Este cambio ha traído consigo múltiples beneficios: reducción de costes operativos, mayor flexibilidad laboral, facilidad para contratar talento sin limitaciones geográficas y continuidad de negocio en situaciones de crisis como la pandemia de COVID-19 de 2020. Sin embargo, también ha introducido una serie de desafíos en materia de seguridad que no pueden pasarse por alto.
El objetivo de este artículo es analizar las principales diferencias de seguridad entre un call center presencial y uno remoto, profundizando en los riesgos específicos de cada modelo, con especial foco en el trabajo desde casa. Asimismo, se propondrán controles y medidas de seguridad basadas en buenas prácticas de la industria y en estándares reconocidos como PCI DSS, particularmente relevantes en entornos que manejan datos sensibles como los de titulares de tarjetas de pago.
Contexto de los call centers y su evolución hacia el trabajo remoto
El call center tradicional se diseñaba en torno a un espacio físico seguro: oficinas cerradas, acceso restringido, equipos corporativos controlados y redes centralizadas bajo estricta supervisión. La seguridad no se limitaba a la protección tecnológica, sino también al propio entorno de trabajo, con políticas como la mesa limpia, la prohibición de dispositivos personales y la monitorización continua por parte de supervisores, llegando a la prohibición total de introducción de elementos como hojas en blanco, bolígrafos, cámaras, teléfonos móviles, relojes inteligente u cualquier otro aparato con capacidad de capturar datos sensibles.La irrupción del teletrabajo modificó radicalmente esta ecuación. Hoy en día es habitual que agentes y teleoperadores trabajen desde sus hogares utilizando conexiones domésticas, dispositivos provistos por la empresa o incluso, en algunos casos, equipos personales. Este escenario amplía la superficie de ataque, ya que introduce múltiples variables fuera del control directo de la organización: redes Wi-Fi inseguras, entornos familiares sin privacidad, falta de supervisión física y riesgo de fuga de información a través de medios no corporativos.
La evolución hacia modelos remotos o híbridos es irreversible, pero requiere un análisis y rediseño de los mecanismos de seguridad para mantener la confidencialidad, integridad y disponibilidad de la información crítica.
Referencias normativas y estándares aplicables
El estándar más relevante para un call center que procese datos de titulares de tarjeta es PCI DSS (Payment Card Industry Data Security Standard), que establece requisitos técnicos y organizativos para garantizar la protección de los datos de pago. En particular, cuando se gestionan pagos por vía telefónica, el cumplimiento es esencial y abarca desde la grabación de llamadas hasta la protección del entorno físico y digital donde trabaja el agente.No obstante, PCI DSS no es el único marco aplicable. También son de interés:
▪️ISO/IEC 27001: que define un sistema de gestión de seguridad de la información (SGSI)
aplicable a cualquier organización.
▪️NIST Cybersecurity Framework: guía para identificar, proteger, detectar, responder y recuperar
frente a incidentes.
▪️Buenas prácticas de la industria: guías específicas como “Protecting Telephone-Based
Payment Card Data” de PCI SSC, o recomendaciones de ENISA sobre teletrabajo seguro.
Estas referencias sirven como base para identificar riesgos y controles, aunque en la práctica las organizaciones deben adaptarlas a sus propios modelos operativos.
Comparativa de riesgos entre call center presencial y remoto
A continuación se definen las principales diferencias entre ambos entornos en una tabla comparativa:
| Aspecto de Seguridad | Presencial | Remoto |
| Seguridad física y del entorno de trabajo | Acceso restringido a las instalaciones, control de visitantes, uso de cámaras de vigilancia, estaciones de trabajo en zonas seguras y políticas de escritorio limpio. | Agentes trabajando en habitaciones o espacios públicos sin privacidad, posibilidad de que familiares o terceros escuchen conversaciones sensibles, mayor riesgo de robo de dispositivos en domicilios y espacios públicos. |
| Acceso lógico y uso de dispositivos | Uso exclusivo de equipos corporativos, segmentación de red y bloqueo de puertos. | Dependencia de equipos domésticos o poco controlados, riesgo de uso compartido del dispositivo, Wi-Fi mal configuradas o sin cifrado robusto. |
| Control de datos sensibles | Prohibición del uso de móviles en el área de trabajo, grabación y almacenamiento centralizado bajo controles estrictos. | Posibilidad de que un agente tome notas en papel, utilice capturas de pantalla, o incluso grabe datos con su propio teléfono móvil sin supervisión. |
| Supervisión y monitoreo de agentes | Supervisores observan en tiempo real, con cámaras y herramientas de control de calidad. | Dificultad para verificar la conducta del agente; el monitoreo se limita a registros digitales, lo cual dificulta detectar fraudes internos. |
| Riesgos de ingeniería social y fuga de información | Políticas claras de atención, sesiones de formación continuas, menor exposición a interferencias externas. | Mayor riesgo de phishing dirigido al agente, menor cohesión cultural, posibilidad de que terceros manipulen al trabajador en su hogar. |
Controles aplicables en entornos presenciales
El call center físico sigue siendo un entorno más controlado y permite aplicar una serie de medidas robustas:
▪️Seguridad física: acceso con tarjetas, biometría o guardias de seguridad.
▪️Espacios seguros: zonas restringidas donde no se permite la entrada con
dispositivos externos.
▪️Políticas de mesa limpia: prohibición de documentos impresos, bolígrafos y papel en
áreas críticas.
▪️Control de dispositivos: bloqueo de puertos USB, prohibición de móviles y cámaras.
▪️Supervisión directa: supervisores en sala, monitoreo de pantallas y grabación de llamadas.
▪️Redes seguras: infraestructura corporativa con firewalls avanzados, IDS/IPS y
segmentación de red.
Controles aplicables en entornos remotos
La seguridad en el teletrabajo requiere un enfoque distinto y más complejo, ya que la empresa pierde el control físico del entorno:Seguridad del endpoint
▪️Uso de dispositivos corporativos gestionados por la empresa.
▪️Cifrado de disco completo.
▪️Soluciones EDR (Endpoint Detection and Response).
▪️Control de puertos y dispositivos externos.
▪️Políticas de actualización forzada.
▪️Autenticación multifactor.
Redes domésticas seguras
▪️Acceso remoto exclusivo a través de VPN corporativas.
▪️Segmentación de red doméstica para aislar el equipo de trabajo.
▪️Exigencia de Wi-Fi con cifrado WPA3.
▪️Cambio de contraseñas por defecto en routers.
Prevención de fugas de información
▪️Implementación de DLP (Data Loss Prevention).
▪️Bloqueo de capturas de pantalla.
▪️Restricción de impresión y almacenamiento local de datos sensibles.
▪️Deshabilitación de dispositivos externos no autorizados.
Supervisión remota
▪️Grabación de llamadas en servidores corporativos.
▪️Monitoreo de actividad en pantalla bajo consentimiento.
▪️Alertas ante patrones de comportamiento anómalos.
▪️Revisión periódica de logs de actividad.
Formación y concienciación
▪️Capacitación continua en ingeniería social, phishing y manipulación de llamadas.
▪️Formación específica en seguridad para teletrabajo.
▪️Refuerzo cultural para que el agente se sienta responsable de la protección de la información.
Políticas de privacidad en el hogar
▪️Requerir trabajar en un espacio cerrado y privado.
▪️Prohibición del uso de altavoces.
▪️Exigencia de auriculares con cancelación de ruido.
▪️Minimización de la exposición de conversaciones a terceros.
Principales diferencias de seguridad entre call centers presenciales y remotos
Las diferencias clave pueden resumirse en tres dimensiones:
▪️Control del entorno: alto en presencial, bajo en remoto.
▪️Supervisión de agentes: directa en presencial, indirecta en remoto.
▪️Exposición a riesgos externos: limitada en presencial, elevada en remoto debido a redes
domésticas y falta de aislamiento.
Estas diferencias hacen imprescindible adoptar controles compensatorios más estrictos en el trabajo remoto. Sin embargo, muchas veces se debe adoptar una estrategia híbrida utilizando buenas prácticas para modelos mixtos, ya que el futuro de los call centers apunta a modelos híbridos donde convivan agentes presenciales y remotos. Para lograr un nivel de seguridad homogéneo, se recomienda:
▪️Definir políticas comunes para ambos entornos.
▪️Establecer un mínimo de controles obligatorios en remoto (endpoint seguro, VPN, DLP,
supervisión).
▪️Implementar revisiones periódicas de seguridad en los hogares de los agentes mediante
auditorías virtuales.
▪️Asegurar que los procesos de onboarding y offboarding contemplen ambos escenarios.
Conclusión
El teletrabajo en call centers es una tendencia imparable que aporta ventajas competitivas a las organizaciones, pero también multiplica los riesgos en materia de ciberseguridad. A diferencia del entorno presencial, donde la seguridad física y lógica se encuentra bajo el control de la empresa, en el remoto es necesario compensar esa falta de control con políticas, herramientas tecnológicas y una fuerte cultura de concienciación.
Los controles basados en PCI DSS, ISO 27001 y guías de buenas prácticas permiten establecer un marco sólido, pero cada organización debe adaptarlos a su realidad operativa. La clave está en aplicar un enfoque integral que combine tecnología, procesos y personas, logrando que la seguridad se extienda más allá de los muros de la oficina y llegue hasta el hogar de cada agente.
Solo así será posible mantener la confianza de los clientes y la integridad de los datos en un entorno donde la frontera entre lo presencial y lo remoto es cada vez más difusa.
Bibliografía:
🔗 https://listings.pcisecuritystandards.org/documents/Protecting_Telephone_Based_Payment_Card_Data_v3-0_nov_2018.pdf
🔗 https://www.iso.org/standard/27001
🔗 https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.29.pdf
🔗 https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.1299.pdf
🔗 https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.1271.pdf
🔗 https://www.enisa.europa.eu/sites/default/files/all_files/Security%20when%20working%20remotely_Train%20the%20trainer%20guide.pdf
🔗 https://www.enisa.europa.eu/sites/default/files/2024-11/Implementation%20guidance%20on%20security%20measures_FOR%20PUBLIC%20CONSULTATION.pdf
