¿Puede leer tu empresa los mensajes de tu móvil del trabajo?

A principios de 2017, una mujer fue despedida porque su empresa descubrió que utilizaba el tiempo libre que le dejaba su jornada reducida para realizar otros trabajos. Al año siguiente, una sentencia del Tribunal Superior de Justicia de Madrid encontró que su despido era improcedente, entre otras cosas, porque la empresa había descubierto lo que la empleada hacía por las tardes a través de una conversación que tuvo con otra compañera por Skype durante su horario laboral. En este caso, se consideró que el derecho a la privacidad de la trabajadora había sido vulnerado porque la empresa no la había avisado de que podía acceder al contenido de sus conversaciones.

Confiada de su privacidad, la mujer mantenía conversaciones personales utilizando los dispositivos de la empresa. No era consciente de hasta qué punto la compañía puede monitorizar y vigilar la actividad de sus empleados a través de, por ejemplo, el móvil de trabajo. “Sin tener en cuenta la parte legal y centrándonos en las posibilidades que ofrece la tecnología, sí, la empresa puede ver todo lo que haces con tu móvil de trabajo y lo que guardas en él”, asegura Hervé Lambert, responsable de operaciones del área de consumo en Panda Security. “Se puede utilizar un malware para acceder a la información, es bastante fácil y está al alcance de cualquiera. Existen packs completos de herramientas en la dark web y no sería muy difícil saber lo que hace uno de tus empleados o de tus colaboradores”.

Pero la mayoría de las veces las empresas ni siquiera necesitan recurrir a software malicioso. Dado que los dispositivos son suyos, no tienen que hackear el móvil para ver lo que hay dentro, sino dar a las aplicaciones los permisos necesarios, por ejemplo, para acceder a la cámara. También hay configuraciones que permiten a la empresa ver las fotos del teléfono: “Si está registrado con el correo electrónico de la compañía y está utilizando un servicio en la nube corporativa, entonces los administradores del sistema pueden acceder a la cuenta de cloud donde se guardan esas imágenes automáticamente”, explica David Jacoby, investigador de seguridad de Kaspersky.

Además, la empresa también puede preinstalar software que recoja la información que busca, normalmente relacionada con el tiempo de uso de las aplicaciones, las redes sociales o Whatsapp, el envío y contenido de los mensajes y las llamadas e incluso la ubicación. “En general, tienen acceso a todo lo que haces con teléfono”, explica Lambert. “Pueden instalar cualquier aplicación capaz de hacer un espionaje completo de lo que hay en el móvil y acceder a él como un usuario normal de ese teléfono, por lo que podrían ver todo”, coincide Eusebio Nieva, director técnico de CheckPoint en España y Portugal. “Excepto aquellas aplicaciones que tengan cifrado como Whatsapp”.

Nieva da una de las claves: los contenidos cifrados, como las comunicaciones a través de Whatsapp, son más difíciles de acceder. Las conversaciones de este servicio de mensajería y la información que se comparte están protegidas de extremo a extremo, lo que significa que no permite que haya nadie entre emisor y receptor monitoreando la comunicación. “Entonces lo más probable, a no ser que utilicen técnicas de hacking, es que no puedan leer esos chats”, explica Nieva. “Aunque todos los sistemas tienen fallas y se puede husmear en casi todo. Hacen falta conocimientos técnicos y habilidad tecnológica importante, pero que sea complicado no significa que sea imposible”, añade Lambert.

Otra vía de entrada, al margen de preinstalar el software, es la conexión wifi. Cuando el dispositivo se conecta a la red de la compañía, también se puede acceder a su contenido, “ver lo que guardas, lo que estás haciendo, descubrir tus claves de acceso a distintas páginas… Es como cuando te conectas a una red wifi pública”, explica Lambert. Aunque insiste en que la información cifrada es más difícil de monitorear, sea cual sea la forma de acceso a la información.

Aunque los técnicos encargados de la ciberseguridad de la empresa pueden acceder a toda esta información, normalmente estos mecanismos no se utilizan para capturar datos, sino para proteger los dispositivos. “Hay un ataque que se llama man in the middle o ataque de intermediario. Significa que alguien se pone entre tu dispositivo y el sitio web que quieres visitar. Cualquiera que esté conectado a la wifi puede hacerlo”, explica Eusebio Nieva, director técnico de CheckPoint en España y Portugal. “Es una practica muy común para tener los ordenadores protegidos: ponen un certificado de la propia compañía en medio para poder saber si lo que te estás descargando es dañino o no; igual que escanean tu correo para ver si te están enviando virus”. En este caso, la empresa está haciendo una intercepción de las comunicaciones, normalmente, para analizar si lo que se descarga es seguro.

Si durante esta monitorización la compañía detecta algún comportamiento que considera que va en contra de sus intereses, puede tomar medidas. Pero solo podrá utilizar los datos a los que accede en los móviles de los empleados si antes les ha avisado de que están siendo observados. Esta es una de las pocas cuestiones legales que son aplicables casi a cualquier caso. “Para que un empresario pueda controlar la utilización de los dispositivos ha de existir una comunicación previa”, explica Eva Gómez, abogada laboralista de Sanahuja Miranda. “La empresa tiene que avisar de que puede acceder al contenido de los dispositivos y especificar si el trabajador tiene o no permiso para utilizarlos con fines personales”, explica Cecilia Pérez, socia del Departamento Laboral de Garrigues y experta en temas de economía digital.

Si la empresa no comunica expresamente que está prohibido utilizar el móvil de trabajo para fines personales, “hay una regla implícita que dice que no puede controlar el dispositivo, porque le haya dado carta blanca al empleado”, explica Pérez. “Si nadie le avisa de lo contrario, el trabajador actúa bajo una expectativa de privacidad”.

Se considera que la empresa ha avisado a los trabajadores si entrega una circular a la plantilla prohibiendo la utilización de estos dispositivos para uso personal indicando que podría haber sanciones. También es posible que se incluya como una cláusula en el contrato de trabajo, en un formato similar al de los Términos y Condiciones de Privacidad que los usuarios tienen que aceptar al darse de alta en cualquier red social. “Esto sirve para establecer los criterios de utilización y, en caso de duda, tener unas normas que consultar”, explica Gómez.

Aunque cada caso es diferente y se mueve entre grises. El Estatuto de los Trabajadores señala que “el empresario podrá adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento de las obligaciones de cada trabajador” pero también que “los trabajadores tienen derecho a la intimidad en el uso de los dispositivos digitales puestos a su disposición por el empleador”. Entonces, ¿dónde está el límite? ¿Hasta dónde puede fisgonear la empresa? “En la práctica se tiene que hacer un examen caso por caso de cada situación”, explica Gómez. “La empresa puede acceder al dispositivo para asegurarse de que el trabajador está cumpliendo con su trabajo pero no de forma ilimitada”.

Llegado el caso, el juez evalúa si el control del empresario ha vulnerado la intimidad del trabajador. “Se valora si existe otra medida menos intrusiva para controlar la actividad del empleado que espiar todo lo que hace”, explica Pérez. Por ejemplo, si existe el indicio de que el trabajador ha podido tener un cruce de correos diciendo algo que va contra la política de la compañía, y la empresa necesita, porque no hay otra forma de llegar a esa prueba, acceder al dispositivo, lo idóneo es que lo haga buscando palabras clave en el correo electrónico. Ese sería un control proporcional, lo que se consideraría excesivo en ese caso sería leer todos los mensajes o monitorizar información que no está relacionada, como las fotos.