Tu herramienta de seguimiento de tiempo sabe mucho sobre tu empresa. Al fin y al cabo, registra tus horas de trabajo, capturas de pantalla, datos de nómina y detalles de proyectos. Y tienes todo el derecho de preguntar cómo se protege esa información.

En WebWork, protegemos tus datos en cada capa, desde el momento en que salen de tu dispositivo hasta el día en que se eliminan. Vamos a repasar esas capas una por una.

Cifrado mientras tus datos viajan

Cada vez que inicias el tracker, abres un informe o inicias sesión, los datos viajan entre tu dispositivo y nuestros servidores. Los equipos de seguridad llaman a esto datos en tránsito, y es la primera capa que protegemos.

Todo ese tráfico está cifrado con certificados SSL/TLS emitidos por DigiCert, una autoridad certificadora de confianza a nivel mundial. En la práctica, esto significa que cada conexión a WebWork se realiza a través de HTTPS, ya sea desde la app web, el tracker de escritorio o la app móvil. Tus credenciales de inicio de sesión, horas registradas e informes permanecen privados durante el camino.

Nuestras aplicaciones de escritorio y móvil se comunican mediante TLS 1.2 y TLS 1.3, los estándares actuales para conexiones cifradas. Es el mismo nivel de cifrado que utilizan los bancos y otras instituciones financieras para proteger sus transacciones.

¿Por qué importa el cifrado en tránsito?

Previene la interceptación, la manipulación y los ataques de intermediario (man-in-the-middle). En otras palabras, nadie que esté entre tu dispositivo y nuestros servidores puede leer ni modificar tus datos.

Puedes encontrar todos los detalles técnicos, incluyendo la información de nuestros certificados, en nuestra página de datos en tránsito.

Cómo almacenamos y ciframos tus datos

Una vez que tus datos llegan a nuestros servidores, se convierten en lo que los equipos de seguridad llaman datos en reposo. Y los datos en reposo tienen su propio conjunto de protecciones.  

Almacenamos tus datos en servidores cloud seguros, incluyendo Amazon S3 y Contabo. Todo lo almacenado allí está cifrado con AES-256, uno de los estándares de cifrado más robustos disponibles y el mismo que se utiliza en los sectores financiero y gubernamental. 

Incluso si alguien de alguna forma accediera a los archivos almacenados, solo vería datos cifrados, no tu información real.

Protección de contraseñas 

Las contraseñas reciben un tratamiento especial. Nunca almacenamos tu contraseña real. En su lugar, se convierte en un valor codificado mediante un proceso unidireccional que no se puede revertir. Cuando inicias sesión, comparamos valores hash, de modo que tu contraseña real nunca queda almacenada en nuestra base de datos. Esto también protege contra métodos de ataque comunes como los intentos de fuerza bruta.

En 2024, añadimos otra capa en este punto: separamos nuestros servidores de base de datos de nuestros servidores de aplicación. Ahora funcionan en entornos aislados, lo que significa que la información sensible es más difícil de alcanzar y el acceso a ella está controlado de forma mucho más estricta. Incluso si una parte del sistema fuera atacada, los datos en sí permanecen protegidos.

Para ver un desglose completo de lo que almacenamos, ciframos y conservamos, consulta nuestra página de datos en reposo y retención.

Protección adicional para capturas de pantalla: cifrado multicapa

Las capturas de pantalla son el dato más sensible que puede contener un rastreador de tiempo. Una sola captura puede incluir correos electrónicos, información de clientes o incluso documentos internos. Por eso desarrollamos un protocolo de seguridad dedicado para ellas: el cifrado multicapa, diseñado por nuestro propio equipo de seguridad.

Así es como funciona:

  1. Cada captura de pantalla recibe un token de cifrado único. Ningún archivo se protege de la misma manera, así que, incluso en teoría, no existe una clave única que pueda desbloquear todo.
  2. Luego, cada archivo pasa por una transformación personalizada mediante un algoritmo que nuestro equipo de seguridad diseñó específicamente para este propósito. Esto añade una capa de protección que no existe en las configuraciones de cifrado estándar.
  3. Finalmente, el archivo se cifra con AES-256-CBC, el algoritmo estándar de la industria que también utilizamos para el resto de tus datos almacenados.

Y hay una capa más por encima de todo esto. Los archivos cifrados se almacenan en Amazon Web Services con cifrado del lado del servidor habilitado, de modo que AWS añade su propia protección a archivos que ya están cifrados múltiples veces.

El mismo protocolo cubre también otros archivos multimedia, incluyendo documentos, recibos y adjuntos que tu equipo suba. 

Desde el momento en que se crea un archivo hasta el momento en que se elimina, permanece cifrado.

Puedes leer el protocolo completo en nuestra página de innovaciones de seguridad.

Bloqueando amenazas antes de que lleguen a WebWork

Gran parte del trabajo de seguridad ocurre antes de que cualquier ataque se acerque a tus datos. Para esta capa, trabajamos con Cloudflare, una red global de seguridad web que filtra todo lo que se dirige a nuestra plataforma.

Tres de sus protecciones hacen el trabajo más pesado. 

  • La protección contra DDoS mantiene WebWork en línea incluso durante picos de tráfico a nivel de ataque, para que tu equipo pueda seguir registrando tiempo sin interrupciones.
  • El Web Application Firewall bloquea métodos de ataque comunes como inyecciones SQL y cross-site scripting antes de que lleguen a nuestros servidores.
  • Y la gestión de bots separa los bots maliciosos del tráfico legítimo, dejando pasar a los usuarios reales mientras bloquea las amenazas automatizadas.

También trabajamos con Intruder, una plataforma de análisis de vulnerabilidades que revisa continuamente nuestros sitios web, APIs e infraestructura en busca de debilidades. Esto nos permite corregir problemas antes de que alguien pueda explotarlos. 

Y con Drata, monitorizamos los accesos en nuestros sistemas, detectamos actividad no autorizada y supervisamos nuestro cumplimiento con los estándares de seguridad las 24 horas del día.

Puedes ver todos nuestros partners y lo que cubre cada uno en la página de partners de seguridad.

Si prefieres ver la plataforma en acción en lugar de leer sobre sus defensas, puedes probar WebWork gratis durante 14 días: todas las protecciones de este artículo ya están activas desde el primer día.

Quién puede ver qué dentro de tu espacio de trabajo

El cifrado protege tus datos de personas externas, mientras que los controles de acceso deciden qué pueden ver las personas dentro de tu propio espacio de trabajo, y esta capa es igual de importante, especialmente cuando se trata de datos de monitoreo.

En WebWork, el acceso se basa en roles. Los empleados solo ven sus propios datos: sus horas, su actividad, sus capturas de pantalla. Los Managers de equipo pueden acceder a los datos de los equipos que supervisan, y los Managers de proyecto ven sus propios datos más los proyectos que gestionan. El acceso completo al espacio de trabajo pertenece únicamente al Propietario y a los Managers Ejecutivos. También existe el rol de Visualizador de Proyecto, que otorga acceso de solo lectura a los proyectos asignados y es útil para clientes o partes interesadas que necesitan visibilidad sin permisos de edición.

Si los roles predeterminados no se ajustan a cómo funciona tu empresa, la función de Tipos de Miembro te permite crear conjuntos de permisos personalizados, para que cada integrante tenga exactamente el acceso que sus responsabilidades requieren y nada más.

Esta estructura hace un trabajo real en cuanto a la confianza de los empleados. Cuando tu equipo sabe que sus datos de monitoreo solo son visibles para las personas que los necesitan, implementar un rastreador de tiempo se convierte en una conversación mucho más fácil.

En 2025, reforzamos esta capa aún más con registros de auditoría detallados. Las acciones en el espacio de trabajo ahora quedan registradas, de modo que siempre hay un historial claro de quién hizo qué, y la responsabilidad funciona en ambas direcciones.

Cuándo se eliminan tus datos

Proteger los datos también significa que tu información no se queda almacenada para siempre. Cada dato en WebWork tiene un punto final definido.

Eliminamos las capturas de pantalla automáticamente después de 3, 6 o 12 meses, según tu plan. No tienes que esperar a eso, ya que puedes eliminar capturas de pantalla y otros archivos multimedia de forma manual en cualquier momento. Y nuestros procesos automatizados eliminan los archivos en cuanto su período de retención expira.

El mismo principio aplica a tu cuenta en general. Si dejas de usar WebWork durante 6 meses consecutivos, eliminamos permanentemente tus datos personales y del espacio de trabajo. 

Y según el GDPR, tienes derecho a solicitar la eliminación de tus datos en cualquier momento. 

Si quieres conocer el período de retención exacto para cada tipo de dato que almacenamos, desde facturas hasta archivos de chat, nuestra página de datos en reposo y retención los detalla uno por uno.

Cumplimiento normativo: GDPR, HIPAA y CCPA

Además de la protección técnica, WebWork también ofrece protección legal. WebWork cumple con GDPR, HIPAA y CCPA, y esto es lo que cada uno significa para ti.

GDPR

El cumplimiento del GDPR significa que recopilamos, procesamos y almacenamos tus datos de acuerdo con los requisitos de protección de datos de la UE, incluyendo tu derecho a que tus datos sean eliminados cuando lo solicites. Si tu empresa trabaja con clientes o miembros del equipo en Europa, WebWork ya cumple con el estándar que ellos esperan.

HIPAA

El cumplimiento de HIPAA abre WebWork a los equipos del sector salud. Hemos implementado las salvaguardas administrativas, físicas y técnicas que HIPAA exige para la información de salud protegida, y trabajamos únicamente con servicios de terceros que cumplen con HIPAA. Si tu organización maneja datos de pacientes, puedes hacer seguimiento del tiempo sin generar una brecha de cumplimiento.

CCPA

La CCPA otorga a los residentes de California el derecho a saber qué categorías de información personal recopilamos, a acceder a esos datos y a solicitar su eliminación. Solo recopilamos lo necesario para proporcionar nuestros servicios.

Dos compromisos aplican de forma transversal a todas estas normativas. No vendemos, alquilamos ni intercambiamos tus datos personales con nadie, bajo ninguna circunstancia. Y no recopilamos ni procesamos categorías de datos sensibles como datos biométricos, creencias religiosas, opiniones políticas o información de salud.

Monitorizamos nuestros protocolos de seguridad, el rendimiento de los sistemas y la disponibilidad del servicio 24/7/365. Además de esa supervisión continua, auditamos regularmente nuestros sistemas en busca de vulnerabilidades y realizamos pruebas de penetración, donde especialistas en seguridad intentan activamente vulnerar nuestras defensas para que podamos encontrar debilidades antes que nadie. Pruebas de seguridad automatizadas se ejecutan junto con todo esto para mantener los estándares de forma consistente.

También documentamos este trabajo de forma pública. Nuestra página de actualizaciones de seguridad registra las mejoras que hacemos año a año. Por ejemplo, certificados de firma de código y seguridad de API mejorados en 2023, segregación de servidores de base de datos en 2024, y protección reforzada de archivos multimedia en 2025. Puedes ver exactamente qué cambió y cuándo, en lugar de confiar solo en nuestra palabra.

Y si alguna vez detectas algo que te preocupa, háznolo saber. Usa el botón Compartir una inquietud en nuestra página de Seguridad o en la parte inferior de tu panel de control. Los comentarios de seguridad de nuestros usuarios tienen un valor real, y así los tratamos.

Prueba WebWork gratis durante 14 días

En la categoría:

WebWork,