En el ejercicio diario de nuestras funciones, es común enfrentarse a situaciones donde la inmediatez parece justificar el uso de cualquier medio disponible para compartir información. Sin embargo, la rapidez con la que se transmite un documento no debe estar por encima de la seguridad con la que se transmite.
El uso de canales no oficiales de comunicación como aplicaciones de mensajería móvil, correos electrónicos personales o plataformas de almacenamiento no autorizadas representa uno de los riesgos más frecuentes y subestimados en materia de seguridad de la información. Este artículo aborda qué son estos canales, por qué son riesgosos y cuál es el marco normativo que nos orienta dentro del INCAF.
¿Qué entendemos por un canal no oficial?
Un canal no oficial es todo medio de comunicación, transferencia o almacenamiento de información que no ha sido formalmente habilitado por la institución para el manejo de datos institucionales. Entre los más utilizados se encuentran:
- Aplicaciones de mensajería móvil (WhatsApp, Telegram, Signal, entre otras).
- Cuentas de correo electrónico personales (Gmail, Hotmail, Yahoo, entre otros).
- Plataformas de almacenamiento en la nube de uso personal no autorizado.
- Herramientas de chat o colaboración externas no provistas por la institución.
Su uso para fines laborales no solo expone la información, sino que además representa un incumplimiento directo a las políticas internas del INCAF.
Marco normativo institucional
La Política de Seguridad de la Información y Ciberseguridad del INCAF (Código PO-GTI-1.0, Versión 1.0, vigente desde junio 2025) establece de manera explícita las disposiciones que regulan el uso de los canales de comunicación institucional. A continuación, se destacan los literales más relevantes en relación con este tema:
Respecto al uso del correo electrónico, el literal 6.1, inciso b) dispone que:
"Para el cumplimiento de las funciones de los empleados, se debe utilizar el correo electrónico asignado por el INCAF, por lo que está prohibido utilizar correos electrónicos personales (Gmail, Hotmail, Yahoo, entre otros), para la remisión de información o documentos del INCAF."
En cuanto al uso de plataformas de comunicación y colaboración, el literal 6.4, inciso b) establece que:
"Se prohíbe el uso de WhatsApp Web y otras plataformas de chat, que no sean las incluidas en la plataforma colaborativa utilizada para la gestión del correo institucional."
Adicionalmente, dentro de las buenas prácticas de seguridad de la información, el literal 11, inciso g) señala que todo el personal debe:
"Utilizar solo los canales de comunicación establecidos y autorizados por la institución."
¿Por qué representan un riesgo real?
El uso de canales no controlados genera consecuencias concretas en la seguridad de la información institucional:
Pérdida de trazabilidad y control Cuando la información se transmite fuera de los canales oficiales, la institución pierde la capacidad de registrar quién accedió a ella, quién la reenvió o cómo fue utilizada. Esto contradice directamente el principio de pistas de auditoría establecido en el literal 13 de la política, el cual exige que toda actividad sobre activos de información quede debidamente registrada para garantizar la trazabilidad.
Exposición a fugas de información Las aplicaciones de mensajería y los servicios de correo personal almacenan los datos en servidores externos, sobre los cuales el INCAF no tiene ningún control ni visibilidad. Esto vulnera el principio de confidencialidad, integridad y disponibilidad de la información, que constituye el eje central del objetivo general de la política.
Riesgo de ciberataques Los canales informales no están protegidos por la seguridad perimetral de la institución. Un archivo recibido por WhatsApp o por un correo personal puede contener malware o ser parte de un ataque de ingeniería social. El literal 11, inciso a) de buenas prácticas advierte expresamente que no debe abrirse ningún enlace ni descargarse archivos de procedencia desconocida o incierta.
¿Cuáles son los canales autorizados por el INCAF?
La institución pone a disposición del personal los siguientes medios oficiales para la comunicación y gestión de información:
Correo electrónico institucional Es el medio principal y autorizado para el intercambio de información y documentación. En caso de requerir el envío de información confidencial fuera de la institución, el literal 6.1, inciso a) establece que el correo deberá remitirse cifrado, con los documentos protegidos con contraseña, enviando el archivo y la clave en correos separados.
Plataforma colaborativa institucional Las herramientas de comunicación incluidas dentro de la suite del correo institucional (mensajería interna, videoconferencia, etc.) son los únicos canales habilitados para la comunicación en tiempo real entre colaboradores. Conforme al literal 6.4, inciso b), estas deben utilizarse exclusivamente para tratar temas asociados al trabajo, con decoro, respeto y para propósitos de comunicación efectiva.
Mesa de ayuda Para cualquier gestión relacionada con accesos, solicitudes tecnológicas o reportes de incidentes, el canal oficial es la mesa de ayuda de la Gerencia de Tecnologías de la Información, tal como se indica en múltiples literales de la política para distintos tipos de solicitudes.
Recomendaciones para el personal
Con base en las disposiciones de la política institucional y las buenas prácticas de seguridad de la información, se recomienda a todo el personal:
- Utilizar exclusivamente el correo institucional para enviar, recibir o gestionar documentación del INCAF.
- Abstenerse de compartir información institucional a través de aplicaciones de mensajería móvil o cuentas de correo personal.
- Ante cualquier solicitud de información por canales no oficiales, redirigir la gestión al canal autorizado correspondiente.
- No abrir ni descargar archivos recibidos por medios no controlados, especialmente si provienen de remitentes desconocidos o si el contenido resulta inusual o no solicitado.
- Reportar de manera inmediata a la Gerencia de Tecnologías de la Información cualquier situación que involucre el uso indebido de canales de comunicación o la posible exposición de información institucional.
Conclusión
La protección de la información institucional no es una responsabilidad exclusiva del área de tecnología. Cada colaborador, en cada acción cotidiana, contribuye a fortalecer o a debilitar la seguridad del INCAF. Elegir el canal correcto para comunicarse es, en esencia, elegir proteger a la institución.
Gerencia de Tecnologías de la Información #ConsejosCiberseguridad
Canales No Oficiales: Un Riesgo que Comienza con una Decisión Cotidiana