Tus conversaciones de WhatsApp contienen información sensible de clientes. Protegerla no es opcional, es una responsabilidad legal y ética.
Esta guía te muestra cómo mantener seguro tu WhatsApp Business empresarial.
El estado actual de seguridad en WhatsApp
Lo que WhatsApp ya protege
| Característica | Descripción |
|---|---|
| Cifrado E2E | Mensajes encriptados de extremo a extremo |
| Verificación en dos pasos | Capa adicional de seguridad |
| Bloqueo de capturas | En mensajes “ver una vez” |
| Detección de spam | Filtros automáticos |
Lo que TÚ debes proteger
| Aspecto | Tu responsabilidad |
|---|---|
| Acceso a la cuenta | Quién puede ver conversaciones |
| Datos de clientes | Cómo los almacenas y usas |
| Dispositivos | Seguridad de celulares y computadoras |
| Empleados | Capacitación y políticas |
Configuración de seguridad básica
1. Verificación en dos pasos
Activar en WhatsApp Business:
- Configuración → Cuenta → Verificación en dos pasos
- Activa y crea un PIN de 6 dígitos
- Agrega correo de recuperación
Importante: No uses PIN obvios (123456, fecha de nacimiento).
2. Privacidad del perfil
Configuración recomendada:
- Foto de perfil: Todos (es tu negocio)
- Info: Todos
- Estado: Todos
- Última vez: Mis contactos (evita que sepan cuándo estás activo)
3. Bloqueo de la aplicación
En Android:
- Configuración → Privacidad → Bloqueo con huella dactilar
En iOS:
- Configuración → Privacidad → Bloqueo de pantalla
Gestión de accesos (multi-usuario)
El problema del WhatsApp compartido
❌ RIESGO: Todos usan el mismo celular
Problemas:
• No sabes quién envió qué
• Exempleado tiene acceso
• Sin registro de actividad
• Imposible auditarLa solución: API con control de usuarios
✅ SEGURO: CRM con usuarios individuales
Beneficios:
• Cada persona con su cuenta
• Permisos por rol
• Registro de toda actividad
• Acceso revocable al instanteMatriz de permisos recomendada
| Rol | Ver chats | Responder | Exportar | Configurar | Eliminar |
|---|---|---|---|---|---|
| Agente | Solo asignados | ✓ | ✗ | ✗ | ✗ |
| Supervisor | Todos | ✓ | ✓ | ✗ | ✗ |
| Admin | Todos | ✓ | ✓ | ✓ | ✓ |
Protección de datos de clientes
Datos que recolectas en WhatsApp
- Nombre
- Número telefónico
- Historial de conversaciones
- Archivos compartidos
- Ubicación (si la comparten)
- Preferencias y comportamiento
Principios de protección
Minimización de datos: Solo recolecta lo que necesitas.
❌ "Envíame tu INE, CURP, comprobante de domicilio,
estado de cuenta y acta de nacimiento"
✅ "Para procesar tu pedido solo necesito
confirmar tu nombre y dirección de envío"Retención limitada: Define cuánto tiempo guardas los datos.
Ejemplo de política:
• Conversaciones activas: Indefinido
• Conversaciones cerradas: 2 años
• Datos de pago: Solo referencia, no completos
• Archivos multimedia: 6 mesesAcceso controlado: Solo quienes necesitan ver la información.
Cumplimiento normativo
México (LFPDPPP)
Obligaciones:
- Aviso de privacidad disponible
- Consentimiento para tratamiento de datos
- Procedimiento para derechos ARCO
- Medidas de seguridad
Mensaje de consentimiento sugerido:
Al continuar esta conversación, aceptas nuestro
aviso de privacidad: [link]
Usaremos tus datos para:
• Atender tu consulta
• Enviarte información relevante
• Darte seguimiento a tu pedido
Puedes solicitar eliminar tus datos en cualquier momento.
[✓ Acepto] [Ver aviso de privacidad]Colombia (Ley 1581)
Obligaciones similares:
- Política de tratamiento de datos
- Autorización previa
- Canales para ejercer derechos
Argentina (Ley 25.326)
Obligaciones:
- Registro de bases de datos
- Consentimiento informado
- Medidas de seguridad
Amenazas comunes y cómo evitarlas
1. Phishing / Suplantación
Cómo funciona: Alguien se hace pasar por tu empresa para estafar clientes.
Protección:
- Obtén verificación oficial (check verde)
- Comunica tu número oficial en todos los canales
- Alerta a clientes sobre intentos de fraude
Mensaje de advertencia:
⚠️ AVISO IMPORTANTE
Nuestro ÚNICO número de WhatsApp es: [número]
NUNCA te pediremos:
• Contraseñas o PINs
• Transferencias a cuentas personales
• Códigos de verificación
Si recibes mensaje de otro número
diciendo ser nosotros, repórtalo.2. Robo de cuenta
Cómo funciona: Atacante obtiene tu código de verificación y roba la cuenta.
Protección:
- Nunca compartas códigos de verificación
- Activa verificación en dos pasos
- Configura correo de recuperación
3. Acceso no autorizado
Cómo funciona: Exempleado o persona no autorizada accede a conversaciones.
Protección:
- Usa API con usuarios individuales
- Revoca accesos inmediatamente al terminar relación
- Audita accesos regularmente
4. Fuga de información
Cómo funciona: Empleado comparte o exporta datos sin autorización.
Protección:
- Limita permisos de exportación
- Monitorea actividad inusual
- Capacita sobre consecuencias
- Acuerdos de confidencialidad
Lista de verificación de seguridad
Diaria
- Revisar accesos activos
- Cerrar sesiones no reconocidas
- Verificar dispositivos vinculados
Semanal
- Revisar usuarios con acceso
- Auditar conversaciones sensibles
- Actualizar aplicación
Mensual
- Cambiar PIN de verificación (si hay sospecha)
- Revisar permisos de usuarios
- Capacitación de seguridad al equipo
- Revisar políticas de retención
Al terminar relación laboral
- Revocar acceso inmediatamente
- Cambiar contraseñas compartidas
- Auditar última actividad
- Documentar para cumplimiento
Respuesta a incidentes
Si sospechas compromiso de cuenta
1. INMEDIATO:
□ Cerrar todas las sesiones web
□ Revocar accesos de dispositivos
□ Cambiar PIN de verificación
2. DENTRO DE 1 HORA:
□ Notificar a equipo de TI
□ Revisar actividad reciente
□ Identificar alcance del compromiso
3. DENTRO DE 24 HORAS:
□ Notificar a clientes afectados (si aplica)
□ Documentar incidente
□ Implementar medidas correctivas
4. SEGUIMIENTO:
□ Análisis de causa raíz
□ Actualizar políticas
□ Capacitar al equipoNotificación a clientes afectados
Estimado cliente,
Te informamos que detectamos actividad inusual
en nuestra cuenta de WhatsApp el [fecha].
Qué pasó: [descripción breve]
Qué hicimos: [acciones tomadas]
Qué datos pudieron verse afectados: [lista]
Qué debes hacer: [recomendaciones]
Lamentamos cualquier inconveniente.
Estamos a tus órdenes para cualquier duda.Seguridad para equipos remotos
Políticas para trabajo remoto
✅ PERMITIDO:
• Usar WhatsApp en dispositivo de empresa
• Acceder desde red segura
• Usar VPN corporativa
❌ PROHIBIDO:
• Usar WhatsApp en dispositivo personal
• Acceder desde redes públicas
• Compartir credenciales
• Exportar conversaciones sin autorizaciónDispositivos seguros
Requisitos mínimos:
- Contraseña/biométrico obligatorio
- Cifrado de almacenamiento
- Actualizaciones automáticas
- MDM (Mobile Device Management) si es posible
Conclusión
La seguridad en WhatsApp Business es un proceso continuo, no una configuración única.
Prioridades:
- Accesos: Controla quién puede ver qué
- Datos: Protege la información de clientes
- Capacitación: Tu equipo es la primera línea de defensa
- Monitoreo: Detecta problemas antes de que escalen
El mejor momento para mejorar tu seguridad es ahora.
¿Necesitas control de accesos profesional? Kasumi tiene roles, permisos y auditoría incluidos.