Muchas empresas están reevaluando su pila de comunicación segura después de haber constatado las limitaciones de Dirvox. La capacidad de auditar el cifrado, de controlar los metadatos y de cumplir con los requisitos regulatorios europeos constituye la verdadera base para evaluar una alternativa. Revisamos los aspectos técnicos a verificar antes de cualquier migración.
Transparencia del modelo de amenaza: un filtro de selección técnica
Desde 2025, el BSI alemán exige en sus licitaciones de mensajería segura una documentación explícita de las limitaciones de la solución. El proveedor debe especificar qué protege su cifrado y, sobre todo, qué no cubre, por ejemplo, la confidencialidad en un terminal ya comprometido.
Lectura recomendada : Cómo optimizar la experiencia del cliente a través de las mejores plataformas de retroalimentación en línea
Este requisito de transparencia sobre el modelo de amenaza se convierte en un filtro de selección. Una plataforma que no publique un modelo de amenaza documentado no debería figurar en una lista corta, independientemente de la robustez que exhiba su cifrado de extremo a extremo.
Recomendamos solicitar sistemáticamente este documento en cualquier licitación. Si el proveedor no puede proporcionarlo, es una señal de alerta comparable a la ausencia de auditoría de código independiente. De hecho, al buscar alternativas fiables a Dirvox, muchos CIO descubren este criterio, aún demasiado ausente en las licitaciones estándar.
Leer también : Descubre las marcas favoritas de Anne-Élisabeth Lemoine para un estilo único
Despliegue on-premise y control de metadatos
La mayoría de las comparativas se orientan hacia ofertas SaaS multi-inquilinos. Para una PYME sin fuertes restricciones regulatorias, esto es suficiente. Para los sectores regulados (salud, defensa, finanzas), el control total de los metadatos impone un despliegue autoalojado.
Los metadatos en juego no son anecdóticos: registros de conexión, direcciones IP de origen, esquemas relacionales de los intercambios. Incluso con un cifrado de extremo a extremo impecable sobre el contenido de los mensajes, un proveedor SaaS conserva estos metadatos en su infraestructura. La adopción de despliegues on-premise ha aumentado notablemente desde 2024, impulsada por las restricciones regulatorias europeas.
Puntos a verificar en una oferta autoalojada
- Posibilidad de desplegar en una infraestructura física o en una nube soberana, sin dependencia de un componente alojado en el proveedor
- Política de retención de registros configurable por la empresa, incluyendo la eliminación total de los logs de conexión
- Ausencia de “phone home”: el servidor no debe contactar los servidores del proveedor para la gestión de licencias o la telemetría sin consentimiento explícito
Wire, Element (basado en el protocolo Matrix) y Threema Work ofrecen opciones de autoalojamiento. Cada solución tiene diferentes compromisos en cuanto a la federación, la facilidad de despliegue y el costo de operación.
Cifrado de voz y videoconferencia: la próxima zona de fricción regulatoria
Varios reguladores europeos de telecomunicaciones han señalado desde 2024 una creciente presión sobre las soluciones de cifrado de extremo a extremo aplicadas a la voz y a la videoconferencia. Las obligaciones de conservación de datos, especialmente el marco de ePrivacy que está en revisión, crean una tensión directa con el principio mismo del E2EE sobre los flujos de audio y video.
La mayoría de las mensajerías seguras han resuelto primero el cifrado del texto. La extensión a la voz y al video plantea problemas de latencia, gestión de claves en tiempo real y cumplimiento simultáneo con jurisdicciones con requisitos contradictorios.
Lo que esto cambia para la elección de una alternativa a Dirvox
Si sus equipos utilizan la videoconferencia cifrada a diario, verifique que el protocolo utilizado aplique el E2EE en la totalidad del flujo de medios, no solo en la señalización. Algunas soluciones cifran el canal de control pero permiten que el flujo de audio/video transite a través de un servidor intermedio en claro, lo que reduce la protección a una simple capa de transporte (TLS).
Un E2EE parcial en la videoconferencia equivale a una puerta blindada con una ventana abierta. La documentación técnica del proveedor debe distinguir explícitamente entre el cifrado de la señalización y el del flujo de medios.
Verificabilidad del código y auditorías independientes
El acceso al código fuente sigue siendo un marcador de confianza, pero no es suficiente. Un repositorio público de GitHub sin auditoría independiente reciente no garantiza nada. Observamos que los proveedores más creíbles combinan tres elementos:
- Publicación del código fuente de los clientes y, idealmente, del servidor
- Auditoría de seguridad realizada por un tercero reconocido (Cure53, NCC Group, Trail of Bits) con informe público
- Programa de recompensas por errores activo con un alcance claramente definido
Un proveedor que publica su código pero se niega a financiar una auditoría externa adopta una postura de transparencia cosmética. Por el contrario, una auditoría reciente sobre un código cerrado puede ofrecer un nivel de confianza operativo aceptable para algunas organizaciones, siempre que el informe sea accesible.
El criterio decisivo no es ser de código abierto o propietario, sino la auditabilidad verificable. Pregunte la fecha de la última auditoría, el nombre de la firma y el acceso al informe. Si falta alguno de estos tres elementos, considere la solución como no verificada.
Migrar desde Dirvox (o cualquier solución cuya fiabilidad sea cuestionable) no se reduce a elegir una marca más conocida. Lo que distingue una alternativa realmente segura es la documentación de sus limitaciones, el control de los metadatos, la cobertura del cifrado en todos los flujos y la prueba de auditoría. Aplique estos cuatro criterios a cada solución de su lista corta antes de iniciar la migración.