Tus conversaciones de WhatsApp contienen información sensible de clientes. Protegerla no es opcional, es una responsabilidad legal y ética.
Esta guía te muestra cómo mantener seguro tu WhatsApp Business empresarial.
El estado actual de seguridad en WhatsApp
Lo que WhatsApp ya protege
| Característica | Descripción |
|---|---|
| Cifrado E2E | Mensajes encriptados de extremo a extremo |
| Verificación en dos pasos | Capa adicional de seguridad |
| Bloqueo de capturas | En mensajes “ver una vez” |
| Detección de spam | Filtros automáticos |
Lo que TÚ debes proteger
| Aspecto | Tu responsabilidad |
|---|---|
| Acceso a la cuenta | Quién puede ver conversaciones |
| Datos de clientes | Cómo los almacenas y usas |
| Dispositivos | Seguridad de celulares y computadoras |
| Empleados | Capacitación y políticas |
Configuración de seguridad básica
1. Verificación en dos pasos
Activar en WhatsApp Business:
- Configuración → Cuenta → Verificación en dos pasos
- Activa y crea un PIN de 6 dígitos
- Agrega correo de recuperación
Importante: No uses PIN obvios (123456, fecha de nacimiento).
2. Privacidad del perfil
Configuración recomendada:
- Foto de perfil: Todos (es tu negocio)
- Info: Todos
- Estado: Todos
- Última vez: Mis contactos (evita que sepan cuándo estás activo)
3. Bloqueo de la aplicación
En Android:
- Configuración → Privacidad → Bloqueo con huella dactilar
En iOS:
- Configuración → Privacidad → Bloqueo de pantalla
Gestión de accesos (multi-usuario)
El problema del WhatsApp compartido
❌ RIESGO: Todos usan el mismo celular
Problemas:
• No sabes quién envió qué
• Exempleado tiene acceso
• Sin registro de actividad
• Imposible auditarLa solución: API con control de usuarios
✅ SEGURO: CRM con usuarios individuales
Beneficios:
• Cada persona con su cuenta
• Permisos por rol
• Registro de toda actividad
• Acceso revocable al instanteMatriz de permisos recomendada
| Rol | Ver chats | Responder | Exportar | Configurar | Eliminar |
|---|---|---|---|---|---|
| Agente | Solo asignados | ✓ | ✗ | ✗ | ✗ |
| Supervisor | Todos | ✓ | ✓ | ✗ | ✗ |
| Admin | Todos | ✓ | ✓ | ✓ | ✓ |
Protección de datos de clientes
Datos que recolectas en WhatsApp
- Nombre
- Número telefónico
- Historial de conversaciones
- Archivos compartidos
- Ubicación (si la comparten)
- Preferencias y comportamiento
Principios de protección
Minimización de datos: Solo recolecta lo que necesitas.
❌ "Envíame tu INE, CURP, comprobante de domicilio,
estado de cuenta y acta de nacimiento"
✅ "Para procesar tu pedido solo necesito
confirmar tu nombre y dirección de envío"Retención limitada: Define cuánto tiempo guardas los datos.
Ejemplo de política:
• Conversaciones activas: Indefinido
• Conversaciones cerradas: 2 años
• Datos de pago: Solo referencia, no completos
• Archivos multimedia: 6 mesesAcceso controlado: Solo quienes necesitan ver la información.
Cumplimiento normativo
México (LFPDPPP)
Obligaciones:
- Aviso de privacidad disponible
- Consentimiento para tratamiento de datos
- Procedimiento para derechos ARCO
- Medidas de seguridad
Mensaje de consentimiento sugerido:
Al continuar esta conversación, aceptas nuestro
aviso de privacidad: [link]
Usaremos tus datos para:
• Atender tu consulta
• Enviarte información relevante
• Darte seguimiento a tu pedido
Puedes solicitar eliminar tus datos en cualquier momento.
[✓ Acepto] [Ver aviso de privacidad]Colombia (Ley 1581)
Obligaciones similares:
- Política de tratamiento de datos
- Autorización previa
- Canales para ejercer derechos
Argentina (Ley 25.326)
Obligaciones:
- Registro de bases de datos
- Consentimiento informado
- Medidas de seguridad
Amenazas comunes y cómo evitarlas
1. Phishing / Suplantación
Cómo funciona: Alguien se hace pasar por tu empresa para estafar clientes.
Protección:
- Obtén verificación oficial (check verde)
- Comunica tu número oficial en todos los canales
- Alerta a clientes sobre intentos de fraude
Mensaje de advertencia:
⚠️ AVISO IMPORTANTE
Nuestro ÚNICO número de WhatsApp es: [número]
NUNCA te pediremos:
• Contraseñas o PINs
• Transferencias a cuentas personales
• Códigos de verificación
Si recibes mensaje de otro número
diciendo ser nosotros, repórtalo.2. Robo de cuenta
Cómo funciona: Atacante obtiene tu código de verificación y roba la cuenta.
Protección:
- Nunca compartas códigos de verificación
- Activa verificación en dos pasos
- Configura correo de recuperación
3. Acceso no autorizado
Cómo funciona: Exempleado o persona no autorizada accede a conversaciones.
Protección:
- Usa API con usuarios individuales
- Revoca accesos inmediatamente al terminar relación
- Audita accesos regularmente
4. Fuga de información
Cómo funciona: Empleado comparte o exporta datos sin autorización.
Protección:
- Limita permisos de exportación
- Monitorea actividad inusual
- Capacita sobre consecuencias
- Acuerdos de confidencialidad
Lista de verificación de seguridad
Diaria
- Revisar accesos activos
- Cerrar sesiones no reconocidas
- Verificar dispositivos vinculados
Semanal
- Revisar usuarios con acceso
- Auditar conversaciones sensibles
- Actualizar aplicación
Mensual
- Cambiar PIN de verificación (si hay sospecha)
- Revisar permisos de usuarios
- Capacitación de seguridad al equipo
- Revisar políticas de retención
Al terminar relación laboral
- Revocar acceso inmediatamente
- Cambiar contraseñas compartidas
- Auditar última actividad
- Documentar para cumplimiento
Respuesta a incidentes
Si sospechas compromiso de cuenta
1. INMEDIATO:
□ Cerrar todas las sesiones web
□ Revocar accesos de dispositivos
□ Cambiar PIN de verificación
2. DENTRO DE 1 HORA:
□ Notificar a equipo de TI
□ Revisar actividad reciente
□ Identificar alcance del compromiso
3. DENTRO DE 24 HORAS:
□ Notificar a clientes afectados (si aplica)
□ Documentar incidente
□ Implementar medidas correctivas
4. SEGUIMIENTO:
□ Análisis de causa raíz
□ Actualizar políticas
□ Capacitar al equipoNotificación a clientes afectados
Estimado cliente,
Te informamos que detectamos actividad inusual
en nuestra cuenta de WhatsApp el [fecha].
Qué pasó: [descripción breve]
Qué hicimos: [acciones tomadas]
Qué datos pudieron verse afectados: [lista]
Qué debes hacer: [recomendaciones]
Lamentamos cualquier inconveniente.
Estamos a tus órdenes para cualquier duda.Seguridad para equipos remotos
Políticas para trabajo remoto
✅ PERMITIDO:
• Usar WhatsApp en dispositivo de empresa
• Acceder desde red segura
• Usar VPN corporativa
❌ PROHIBIDO:
• Usar WhatsApp en dispositivo personal
• Acceder desde redes públicas
• Compartir credenciales
• Exportar conversaciones sin autorizaciónDispositivos seguros
Requisitos mínimos:
- Contraseña/biométrico obligatorio
- Cifrado de almacenamiento
- Actualizaciones automáticas
- MDM (Mobile Device Management) si es posible
Conclusión
La seguridad en WhatsApp Business es un proceso continuo, no una configuración única.
Prioridades:
- Accesos: Controla quién puede ver qué
- Datos: Protege la información de clientes
- Capacitación: Tu equipo es la primera línea de defensa
- Monitoreo: Detecta problemas antes de que escalen
Y recuerda: usar herramientas no autorizadas pone en riesgo de baneo tu cuenta empresarial. La seguridad empieza por la conexión oficial.
El mejor momento para mejorar tu seguridad es ahora.
¿Necesitas control de accesos profesional? Kasumi tiene roles, permisos y auditoría incluidos.