Identidad móvil controlada por la empresa en el punto de origen
Una visión general técnica para responsables de telecomunicaciones, seguridad y cumplimiento normativo
Libro blanco publicado por CallTower, Inc.
Resumen ejecutivo
Las comunicaciones móviles se han convertido en un canal fundamental para las empresas, pero la mayoría de las llamadas de negocios realizadas a través del móvil se originan fuera de la infraestructura de comunicaciones de la empresa o están desconectadas de ella. El resultado es una brecha estructural en materia de identidad, políticas y cumplimiento normativo que las plataformas posteriores no pueden subsanar. Este documento define la identidad móvil empresarial, enumera los riesgos específicos que se derivan de su ausencia, compara los enfoques existentes para abordar el problema y describe cómo el Mobile Native Dialer de CallTower lo resuelve en la capa de red, en lugar de en la capa de aplicación. El argumento es deliberadamente limitado: lo que ofrece CallTower no es un sustituto de las comunicaciones unificadas, la gestión de dispositivos móviles o los controles fuera del canal más amplios, sino un mecanismo para garantizar que cada llamada empresarial realizada desde un dispositivo móvil sea, desde el momento de su origen, una llamada en la propia infraestructura de comunicaciones de la empresa.
1. El problema que ha creado el móvil
Durante la mayor parte de la historia de la telefonía empresarial, la identidad de la empresa era un subproducto de la infraestructura. El teléfono de escritorio, la extensión asignada, la centralita y el cableado del edificio apuntaban todos a lo mismo: un usuario empresarial conocido, en una línea empresarial conocida, a través de una ruta que la empresa controlaba de principio a fin. No era necesario afirmar la identidad. Esta era inherente al modo en que se originaba la llamada.
La telefonía móvil ha desmantelado esa estructura. Un teléfono móvil que lleva un empleado es activado por un operador de telefonía móvil mediante una cuenta de consumidor o de pequeña empresa, se autentica mediante una tarjeta SIM vinculada a ese abonado y se enruta a través de la red central del operador antes de llegar a cualquier sistema propiedad de la empresa. Cuando el empleado realiza una llamada de trabajo, nada en la ruta de origen indica al sistema receptor —ni a los propios sistemas de políticas, grabación y cumplimiento de la empresa— que se trata de una comunicación de trabajo. La llamada es simplemente una llamada móvil que, casualmente, realiza alguien que trabaja para la empresa.
No se trata de una brecha que puedan subsanar las plataformas posteriores. Es una brecha que debe subsanarse en el punto en el que se inicia la llamada.
2. Definición de la identidad móvil empresarial
Antes de continuar, es necesario definir el término, ya que se ha utilizado de forma imprecisa en todo el sector.
El término «identidad móvil empresarial», tal y como se utiliza aquí, hace referencia a tres condiciones específicas que se establecen en el momento de iniciar la llamada:
En primer lugar, la comunicación se realiza a través de un número DID corporativo —un número de empresa que es propiedad de la propia empresa y que esta gestiona— en lugar de un número de móvil personal asignado por un operador a una persona.
En segundo lugar, la comunicación se autentica en la plataforma de comunicaciones unificadas de la empresa como una extensión de dicha plataforma, y no como una llamada externa que se realiza hacia o desde un empleado.
En tercer lugar, la ruta de señalización de la llamada pasa por la infraestructura controlada por la empresa antes de llegar a la red pública, de modo que los sistemas de políticas, grabación y cumplimiento normativo perciben la llamada como un evento interno de la empresa y no como uno externo.
Una solución que solo ofrezca uno o dos de estos elementos no establece una identidad móvil corporativa. Lo que ofrece es una señal parcial que los sistemas posteriores aún deben interpretar.
3. Cuánto cuesta no resolver esto
La brecha en la identidad móvil no es una preocupación teórica. Genera riesgos concretos y cuantificables en cuatro ámbitos, cada uno de los cuales se refleja en los registros de cumplimiento normativo, los resultados de los litigios o los indicadores operativos que las empresas ya supervisan.
Exposición en materia de cumplimiento normativo y mantenimiento de registros.
Desde finales de 2021, la SEC y la CFTC han impuesto multas por valor de miles de millones de dólares a sociedades de valores y asesores de inversión por no haber conservado las comunicaciones comerciales realizadas a través de dispositivos personales y por medios ajenos a los canales oficiales. Solo J.P. Morgan Securities pagó una multa de 200 millones de dólares por este tipo de infracciones. La tendencia en la aplicación de la normativa se ha extendido a la mayoría de las principales instituciones financieras, y la teoría del caso es coherente: si un empleado regulado realizaba actividades comerciales a través de un canal móvil que la empresa no captaba, la empresa incumplía su obligación de conservación de registros. Un modelo de comunicaciones móviles en el que las llamadas y los mensajes de texto de trabajo se originan habitualmente fuera de la plataforma de comunicaciones unificadas no solo crea un riesgo, sino que genera precisamente la laguna probatoria a la que se dirigen las medidas coercitivas. Las empresas de servicios financieros, atención sanitaria y otros sectores regulados no pueden confiar en la discreción de los empleados para subsanarla.
Riesgos relacionados con los litigios y la divulgación electrónica de pruebas.
Incluso fuera de los sectores regulados, las comunicaciones móviles realizadas a través de números personales se convierten en una responsabilidad legal cuando surge un litigio. Los tribunales exigen cada vez más la presentación de las comunicaciones realizadas desde dispositivos personales cuando se han llevado a cabo actividades comerciales a través de ellos, lo que obliga a realizar entrevistas a los responsables de los datos, copias de seguridad de los dispositivos y cumplir con obligaciones de conservación que resultan costosas, invasivas y difíciles de llevar a cabo de forma adecuada. Una llamada que se origina en la infraestructura de comunicaciones de la empresa se captura, se conserva y se puede presentar mediante los mismos procesos que la empresa ya utiliza para los registros de correo electrónico y de teléfonos fijos. Una llamada que se origina en una línea personal no cumple ninguno de esos requisitos.
Suplantación de identidad e ingeniería social.
Cuando los directivos y los empleados realizan actividades comerciales desde sus números de móvil personales, la empresa carece de una referencia fiable que le permita detectar suplantaciones de identidad. Cualquier atacante puede falsificar un número personal. Quien reciba una llamada de negocios procedente de un número de móvil desconocido no dispone de ningún método fiable para verificarlo. Establecer una identidad empresarial coherente en las llamadas salientes desde el móvil —un número DID corporativo verificable en lugar de un número personal— elimina la ambigüedad que aprovechan los ataques de ingeniería social.
Puntos ciegos operativos.
Las empresas realizan importantes inversiones en herramientas que dependen de que las comunicaciones sean visibles para la plataforma de comunicaciones unificadas: análisis de llamadas, integración con CRM, gestión de la calidad del personal, supervisión del cumplimiento normativo y, cada vez más, inteligencia conversacional basada en la inteligencia artificial. Las llamadas móviles que eluden la plataforma de comunicaciones unificadas son invisibles para todo ello. La empresa está pagando por información, pero no la está obteniendo sobre una parte cada vez mayor de sus comunicaciones, y esa parte está creciendo porque el trabajo móvil está creciendo. Las herramientas no están funcionando mal; simplemente carecen de datos.
La estructura común a las cuatro categorías es la misma: cada riesgo es consecuencia de comunicaciones empresariales que tienen su origen fuera de la infraestructura de comunicaciones de la empresa. Al abordar el punto de origen, se abordan los cuatro.
4. Por qué las alternativas obvias no dan la talla
Existen tres enfoques ampliamente implantados en el ámbito de las comunicaciones empresariales móviles. Cada uno de ellos aborda una parte del problema, pero deja sin resolver la cuestión de la identidad.
Aplicaciones móviles de UC (Teams móvil, Webex, Zoom Phone y clientes de softphone similares).
Estas aplicaciones realizan llamadas de trabajo a través de la red de datos mediante una aplicación instalada en el dispositivo. Cuando se utilizan, sí que establecen la identidad corporativa, ya que la llamada se origina dentro de la plataforma de comunicaciones unificadas. La debilidad es tanto de comportamiento como técnica: los usuarios suelen realizar llamadas de trabajo desde el marcador nativo en lugar de abrir la aplicación, lo que anula por completo el control de identidad; y el VoIP a través de datos móviles es menos fiable que la voz nativa, especialmente en zonas con cobertura de datos débil, lo que lleva a los usuarios a volver al marcador nativo. El modelo de identidad es sólido en principio, pero presenta fallos en la práctica.
Gestión de dispositivos móviles y contenedores de perfiles de trabajo (Intune, Android Work Profile, Samsung Knox, configuraciones gestionadas de iOS).
Esto separa los datos profesionales de los personales en el dispositivo, pero las llamadas no se realizan a través de la infraestructura de la empresa. Una llamada realizada desde el perfil de trabajo sigue saliendo del dispositivo como una llamada móvil normal en la red del operador, mostrando el número de móvil personal del usuario, a menos que haya una aplicación de comunicaciones unificadas (UC) en la ruta. La contenedorización resuelve el problema de los datos, pero no el de la identidad de voz.
Integraciones móviles nativas ofrecidas directamente por los proveedores de comunicaciones unificadas.
Estas soluciones se acercan más al modelo adecuado al combinar la suscripción móvil con la plataforma de comunicaciones unificadas, de modo que el número de la empresa pueda sonar en el marcador nativo. La limitación es que estas ofertas suelen estar vinculadas a acuerdos con operadores específicos y a áreas geográficas concretas. Una empresa con un entorno de múltiples operadores, usuarios internacionales o una combinación de dispositivos BYOD y corporativos a menudo no puede estandarizarse en una única oferta directa. Una solución unificada requiere un proveedor que se sitúe entre la red móvil y la plataforma de comunicaciones unificadas y que pueda ofrecer la integración en toda la cobertura de la empresa.
Ese es el papel que desempeña CallTower Mobile Native Dialer.
5. ¿Qué es el marcador nativo de CallTower Mobile?
CallTower opera como proveedor de comunicaciones en la nube para soluciones de comunicaciones unificadas (UC) empresariales desde 2002, ofreciendo conectividad PSTN e integración de plataformas para Microsoft Teams (a través de Operator Connect y Direct Routing), Cisco Webex Calling y Zoom Phone. CallTower Mobile Native Dialer amplía esta función al ámbito móvil al establecer una ruta controlada por la empresa entre el dispositivo móvil y la plataforma de comunicaciones unificadas en el nivel de red, y no en el de la aplicación.
El dispositivo móvil del usuario se configura con una eSIM corporativa emitida por CallTower. La eSIM puede instalarse en un dispositivo de la empresa como tarjeta SIM principal, o en un dispositivo personal (BYOD) como segunda línea junto con la tarjeta SIM personal del usuario. Tras la instalación, el dispositivo se conecta al núcleo móvil de CallTower como abonado de VoLTE en la línea empresarial. En algunos países, esta conexión puede utilizar redes GSM o 2G.
La empresa asigna un número DID corporativo a esa tarjeta SIM; normalmente, se trata del número de Microsoft Teams, de Webex Calling u otro número DID empresarial que el usuario ya tenga y que esté gestionado en la plataforma de comunicaciones unificadas. El papel de CallTower como proveedor de Microsoft Teams Operator Connect y como proveedor de llamadas móviles certificado por Cisco significa que el DID no es un número paralelo superpuesto al móvil; es el mismo número empresarial, provisionado en el móvil a través del mismo plano de control que la empresa ya utiliza para sus teléfonos de escritorio y softphones.
A partir de ese momento, todas las llamadas realizadas o recibidas en la línea de la empresa pasan por la infraestructura de CallTower, que se conecta directamente a la plataforma de comunicaciones unificadas (UC) a través de las mismas conexiones con la red PSTN y el controlador de borde de sesión que CallTower utiliza para las comunicaciones fijas de la empresa. El móvil no es una llamada externa que se desvía a la plataforma de comunicaciones unificadas, sino un terminal de dicha plataforma. La diferencia con el modelo móvil convencional se muestra en la figura 1.
Figura 1. Llamada comercial saliente: ruta móvil convencional frente a ruta del marcador nativo de CallTower Mobile.
De esta arquitectura se derivan tres consecuencias.
La llamada nunca entra en la red pública de telefonía móvil como una llamada anónima de un usuario. Se origina como una sesión autenticada en un núcleo de red móvil que CallTower gestiona en el marco de una relación comercial y de señalización con la empresa.
La separación de perfiles se aplica a nivel del dispositivo, antes de la red y la capa de aplicaciones. En un dispositivo BYOD, la eSIM empresarial y la SIM personal son dos suscripciones móviles independientes en el mismo dispositivo. El marcador nativo indica al usuario qué línea está activa. No hay que acordarse de abrir ninguna aplicación, ni existe la posibilidad de que una llamada de la línea empresarial se realice accidentalmente desde la línea personal.
La plataforma de comunicaciones unificadas (UC) considera el móvil como una extensión. La grabación de llamadas, el registro de cumplimiento normativo, la presencia, el buzón de voz, el desvío de llamadas y la marcación de códigos cortos funcionan en el móvil porque la plataforma UC lo trata exactamente igual que a un teléfono fijo. El punto ciego que dejan las aplicaciones de gestión de dispositivos móviles (MDM) y de comunicaciones unificadas (UC) —las llamadas móviles que se producen fuera del ámbito de visibilidad de la plataforma UC— no existe, ya que no hay forma de que una llamada de trabajo se realice fuera de dicha plataforma.
6. Las tres preguntas, respondidas de forma mecánica
La definición de la sección 2 planteaba tres preguntas sobre qué constituye la identidad móvil empresarial. Ahora que el mecanismo está sobre la mesa, cada una de ellas tiene una respuesta concreta. La cadena de identidad que las une se muestra en la figura 2.
Figura 2. La cadena de identidad desde el usuario identificado hasta la sesión móvil autenticada.
¿Quién realiza la llamada? Lallamada se autentica en una eSIM corporativa específica, vinculada a un número DID concreto en la plataforma de comunicaciones unificadas, que a su vez está asignada a un usuario concreto del directorio corporativo. La cadena de identidad es explícita en cada paso.
¿Bajo qué perfil? Enun dispositivo BYOD, las suscripciones empresariales y personales están separadas a nivel del dispositivo, con identidades de línea independientes que se muestran en el marcador nativo. El perfil viene determinado por la línea que seleccione el usuario; no existe ningún mecanismo por el que una llamada en la línea empresarial pueda atribuirse erróneamente a la línea personal, o viceversa.
¿A través de qué ruta? Lallamada pasa por el núcleo móvil de CallTower y la plataforma de comunicaciones unificadas (UC) existente de la empresa antes de llegar a cualquier destino externo. La ruta viene determinada por la conexión de red de la tarjeta SIM, no por la selección de la aplicación.
7. Por qué es importante para el cumplimiento normativo y la seguridad
El argumento sobre la identidad se corresponde directamente con los riesgos mencionados en la sección 3.
En el caso de las empresas sujetas a regulación, todas las llamadas de trabajo realizadas desde un móvil se consideran, por defecto, llamadas realizadas a través de la plataforma de comunicaciones unificadas. Los mismos controles de grabación, conservación y supervisión que la empresa ya aplica a los teléfonos fijos y a los softphones se aplican al móvil sin necesidad de modificaciones. La laguna en el mantenimiento de registros que dio lugar a las medidas coercitivas de la SEC se ha subsanado de forma estructural, y no mediante medidas administrativas.
Para los equipos de seguridad, la empresa cuenta ahora con una identidad corporativa coherente y verificable en las llamadas móviles salientes. Las arquitecturas de «confianza cero» y los controles de acceso basados en la identidad disponen ahora de una señal móvil de la que antes carecían. Los ataques de suplantación de identidad, que se basan en la ausencia de un número corporativo oficial, pierden su base.
En lo que respecta a las herramientas operativas, la plataforma UC recupera la visibilidad de las comunicaciones móviles. Los análisis, el registro de CRM, la gestión de la calidad y la IA conversacional se aplican a las llamadas móviles del mismo modo que a cualquier otra llamada que gestione la plataforma.
8. Lo que no es el marcador nativo de CallTower Mobile
Una solución resulta más convincente cuando se definen claramente sus límites.
No sustituye a una plataforma de comunicaciones unificadas. Se integra con Teams, Webex y Zoom Phone; no compite con ellas. Una empresa que no cuente con una plataforma de comunicaciones unificadas no le sacará partido.
No se trata de una solución de gestión de dispositivos móviles. Controla la ruta de las comunicaciones, no el dispositivo en sí. Las organizaciones que necesitan gestionar el dispositivo —cifrado, instalación de aplicaciones, borrado remoto— siguen necesitando una solución de gestión de dispositivos móviles (MDM) como complemento.
No se trata de una solución universal para los riesgos que plantean las comunicaciones fuera de los canales oficiales. Los empleados siguen pudiendo utilizar aplicaciones de mensajería personales, el correo electrónico personal y otros canales que se encuentran totalmente al margen de la infraestructura de la empresa. Lo que la solución elimina es el caso concreto en el que una comunicación empresarial por voz o SMS a través de un teléfono móvil escapa a la visibilidad de la empresa.
9. Conclusión
El problema de la identidad móvil en las empresas es específico: las llamadas móviles se originan en un contexto de red que la empresa no controla, con una identidad que no se puede vincular de forma fiable a los sistemas de la empresa a posteriori. Las aplicaciones de comunicaciones unificadas (UC) resuelven este problema en parte, pero se producen fugas debido al comportamiento de los usuarios. La gestión de dispositivos móviles (MDM) resuelve un problema relacionado. Las integraciones móviles directas de los proveedores lo resuelven dentro de límites geográficos y de operadores muy restringidos.
CallTower Mobile Native Dialer resuelve este problema en la capa de red, insertando el núcleo móvil controlado por la empresa de CallTower en la ruta de la llamada, conectando el dispositivo a dicho núcleo a través de una eSIM empresarial y presentando el móvil a la plataforma de comunicaciones unificadas como una extensión nativa, utilizando las mismas integraciones de Operator Connect, Direct Routing y Webex Calling que CallTower ya ofrece para el entorno fijo. El resultado es que una llamada de negocios móvil es, desde el momento en que se origina, una llamada en la infraestructura de comunicaciones de la empresa, con las propiedades de identidad, políticas y cumplimiento que ello implica.
Esa afirmación es más concreta que «la identidad móvil, resuelta». Además, es una afirmación que se puede verificar, detallar en un diagrama de arquitectura y poner a prueba en una implementación. Esas son las características que hacen que valga la pena presentar ese argumento a un comprador.
Acerca de CallTower
CallTower ofrece soluciones para Microsoft Teams, Cisco Webex Calling, Zoom Phone y centros de contacto basados en inteligencia artificial, todo ello respaldado por un servicio de atención global disponible las 24 horas del día, los 7 días de la semana, los 365 días del año. Gracias a una profunda integración de plataformas, una arquitectura de voz de alta disponibilidad y su experiencia en la gestión de números a nivel mundial, CallTower permite a las organizaciones estandarizar sus herramientas de colaboración al tiempo que confían en un único socio para garantizar la continuidad de las comunicaciones de voz en todo el mundo. CallTower Mobile Native Dialer amplía aún más estas integraciones a la experiencia móvil, ofreciendo llamadas corporativas uniformes en todos los dispositivos y ubicaciones.
