¿Es Slack seguro? Cómo mantenerse a salvo mientras colaboramos

Marko Grujic
Marko Grujic
Por: Marko Grujic Tiempo de lectura: 11 minutos
Slack chat su mobile
Haz clic aquí para ver un resumen de este artículo
¿Es Slack seguro? Un breve resumen

Millones de usuarios intercambian mensajes y archivos en Slack cada día. Empresas de todos los tamaños confían en él para facilitar la colaboración entre colegas, clientes y proveedores.

Por sí mismo, Slack incorpora muchas medidas de seguridad de nivel empresarial para garantizar un entorno seguro, incluyendo certificaciones de seguridad ISO y SOC, el cumplimiento de las certificaciones HIPAA y FINRA y un robusto programa de gestión de datos RGPD.

Los usuarios, ya sean individuos o empresas, pueden hacer muchas cosas para mejorar aún más la seguridad de los datos que envían por Slack:

  1. Evitar compartir información confidencial como contraseñas y prácticas empresariales confidenciales.
  2. Usar la autenticación en dos fases (2FA).
  3. Desarrollar sólidos protocolos de incorporación y salida de empleados.
  4. Enseñar a los empleados las prácticas adecuadas para Slack.
  5. Usar canales para gestionar el acceso de usuarios externos.
  6. Tener cuidado con las integraciones de aplicaciones de terceros.
  7. Aprender a reconocer los intentos de phishing.
  8. Instalar un buen programa antivirus.

Lee nuestro artículo a continuación para saber más sobre la seguridad de Slack.

Más de 8 millones de personas intercambian mensajes, archivos e imágenes en Slack hoy en día. Especialmente las pymes han acogido Slack desde su aparición en 2014, la mayoría por su facilidad de implementación y uso.

No solo las pequeñas empresas adoran Slack. Cuando IBM seleccionó Slack como su herramienta oficial de mensajería instantánea y colaboración para sus más de 350.000 empleados, este movimiento se vio ampliamente como una gran victoria en la guerra entre Slack y Microsoft Teams.

¿Pero cómo de seguro es realmente Slack? ¿Y qué puedes hacer para garantizar que la información que envías es segura y permanece privada? Ya seas un empleador o un empleado, te contaremos todo lo que necesitas saber sobre Slack y su seguridad.

Preocupaciones sobre la seguridad y privacidad de Slack

La privacidad y la seguridad en línea de los datos que enviamos a través de plataformas, son preocupaciones legítimas, ya estés usando Slack para escritorio como la aplicación de Slack para dispositivos móviles. Por suerte, Slack tiene algunos sistemas y políticas dignas para mantener seguros la privacidad de nuestros datos.

Cómo gestiona los datos Slack

slack logo

Slack no holgazanea cuando se trata de la seguridad de los datos. La empresa usa seguridad de nivel empresarial para satisfacer los requerimientos de cumplimiento globales y proteger la información de Slack.

La empresa ha obtenido certificaciones relacionadas con la seguridad del alojamiento, incluyendo la ISO/IEC 27001, 27017, 27018, y 27701, SOC 2, SOC3, APEC for Processors y APEC for Controllers. Además, Slack cumple con HIPAA y FINRA. La empresa también ha implementado un programa de cumplimiento del RGPD.

Slack cifra datos en reposo y en tránsito. También ofrece otras características de seguridad para salvaguardar datos sensibles, como la autenticación de dos fases, límites en la duración de la sesión y la gestión de sesiones. Sin embargo, no usa cifrado de extremo a extremo, ya que quiere dar a los administradores la posibilidad de acceder a las comunicaciones por motivos empresariales.

Cómo gestiona Slack las amenazas a la seguridad

Además de las robustas medidas de seguridad de Slack que hemos mencionado antes, la empresa combate las amenazas de los ciberdelincuentes a través de su programa de recompensas por errores de Slack. Cualquiera puede informar de vulnerabilidades que hayan encontrado dentro de Slack y recibir una recompensa por ello. Slack puede, entonces, trabajar para parchear la debilidad y fortalecer su programa. El programa de recompensa por errores anima a la identificación de fallos de seguridad de Slack antes de que sean aprovechados.

Muchas vulnerabilidades clave se han identificado a través del programa de recompensas, y Slack las corrigió antes de que fueran usadas. Desde el principio, Slack ha premiado con más de 900.000 dólares a los investigadores de seguridad que han identificado vulnerabilidades potenciales en la plataforma de Slack.

Cómo gestiona Slack los requerimientos gubernamentales

Justice lady with legal scale and sword icon

La política de privacidad de Slack declara que no revela voluntariamente información a los gobiernos. Sin embargo, deben cumplir con las peticiones provenientes de procesos legales válidos. Esto significa que la empresa debe almacenar información y la revelará si se lo fuerzan por ley.

¿Pero quién o qué está incluido en un proceso legal válido? La frase se refiere a cualquiera involucrado en alguna demanda, lo que incluye a cualquiera de tus competidores que te demande a ti o a tu empresa. Pueden pedir al tribunal que obliguen a Slack a entregar la información contenida en tus canales de Slack. Esto puede incluir información crítica que no quieres que tu competencia tenga. Este escenario de pesadilla es muy poco probable que ocurra, pero no imposible por completo.

En general, la idea de que las comunicaciones internas de tu empresa puedan ser leídas por otros no es lo mejor, incluso si puede ser necesario en algunos casos. Cada año, Slack publica un informe de transparencia que resume todo lo que han revelado relacionado con peticiones válidas de procesos legales. Aunque la cantidad es baja, se compartieron datos confidenciales.

¿Son privados tus chats en Slack?

Desde el punto de vista de un empleado, puedes estar menos preocupado sobre cómo de vulnerables son los datos sensibles de tu empresa, y más preocupado en cómo de privada es tu información personal en Slack.

Al igual que la mayoría de herramientas empresariales, empieza suponiendo que cualquier cosa que hagas es guardada y revisable por tu jefe, sus jefes o el departamento de RR. HH. Slack no está exenta de este supuesto.

Puedes, sin embargo, fácilmente comprobar cómo y qué información guarda tu organización. Así es cómo se hace:

  1. Desde tu Slack de escritorio, ve a tu perfil, entonces haz clic en More > Account Settings. Se te enviará a la página de Slack.
  2. Haz clic en About this workspace en el lado izquierdo de la pantalla (tal vez tengas que abrir antes el «Menú»).
  3. Haz clic en Retentions & Exports.
  4. En What data can my admins access? encontrarás una descripción de la información que es recuperable.
  5. Puedes seguir el enlace Learn More para ver todas las opciones disponibles para guardar y recuperar datos.

Screenshot of the 'What data can my admins access?' page on the Slack website

La diferencia entre canales públicos, privados y los mensajes directos es especialmente importante. Los administradores tal vez puedan exportar datos de los canales públicos abiertos, solo, mientras que tus mensajes directos están bloqueados, los canales privados no pueden compartirse fuera de los participantes de esas conversaciones. Incluso así, ten en cuenta que siempre es fácil hacer una captura de pantalla, incluso de los mensajes privados.

Como regla general, es una buena práctica evitar enviar cualquier cosa por escrito que no quieras que se haga pública. Es siempre mejor guardarse los comentarios sarcásticos sobre tu jefe o las quejas sobre un cliente para después del trabajo, mientras tomas algo en un bar con los colegas.

Cómo mantenerse seguro en Slack

Incluso con las medidas de seguridad usadas, Slack continúa siendo un servicio basado en la nube. Por ello, es vulnerable a determinados ciberdelincuentes. Aquí tienes ocho formas de maximizar tu seguridad y mitigar tus preocupaciones sobre la privacidad de Slack.

1. No compartas información personal

Nunca reveles contraseñas u otra información confidencial o sensible en Slack. Esto incluye enviar archivos que contengan información privada de la empresa o de clientes.

Si necesitas darle a un colega información de una contraseña, considera usar una aplicación de gestión de contraseñas. 1Password ofrece una útil opción para equipos para compartir contraseñas con toda la empresa. Otra información confidencial y sensible debe enviarse a través de canales internos más seguros que no sean tan fáciles de descubrir por los hackers o se conviertan en víctimas de una orden judicial.

2. Requerir la autenticación en dos fases

Siempre es una buena idea usar la autenticación en dos fases (2FA) para iniciar sesión. Cuando usas 2FA, puedes iniciar sesión en Slack usando tu contraseña y un código de verificación que recibes en tu teléfono. Esta autentificación multifactor hace que sea muy difícil conseguir acceso a Slack con solo las credenciales de inicio de sesión.

Puedes configurar la 2FA en Slack a través de una aplicación de autenticación o por mensaje SMS siguiendo los siguientes pasos:

  1. Ve a tu perfil, haz clic en «More» y ve a «Account settings«.
  2. Haz clic en «Expand» al lado de «Two-Factor authentication» y elige «Set up two-factor authentication«.
  3. Introduce tu contraseña y haz clic en «Confirm password«.
  4. Elige entre «Use an app» o «SMS text message» dependiendo de tu método preferido.
  5. Sigue las instrucciones para conectar tu aplicación (a través de un código QR) o número de teléfono.
  6. Introduce el código que has recibido a través del SMS o de la aplicación y pulsa en «Verify code«. Ahora puedes iniciar sesión usando la 2FA.

Ten en cuenta que este proceso configura la verificación en dos fases en solo una cuenta de usuario. Si quieres hacer esto en toda tu empresa, asegúrate de que todos tus empleados activan esta opción.

Para empresas que ya usen un protocolo de Inicio de sesión único, 2FA también puede usarse para conseguir seguridad adicional.

3. Configurar un sistema para la gestión de incorporación y salida de empleados

Slack-picture-homepage

Para empresas grandes, uno de los mayores desafíos es mantener un seguimiento de qué empleados obtienen acceso a Slack. Para evitar accesos no deseados por trabajadores que ya no se encuentran en la empresa y garantizar a los nuevos empleados que tienen acceso a los datos oportunamente, es importante tener un proceso documentado para el acceso a Slack.

Asegúrate de que alguien de tu empresa sea el responsable de conceder o denegar el acceso a Slack en el momento en que hay un cambio en el número de trabajadores.

Manteniendo un acceso a Slack correcto y actualizado, los empleados evitan el riesgo de tener a antiguos compañeros accediendo y usando Slack de formas inapropiadas.

4. Adiestra a los usuarios sobre las prácticas adecuadas en Slack

Empresas que usan Slack para colaborar deben tomarse su tiempo para asegurar que todos sus empleados entienden las políticas de uso de Slack de la empresa. Una forma de optimizar este proceso es aplicar tus políticas empresariales de seguridad en el correo electrónico a Slack.

Sin embargo, se necesita algo más que simplemente escribir la política en alguna parte. Las empresas deben adiestrar sobre Slack a sus empleados durante el proceso de incorporación. Deben ofrecer, también, cursos de actualización periódicamente, para garantizar que la información esté presente.

5. Usar canales para gestionar el acceso de usuarios del exterior

Si estás colaborando con clientes o proveedores en Slack, limita el acceso completo a la información de la empresa creando canales. Puedes usar Slack Connect para invitarlos y controlar la información a la que tienen acceso.

Asegúrate de que sabes exactamente a qué canales públicos y privados tienen acceso los usuarios exteriores. Borra el canal una vez se complete el proyecto y el acceso externo desaparece.

6. Ten cuidado con las integraciones de aplicaciones de terceros

Slack ofrece numerosas aplicaciones con las que puede integrarse, incluyendo Google Drive y Dropbox. Pero esta ventaja conlleva riesgos adicionales. Con cada aplicación de terceros conectada a Slack, aumentan las potenciales vulnerabilidades. Slack es solo tan seguro como la seguridad de la aplicación vinculada más débil.

Mientras que las integraciones más populares son, generalmente, seguras, es sensato mantener esas conexiones al mínimo. Los administradores deben ser los únicos que aprueben dichas integraciones. Esto elimina la posibilidad de que los empleados añadan aplicaciones de terceros de riesgo por su cuenta.

7. Cuidado con los intentos de phishing

Parecido al correo electrónico, Slack no es inmune a los ataques de phishing. En 2017, hackers enviaron mensajes falsos del Slackbot a un grupo de aficionados a las criptomonedas en Slack. Estos mensajes les dirigieron a una web falsa pidiendo información financiera. Los mensajes directos de Slack también son uno de los métodos preferidos de phishing para contactar con usuarios incautos de Slack.

La mayoría de la gente sabe cómo reconocer los intentos de phishing que llegan a la bandeja de entrada de su correo electrónico, pero los peligrosos mensajes directos que se reciben en nuevas tecnologías como Slack los hacen parecer menos sospechosas. Los hackers sacan el jugo a este nivel inferior de sospecha para engañar a usuarios a que de forma no consciente divulguen información confidencial. Estar al día de los trucos que se suelen usar en el phishing puede realmente rebajar los riesgos, en este caso.

8. Usa un buen antivirus

Siempre que estés conectado en línea, hay un riesgo de que algún malware infecte tu dispositivo. Ocurre lo mismo con Slack. Es realmente muy fácil hacer clic accidentalmente en un enlace sospechoso o para un empleado abrir un adjunto dudoso. Cuando eso ocurre, hay una alta posibilidad que contenido malicioso termine en un ordenador individual o en el servidor a lo ancho de la toda la empresa. La sólida protección de un antivirus identifica estas amenazas rápidamente y se mueve para erradicarlas antes de que creen problemas mayores.

Para saber más sobre cómo un programa antivirus puede ayudarte a mantenerte a salvo en línea, y encontrar uno que se adapte a ti, echa un vistazo a nuestras recomendaciones sobre los mejores antivirus de 2022.

Conclusiones finales

Slack es una enormemente popular herramienta para la comunicación instantánea y la colaboración. Sin embargo, los beneficios de Slack vienen acompañados con riesgos de seguridad.

Para empresas e individuos que usan Slack, es importante que estén vigilantes a las amenazas a la seguridad y realicen los pasos necesarios para minimizarlos. Abstente de enviar información confidencial en Slack. Usa el autentificador en dos fases para añadir una capa extra de seguridad en los inicios de sesión. Mantén un control estricto de quien tiene acceso a Slack.

Los pasos básicos de seguridad combinados con los propios rigurosos protocolos de seguridad de Slack, hacen que Slack sea seguro y una forma eficiente de colaboración y comunicación.

¿Es seguro Slack? Preguntas frecuentes

¿Quieres saber más sobre Slack y su seguridad? Echa un ojo a continuación a nuestras preguntas frecuentes. Si tienes una pregunta que no esté respondida, deja un comentario y te responderemos tan pronto como sea posible.

¿Cómo de seguro es Slack?

Slack usa medidas de seguridad de nivel empresarial para proteger la integridad de los datos enviados y guardados. También cumplen con la FINRA y la HIPAA y tiene un robusto programa de cumplimiento del RGPD. Aun así, cualquier programa de servicios basado en la nube es vulnerable a un ciberataque, y Slack no está exento de ello.

Los usuarios pueden realizar unos pasos adicionales para proteger su información, como usar la autenticación en dos fases, no enviar información confidencial a través de mensajes de Slack y estar al día de los posibles intentos de phishing que se envían por Slack.

¿Puede leer alguien mis mensajes de Slack?

Ya sea tu jefe o el departamento de recursos humanos, estos pueden ver tus mensajes directos de Slack dependiendo de cómo hayan configurado Slack. Por lo general, es una buena práctica evitar poner algo por escrito que no querrías que se hiciera público.

Lee nuestro artículo al completo para encontrar instrucciones de cómo, fácilmente, comprobar si tu empresa está monitorizando Slack.

¿Está Slack cifrado de extremo a extremo?

No, Slack no usa el cifrado de extremo a extremo. Aunque cifra tus datos en tránsito y en reposo, solo lo hace para proteger la información de fuerzas exteriores. Usar un cifrado de extremo a extremo querría decir que nadie, excepto el remitente y el destinatario, podría acceder al contenido. En Slack, los empleadores y administradores pueden controlar a sus empleados. En otras palabras, con Slack, no puedes estar seguro de que tu jefe no lea tus mensajes.

¿A quién pertenece Slack?

En julio de 2021, Salesforce pasó a ser el dueño de Slack y lo ha incorporado a la suite de programas empresariales Salesforce. Esta es una herramienta de gestión de relaciones con el cliente que también ofrece otras aplicaciones complementarias, incluyendo servicio de atención al cliente, automatización de marketing, analíticas y el desarrollo de aplicaciones. La central de Salesforce está en San Francisco, California.

International security coordinator
Marko has a Bachelor's degree in Computer and Information Sciences. He coordinates and manages VPNOverview.com's team of international VPN researchers and writers.
Más artículos de la "Empresas" sección
Enviar un comentario
Enviar un comentario