Entrevistas
«Las empresas que canalizan su comunicación a través de WhatsApp no cumplen el RGPD»
Miguel Rodríguez
CRO
Threema
La comunicación segura en entornos empresariales ha dejado de ser una opción para convertirse en una exigencia legal y operativa. Con la entrada en vigor de NIS2 y un contexto marcado por cifras récord de ciberataques en España —el INCIBE registró un incremento del 43,2% en incidentes que afectaron a empresas en 2024—, las organizaciones buscan soluciones que combinen privacidad, cumplimiento normativo y facilidad de uso. El desafío es claro: garantizar comunicaciones cifradas sin sacrificar la agilidad del negocio.
En medio de este escenario, Threema emerge como una alternativa europea que desafía el dominio de las plataformas estadounidenses. Reconocida como líder en el informe Forrester Wave 2024 para Soluciones de Comunicación Segura, esta empresa suiza ofrece algo cada vez más valioso: soberanía de datos, arquitectura de «conocimiento cero» y cumplimiento total del RGPD sin depender de infraestructuras sujetas al Cloud Act.
Hemos tenido la oportunidad de charlar con Miguel Rodríguez, CRO y miembro del comité de dirección de Threema, que desgrana una visión única sobre la seguridad empresarial. Desde las diferencias críticas entre Threema Work y soluciones como WhatsApp Business, hasta los planes de expansión global y el papel de la IA en las comunicaciones seguras, Rodríguez comparte las claves que están posicionando a Threema como referente europeo en un mercado dominado por gigantes tecnológicos.
[MCPRO] Miguel, su trayectoria combina su origen gallego con su carrera en el sector tecnológico suizo. Desde su paso por grandes corporaciones como Siemens y BASF hasta llegar a liderar la expansión de Threema como CRO, ¿cómo ha influido esta experiencia multicultural en su visión sobre la comunicación segura empresarial?
[Miguel Rodríguez] Esa dualidad no es solo mi pasado, es el motor de mi estrategia actual.
Verá, mi ADN gallego me aporta el enfoque en la persona, la ‘cercanía humana’. Pero mi carrera en Suiza y en gigantes como Siemens o BASF me enseñó la lección más importante: la seguridad más rigurosa fracasa si ignora al usuario humano. Si la herramienta es compleja, el empleado busca atajos inseguros (el famoso Shadow IT).
Por eso, mi visión en Threema es que la seguridad debe adaptarse a la realidad de la empresa, no al revés. Y lo materializamos en dos vías claras:
Para quien necesita agilidad inmediata, tenemos Threema Work (SaaS), que es tan fácil de usar que elimina la fricción. Pero para las organizaciones con requisitos críticos de soberanía de datos —como los que viví en mi etapa anterior— ofrecemos Threema OnPrem, dándoles el control absoluto de sus servidores.
En resumen: mi visión es unir la precisión suiza con la usabilidad humana, asegurando que la comunicación sea privada sin convertirse en un obstáculo para el negocio.
[MCPRO] Threema fue reconocida como líder en el informe Forrester Wave 2024 para Soluciones de Comunicación Segura, obteniendo la máxima puntuación en 11 de los 21 criterios evaluados. ¿Qué significa este reconocimiento para Threema y cómo se posiciona frente a competidores como Signal o WhatsApp Business en el mercado empresarial?
[Miguel Rodríguez] Estamos muy satisfechos de los resultados de Threema en este informe. Son un testimonio de nuestra innovación, enfoque centrado en el cliente y el compromiso para ofrecer una verdadera seguridad y protección de la privacidad. El reconocimiento sitúa a Threema como una alternativa seria para la comunicación corporativa segura que cumple con las normativas vigentes en la UE.
En este sentido, nuestras soluciones Threema Work y Threema OnPrem responden a una demanda creciente por parte de las empresas que buscan seguridad y que va mucho más allá de la encriptación de los mensajes, como p. ej. una consola para la gestión central de todos los usuarios, la identificación de cada usuario (que reduce el riesgo de una suplantación de identidad) o la posibilidad de trabajar con servidores propios de la empresa (autoalojamiento).
Threema es la única solución de mensajería instantánea que cumple con el RGPD. Nuestros servidores están en un centro de datos de alta seguridad de un socio de colocación con certificación ISO 27001 en Zúrich, lo que nos diferencia de competidores sujetos a la CLOUD Act, la ley federal de EE. UU. de 2018 que permite a las autoridades estadounidenses solicitar datos electrónicos almacenados por empresas de ese país, incluso si los datos se encuentran fuera de territorio estadounidense. Claro que WhatsApp es el servicio de mensajería más utilizado en el mundo, pero esta comodidad tiene su precio. Con la adquisición por parte de Meta las políticas de privacidad se han ido relajando cada vez más.
A diferencia de WhatsApp, Threema no requiere un número de teléfono ni correo electrónico y no sincroniza contactos sin consentimiento. Tampoco hay recopilación de metadatos como en WhatsApp: Threema no almacena datos de usuarios en servidores, elimina los mensajes tras la entrega y mantiene los contactos exclusivamente en el dispositivo del usuario. Como empresa suiza, Threema garantiza los más altos estándares de protección de datos. Todos los servidores están en Suiza, y el desarrollo y soporte se realizan al 100% internamente. Por último, nuestra solución Threema OnPrem es única, ofreciendo máxima soberanía de datos mediante el autoalojamiento en los servidores de los clientes.
Todo empieza en el origen de Threema, y es que, a diferencia de WhatsApp, Signal y otras aplicaciones comerciales, nuestro modelo de negocio se basa en la compra directa de la aplicación en lugar de la monetización de los datos de los usuarios. En resumen, ya sea para la distribución rápida de información conforme a GDPR, la comunicación segura en una crisis o como alternativa a los servicios de mensajería para uso privado, Threema Work es la solución más segura para la comunicación empresarial.
[MCPRO] Con la entrada en vigor de la directiva NIS2 en octubre de 2024, que afecta a empresas con más de 250 empleados o 50 millones de euros de facturación, ¿cómo ayuda Threema Work a las organizaciones españolas a cumplir con estos nuevos requisitos de comunicación segura y cifrada?
[Miguel Rodríguez] El panorama normativo ha evolucionado y la protección de datos ya no es una cuestión meramente técnica delegada al departamento de TI. La directiva NIS22 es vinculante en España desde el 14 de enero y establece que la responsabilidad de aprobar las medidas de gestión de riesgos de ciberseguridad recae en los órganos de dirección de las empresas afectadas. La normativa busca mejorar la seguridad de los sistemas informáticos en la UE y afecta a empresas medianas y grandes de sectores esenciales o importantes, como p. ej., energía, transporte, banca, salud, agua, infraestructura digital.
Threema Work facilita una comunicación altamente segura para empresas: está diseñada específicamente para el uso profesional y ayuda a cumplir con las directivas para evitar posibles sanciones y prevenir riesgos reputacionales.
Al mismo tiempo, la directiva quiere fomentar la ciberresiliencia y garantizar la continuidad empresarial durante un ataque. En este contexto, Threema es una herramienta de comunicación profesional segura “Out of band”, que ayuda a gestionar/resolver contingencias para asegurar la comunicación entre la dirección y el equipo de gestión de crisis.
[MCPRO] Una de las principales diferencias de Threema frente a otras soluciones es su arquitectura de “conocimiento cero” y el hecho de que no almacena mensajes en sus servidores. ¿Puede explicar a nuestros lectores CxO por qué este enfoque es crítico para la seguridad empresarial?
[Miguel Rodríguez] La seguridad de «conocimiento cero» de Threema significa que ni siquiera los propios servidores de Threema pueden acceder a los mensajes o datos cifrados, lo que garantiza que la información confidencial está protegida contra accesos no autorizados. Se consigue mediante un potente cifrado de extremo a extremo, que se aplica a todas las comunicaciones (incluyendo mensajes de texto, llamadas de voz y vídeo y archivos), y una arquitectura descentralizada en la que los datos solo se almacenan en los propios dispositivos de los usuarios.
El «conocimiento cero» significa que Threema minimiza los metadatos. Su servicio está diseñado para generar la menor cantidad posible de metadatos. Los datos de los chats y mensajes se almacenan con un cifrado fuerte en el dispositivo, pero no en un servidor central. A su vez, Threema permite el uso anónimo de sus servicios, sin indicar un número de teléfono o una dirección de correo electrónico. Otros componentes clave son el código transparente, disponible públicamente para permitir la verificación, y auditorías periódicas realizadas por expertos en seguridad independientes.
[MCPRO] España cerró 2024 con cifras récord en ciberseguridad: INCIBE gestionó 97.348 incidentes de ciberseguridad (16,6% más que en 2023), de los cuales 31.540 afectaron específicamente a empresas, representando un incremento del 43,2%. Estos datos sitúan a España como el quinto país más afectado mundialmente por ciberataques. ¿Qué estrategia está siguiendo Threema para capitalizar esta creciente demanda de comunicaciones seguras en el mercado español y cuáles son los casos de éxito más relevantes que pueden compartir?
[Miguel Rodríguez] El auge de la mensajería instantánea en la comunicación profesional ha sido fulgurante durante los últimos años. Las ventajas son obvias: un intercambio sencillo, rápido y práctico de información en tiempo real, independientemente de la ubicación de las personas implicadas.
La otra cara de la moneda es la seguridad: la ciberseguridad es muy importante para las empresas en España, aunque no siempre se aplica con el mismo rigor en todas las áreas. Los smartphones forman parte de los puntos de entrada preferidos para ciberataques, como, p. ej., el secuestro de datos (ransomware) o la denegación de servicios (DDoS). En este contexto, es necesario proteger los dispositivos y asegurarse de que las apps de mensajería instantánea cuenten con todas las opciones de seguridad necesarias para el uso profesional. Es un canal que requiere una protección específica dentro de la estrategia de seguridad digital para salvaguardar información sensible (p. ej., contratos, datos de clientes, etc.) y garantizar la privacidad de clientes y empleados. Al mismo tiempo, abogamos por implementar una política estricta de BYOD: la administración necesita control sobre la revocación de ID, la restricción de acceso y la reutilización de licencias.
[MCPRO] Threema OnPrem está especialmente diseñado para organizaciones con máximos requisitos de seguridad. ¿En qué casos recomienda esta solución autoalojada frente a Threema Work SaaS, y qué sectores están mostrando mayor interés?
[Miguel Rodríguez] A diferencia de una solución SaaS, el autoalojamiento de datos permite a las empresas confiar exclusivamente en sus propios servidores. Es una solución que garantiza la propiedad física de los datos. También asegura la capacidad de determinar dónde y cómo
se recopilan, almacenan, gestionan y utilizan. Threema OnPrem se dirige a organizaciones grandes que necesitan máxima seguridad, como pueden ser las administraciones públicas, las fuerzas de seguridad (policía, ejército) o empresas en sectores críticos.
Threema OnPrem propone una combinación de una arquitectura de seguridad demostrada y una soberanía total de los datos, creando un entorno de comunicación independiente. Ofrece una interfaz de administración con compatibilidad multiplataforma en dispositivos móviles y ordenadores de sobremesa. Además de cumplir con las normativas vigentes, el “Self-hosting” garantiza la soberanía de datos y el máximo control sobre el acceso, el uso y la seguridad de los datos.
[MCPRO] Hace un año que Threema anunció una alianza con Apostrophy para incluir la aplicación preinstalada en dispositivos con este sistema operativo centrado en privacidad. ¿Qué oportunidades ve en el mercado de hardware seguro y cómo encaja esta estrategia en la visión de Threema?
[Miguel Rodríguez] Apostrophy ofrece un sistema operativo para móviles basado en Android que proporciona una fuerte protección de la privacidad. El sistema operativo no contiene ningún servicio de Google, viene con una VPN integrada y ofrece una forma única e intuitiva de conceder permisos a las aplicaciones («Data Ledger»). Con Apostrophy, Threema tiene un socio que comparte los mismos valores en materia de privacidad. En este caso el enfoque está en hacer más seguras las comunicaciones de particulares. Para nosotros, la colaboración con Apostrophy significa acercarnos al mercado del hardware seguro y llegar a usuarios concienciados con la privacidad más allá de nuestra comunidad.
[MCPRO] Muchas empresas siguen usando WhatsApp para comunicaciones internas sin ser conscientes de las implicaciones del RGPD. ¿Cuáles son los principales riesgos legales y cómo puede Threema Work ayudar a las organizaciones a mantener el cumplimiento normativo?
[Miguel Rodríguez] Las apps de mensajería diseñadas para el uso personal (como WhatsApp o Telegram) esconden importantes lagunas en cuanto a privacidad, legalidad, seguridad y gobernanza de datos.
Representan un peligro latente para cualquier organización por muchas razones, como son la ausencia de configuraciones de seguridad que respondan a las necesidades corporativas. No permiten una gestión avanzada de los usuarios y tampoco restringen el acceso a terceros. En este capítulo, el «Signalgate» demostró que un simple error humano puede resultar en la exposición de información confidencial. Adicionalmente, hay que tener en cuenta que muchas de las plataformas más populares recopilan y comercializan metadatos: es la base de su negocio. Los metadatos incluyen información sobre la ubicación, hora y duración de la comunicación, números de teléfono y direcciones IP, con lo que las empresas que canalizan su comunicación a través de una app con estas características simplemente no están cumpliendo con el RGPD.
Por otra parte, el mercado europeo de la computación en la nube está dominado por proveedores estadounidenses. Incluso si prometen almacenar los datos de los clientes exclusivamente en servidores europeos, hay que saber que las autoridades estadounidenses pueden seguir exigiendo al proveedor el acceso a dichos datos en virtud del CLOUD Act o la ley FISA.
[MCPRO] La IA está transformando la ciberseguridad, tanto en ataques como en defensas. ¿Cómo ve Threema el papel de la inteligencia artificial en el futuro de las comunicaciones seguras empresariales y qué desarrollos están planificando en este ámbito?
[Miguel Rodríguez] La IA tendrá un efecto de automatización y de aceleración, tanto para la detección como para la respuesta a amenazas. Minimizará los tiempos de reacción. Los algoritmos facilitarán un análisis predictivo y proactivo para identificar patrones sospechosos y anticipar incidentes de seguridad antes de que sucedan. A su vez, es probable que permita la detección de fraudes, phishing, vulnerabilidades y comportamientos anómalos en canales de comunicación interna y externa. La IA facilitará auditorías y trazabilidad automatizada de comunicaciones sensibles, de acuerdo con los marcos jurídicos (RGPD).
[MCPRO] Como CRO de Threema, ¿cuáles son sus objetivos principales para 2025-2026 en términos de crecimiento, desarrollo de producto y expansión geográfica? ¿Qué nuevas funcionalidades o mercados están en el roadmap de la compañía?
[Miguel Rodríguez] Para el ciclo 2025-2026 partimos de una posición de fuerza: ya nos hemos consolidado como el líder europeo en comunicación segura y ahora vamos a por más.
Nuestra estrategia tiene tres pilares:
1. Expansión global validada: en 2025 hemos demostrado que esto no tiene fronteras. Hemos ganado grandes clientes en todos los continentes del mundo (salvo Australia y la Antártida). La necesidad de seguridad y privacidad es global y ya la estamos cubriendo.
2. El entorno de escritorio: estamos convirtiendo Threema Work y OnPrem en herramientas de colaboración más completas. Ya hemos lanzado con éxito la funcionalidad de compartir pantalla y el siguiente paso es potenciar al máximo las videoconferencias grupales, llevando la seguridad suiza a las reuniones de trabajo diarias.
3. Soberanía digital absoluta: seguiremos capitalizando las normativas RGPD y NIS2. Frente a las herramientas de EE.UU. y el riesgo del Cloud Act, nosotros ofrecemos la máxima garantía del mercado. Con Threema OnPrem, permitimos que el cliente tenga la propiedad total de su infraestructura y datos, logrando una independencia real frente a nubes de terceros.
En resumen: crecemos globalmente y evolucionamos de una app de mensajería a una suite de comunicación segura más completa.
Telefónica, Vithas y la UFV utilizarán computación cuántica para crear fármacos contra el cáncer
La bolsa sigue en pánico por la IA. Víctima: el mercado de la ciberseguridad
El malware como servicio amplía objetivos apoyado por la IA
QNAP estrena la segunda beta abierta de QuTS hero h6.0
AMETIC anuncia el Primer Foro Europeo de Innovación y Emprendimiento
Congreso & EXPO ASLAN 2026: La cita tecnológica de referencia en España
ESIC y la formación que anticipa el futuro: cómo convertirse en el profesional que las empresas buscan en la era de los datos
285.000 millones evaporados o por qué tu modelo de licencias puede morir
IA Agéntica: el 77% de proyectos fracasa al escalar
La UE abre una investigación a X por las imágenes explícitas generadas con Grok AI
El caso IBM o cómo sobrevivir al meteorito de la agéntica
Francia despliega ‘Visio’, un ejemplo de la soberanía digital que necesita Europa
Telefónica, Vithas y la UFV utilizarán computación cuántica para crear fármacos contra el cáncer
Microsoft presenta Rho-alpha, primer modelo de robótica para IA física
«Por primera vez es la tecnología la que se adapta a nosotros»
Intel centrará el suministro de chips en servidores para IA
Dell amplía sus gamas de portátiles Pro Education y Chromebook para educación
