inicies un chat secreto) y…
• Peor aún, almacena todos los datos intercambiados junto con los datos de las personas implicadas en sus servidores: un honeypot en toda la regla.
• Además no ofrece su código abierto.

Si necesitas una aplicación tipo Skype, y no quieres gastarte pasta en Webex, Zoom o Whereby, mi recomendación open source y gratuita es Jitsi.

Muy buena semana.

 

Jorge García Herrero

Abogado y Delegado de Protección de Datos