Todos tus empleados conocen Whatsapp, la mayor parte lo utilizan… y ese puede ser precisamente tu mayor problema a la hora de plantear su uso a nivel corporativo.

En nuestro primer estudio sobre Comunicaciones Unificadas y Colaboración en LATAM, presentado hace unos meses, pudimos constatar que el uso de Whatsapp entre los trabajadores de grandes empresas está ampliamente extendido, incluso en empresas que ofertan a sus trabajadores soluciones similares de uso corporativo.

Otras noticias, de instituciones que deberían ser especialmente sensibles en cuestiones relativas a la seguridad de sus comunicaciones,  como la confirmación por parte del Ejército español del uso de Whatsapp de forma oficial, contribuyen a alimentar una falsa sensación de seguridad, entorno al uso corporativo de esta herramienta.  De hecho, el Gobierno de España ha mantenido políticas discordantes a lo largo del tiempo  sobre el uso de la app de Meta. Ya en 2016 la Guardia Civil desaconsejaba a sus miembros el empleo de esta herramienta. Si bien es cierto, que en los años que separan ambas noticias, se han tomado algunas medidas importantes a favor de mejorar la privacidad de Whastapp, la realidad es que es dificil garantizar la confidencialidad de la información transmitida por este canal, lo que nos lleva a pensar que la propia Ministra de Defensa, entra en contradicción al hacer la siguiente recomendación:

«se podrá usar la aplicación de Facebook para enviar información a grupos de WhatsApp siempre que se base en «voluntariedad, no transmitir información sensible y transmitir mensajes para informar, coordinar y anticipar actuaciones».

En primer lugar, es imaginarse pensar que en las comunicaciones relativas a actuaciones de un ejército, no haya información sensible. Por otra parte, si su uso es voluntario, e incluso, como reclamaba la ATME, no se puede verificar si el mensaje es recibido o si el que contesta el e interesado, tampoco es concebible que exista dicha coordinación.

El argumento a favor,  es fácil de entender e incluso empatizar con él, aunque se sobrevalora su eficacia al no tener en cuenta sus limitaciones:

«…desde el departamento dirigido por Margarita Robles destacan que no puede negarse «la utilidad de esta vía de comunicación», ni la «habitualidad» de su uso, que «redunda en la rapidez de las comunicaciones y en la eficacia del servicio».

Teniendo en cuenta que además Meta impone un marco de colaboración con las «fuerzas del orden» muy «americanizado», es todavía más llamativa esta permisibilidad.

En este post, intentaré arrojar algo de luz sobre este cuestión, para que decidas lo que decidas, al menos lo hagas de una forma informada y con una perspectiva amplia del asunto:

El 53 % de los trabajadores de primera línea utilizan aplicaciones de mensajería como WhatsApp y Facebook Messenger hasta seis veces al día por motivos relacionados con el trabajo, pero el 68 % de ellos dijeron que dejarían de hacerlo si se les proporcionaran herramientas de comunicación interna aprobadas”. [Google 2019]

Antes de avanzar, conviene aclarar este punto. Estamos hablando en todo momento de la versión convencional de WhatApp, ya que la versión Business está, como hemos visto en anteriores posts, orientada a comunicaciones B2C.

Aunque la posibilidad e utilizar un número de teléfono diferente al de la app mainstream pudiera parecer un factor determinante, mo tendría sentido plantearse el uso de W.B. ya que existe un coste asociado al intercambio y recepción de mensajes, limitaciones en el volumen de mensajes intercambiados, obligación de iniciar conversaciones con mensajes de plantilla, etc.

El empleo de Whatsapp para comunicaciones corporativas lo podríamos enmarcar dentro de una supuesta estrategia BYOD, pero es cuestionable que permitir el uso indiscriminado de una herramienta, sin control de políticas, copias de seguridad, control de acceso… pueda considerarse una estrategia de IT. En muchos casos, se trata de una actitud permisiva, parte de un consentimiento tácito (p.e. «el jefe también lo usa») y que deja esta herramienta fuera del scope del las actividades de seguridad informática habituales.

Un usuario particular recibe al día unos 27 mensajes a través de Whatsapp, el nivel de ruido puede ser considerable si compartimos canal personal y profesional.

Es un hecho, que nos hemos acostumbrado a vivir con cierto nivel de FOMO, pero no parece que combinar los canales personales y corporativos pueda contribuir a minorar el estrés a recibir constantemente notificaciones en nuestros dispositivos. De hecho, esta combinación es incompatible con el popular derecho a la desconexión digital, que tantos debates ha protagonizado a lo largo de Europa.

En cualquier caso, la lógica nos invita a pensar que lo más adecuado para unas comunicaciones eficaces, es evitar canales saturados con altos niveles de ruído. Una recomendación, que seguro impacta en la mejora de la productividad de unos trabajadores más enfocados.

Cada vez que nos distraemos, miramos las redes sociales o consultamos el email, nuestro cerebro necesita 23 minutos y 15 segundos para volver a concentrarse. [+]

Una actividad básica de un servicio de mensajería instantánea es la posibilidad de enviar archivos entre las partes implicadas. Estos archivos pueden ser de diferente naturaleza (vídeos, .pdfs, imágenes…), pero en cualquier caso, en un contexto de uso empresarial, estos archivos forman parte de los activos de la empresa y pueden contener información sensible que debe ser protegida, indexada y almacenada correctamente.

La encriptación E2EE ofrece ciertas garantías ente la intercepción de los datos mientras estos viajan de un punto a otro, ya que están cifrados con una clave única… pero, y no es un pero pequeño, no puede protegernos ante un acceso no autorizado al dispositivo de destino o de origen del mensaje. En otras palabras, si puedo acceder a tu móvil o a su copia de seguridad puedo ver tus mensajes., o incluso con que te dejes iniciada una sesión de WhatApp Web en un navegador (recordemos que puede durar abierta hasta 14 días) podría acceder a buena parte de tus últimos mensajes sin que notases ninguna irregularidad.

Además la debilidad es doble, ya que el archivo enviado pasa a existir en dos puntos, en lugar de ser accesible desde un sistema central, con su log de accesos. Enviar un archivo por Whatsapp es clonarlo, y consecuentemente perder el control sobre la copia. Aunque nos olvidemos de la seguridad, la perdida de control sobre los cambios realizados ya es un trastorno relevante en sí mismo.

El empleo de Whatsapp traslada parte de la complejidad de la gestión de las comunicaciones a la gestión de dispositivos.

Dado que toda la información se almacena de manera local, es necesario gestionar cada dispositivo por separado para auditar el tipo de información que se está guardando y protocolizar la forma de eliminarla o archivarla.

Los backups de WhatApps son potencialmente vulnerabilidades, que pueden dejar expuesta información que el usuario consideraba eliminada de su dispositivo.

Existen algunas soluciones en el mercado que tratan de paliar estas carencias en cuanto a compliance, instalando un software que se encarga de hacer el archivo correspondiente, o incluso de permitir una segunda aplicación con una numeración diferente para uso corporativo. Esto permite centralizar cierto nivel control, pero parece realmente limitado.

Posiblemente, este sea el punto más sencillo de comentar, pues simplemente no existe, y esto supone renunciar a capacidades tan del día a día como: pasar una llamada a otro compañero, dejar una llamada en espera, llamar a un teléfono fijo, usar los criterios de enrutado de tu PBX, disponer de alguna métrica sobre el estado del servicio y su nivel de uso, etc.

Por último, en sectores altamente regulados, como es el sector financiero el uso de esta herramienta supone enormes riesgos a nivel de cumplimiento legal. Tema que abordaremos en profundidad en próximos posts.