En un momento en que la Directiva NIS2 redefine las obligaciones de ciberseguridad de las entidades críticas europeas, y especialmente en España, donde su transposición avanza rápidamente, proteger la colaboración en línea adquiere una nueva dimensión.
Para garantizar la seguridad de sus sistemas de información, los sectores críticos como la sanidad, la energía, la defensa o la industria deben reforzar tanto la confidencialidad de sus intercambios digitales como el control sobre sus datos.
Un terreno de ataque subestimado
Las herramientas de colaboración, ampliamente integradas en los procesos de toma de decisiones de las organizaciones, siguen siendo con demasiada frecuencia los puntos ciegos de las políticas de ciberseguridad. Sin embargo, su papel en la transmisión de información sensible las convierte en objetivos privilegiados. En 2024, la grabación de una reunión en línea en la que participaban generales del ejército alemán se filtró en Internet, con importantes repercusiones geopolíticas. Ese mismo año, en Hong Kong, las tecnologías de deepfake también abrieron la puerta a ataques sofisticados, como el que costó 25 millones de dólares a una multinacional engañada por un falso directivo durante un videoconferencia.
Lejos de las amenazas cibernéticas tradicionales, la inteligencia artificial (IA) −cada vez más integrada en algunas herramientas colaborativas para tomar notas− multiplica considerablemente los riesgos de filtración o de intercambio involuntario de información. Recientemente, un grupo de ciberdelincuentes logró exfiltrar datos sensibles contenidos en correos electrónicos y mensajerías desviando el comportamiento de Microsoft Copilot, sin que el usuario realizara ninguna acción.
Hoy, en entornos con fuertes exigencias de seguridad, reforzar la protección de las herramientas colaborativas es indispensable, pero no a costa del control de los datos. Garantizar la confidencialidad de las reuniones en línea, de la mensajería instantánea o de las herramientas de gestión documental debe formar parte de un marco de gobernanza claro que asegure el control, la trazabilidad y el cumplimiento normativo en el tratamiento de la información sensible.
El cifrado sigue siendo uno de los mecanismos más eficaces para proteger los datos frente a cualquier interceptación
Cifrado y gobernanza de los datos: una sinergia indispensable
El cifrado sigue siendo uno de los mecanismos más eficaces para proteger los datos frente a cualquier interceptación, aunque su eficacia real depende de cómo se implemente. En la mayoría de las soluciones del mercado, el cifrado se activa únicamente entre el usuario y el servidor, dejando abiertas brechas por las que los datos pueden ser accesibles para el proveedor o para terceros con derechos sobre el alojamiento.
El cifrado de extremo a extremo garantiza que solo el destinatario legítimo pueda acceder a las comunicaciones y a los datos intercambiados, sin posibilidad de interceptación por terceros. Esta exigencia, recogida en la Directiva NIS2, que recomienda implantar comunicaciones seguras de voz, vídeo y texto, va acompañada de recomendaciones para establecer procedimientos de gobernanza claros y una cartografía de la trazabilidad de los datos.
En resumen, asegurar la colaboración significa diseñar una estrategia que combine dos requisitos: una confidencialidad máxima para protegerse de cualquier intrusión y una gobernanza rigurosa para controlar el uso y la circulación de los datos. Al dominar estos dos aspectos, las organizaciones garantizan la integridad de su información crítica y cumplen con las exigencias regulatorias, especialmente las de NIS2 y el Reglamento DORA.
En esta perspectiva, los CIO y CISO deben evaluar no solo el nivel de protección que ofrecen las herramientas colaborativas, sino también su capacidad de integrarse en un marco de gobernanza coherente.
Tres modelos de integración, tres niveles de control
Las arquitecturas server side, utilizadas por la mayoría de los proveedores de soluciones colaborativas, facilitan la supervisión y la integración de la herramienta en los sistemas de la organización, pero implican un posible acceso a los contenidos intercambiados, lo que compromete la confidencialidad. En cambio, el enfoque end point centric, en el que el cifrado y descifrado se realizan únicamente en los dispositivos, preserva una confidencialidad total, ya que el servidor no tiene visibilidad sobre los datos. Sin embargo, este modelo limita considerablemente la capacidad de auditoría, archivado o restauración de la información, lo que puede suponer un problema en caso de investigación interna u obligaciones regulatorias.
Las limitaciones de estos dos modelos abren el camino a enfoques híbridos, como el de Tixeo. Esta solución europea de videoconferencia segura, certificada CSPN y registrada en el catálogo del Instituto Nacional de Ciberseguridad, combina un cifrado de extremo a extremo robusto con una gobernanza plenamente controlada. Permite a la organización mantener un control centralizado sobre todas las comunicaciones gracias a un almacenamiento en servidor que ofrece una visibilidad completa sobre los intercambios.
Al combinar ambas dimensiones, las organizaciones reducen el riesgo de fuga de datos y conservan la posibilidad, en casos concretos y debidamente regulados, de acceder a los contenidos intercambiados para cumplir con sus requisitos de trazabilidad. Esta complementariedad es estratégica: sin cifrado, la gobernanza no puede integrar la seguridad ni garantizar la conformidad de los datos; y sin gobernanza, el cifrado sigue siendo un mecanismo técnico aislado, incapaz de responder a las necesidades operativas y regulatorias.
Para las entidades críticas, adoptar soluciones que alineen estos dos principios ya no es una opción, sino una condición indispensable para reforzar la ciberresiliencia y la confianza en su colaboración interna y externa.
