Seguridad de los datos
Acceso burocrático y riesgo de filtración
Por qué una base de datos compartida entre administraciones es un honeypot: multiplica los puntos de acceso humano y puede convertir una sola filtración en una catástrofe.
Actualizado el
Respuesta breve
Una base de datos compartida entre administraciones es, por diseño, un objetivo de altísimo valor: un honeypot. Cuanto más grande, valiosa y consultable sea una base de datos, mayor será el esfuerzo que los atacantes estarán dispuestos a invertir, y más devastadora será una sola filtración. Los proveedores de servicios de criptoactivos regulados (PSCA o CASP) bajo MiCA, DORA y el RGPD son profesionales supervisados y sancionables, con incentivos financieros para proteger a sus clientes. DAC8 hace justo lo contrario: traslada los datos a redes de declaración administrativa donde el acceso es más amplio y la rendición de cuentas es más difícil de evaluar para los usuarios. La seguridad del conjunto es entonces tan fuerte como su eslabón más débil. La minimización de datos es, por tanto, un control de seguridad, no solo un principio jurídico: la base de datos más segura es la que no necesita existir.
Datos clave
| Indicador | Cifra o dato |
|---|---|
| PSCA autorizados (modelo actual, sin DAC8) | entre unas 100 y 200 entidades independientes |
| Filtración contenida (ejemplo Waltio) | 50.000 clientes |
| Modelo DAC8 | 1 base de datos centralizada × 27 administraciones = 27 objetivos equivalentes |
| Agentes de una sola administración (Francia, DGFiP) | unos 100.000 |
| MiCA en vigor | desde el 30 de diciembre de 2024 |
| DORA en vigor | desde enero de 2025 (incidente grave notificado en 4 h, informe completo en 72 h) |
| Sanciones RGPD | hasta 20 M€ o el 4 % de la facturación mundial |
| Multa a una administración (Bulgaria, 2019) | 2,9 M€ pagados por el contribuyente búlgaro al Estado búlgaro |
El principio: no concentrar el objetivo
La concentración de grandes cantidades de datos de identidad sensibles en un solo lugar transforma estas bases de datos en objetivos muy atractivos, los llamados «honeypots», para hackers y ladrones de identidad.
Una base de datos nunca es solo un objeto técnico. Está rodeada de administradores, agentes, proveedores, subcontratistas, auditores, procesos de soporte y controles de acceso. Cuanto más grande y valiosa es la base de datos, mayor es el esfuerzo que invertirán los atacantes, y más devastadoras son las consecuencias de una filtración. El objetivo DAC8 será uno de los más valiosos de Europa.
El riesgo humano
La seguridad de una base de datos compartida depende de cada acceso concedido. Cuantas más administraciones, sistemas y personas intervengan, mayor será la probabilidad de un error, un abuso o una vulneración. A medida que los datos se intercambian entre jurisdicciones, crece el número de personas y sistemas que pueden tocarlos: una sola cuenta comprometida, un empleado corrupto o un simple error operativo pueden exponer información recopilada de una población muy amplia.
En una red DAC8/CARF, el riesgo no es solo el pirateo externo. También es el acceso interno: consulta abusiva, extracción, reventa, corrupción, mala configuración o un proveedor comprometido.
Los PSCA: profesionales supervisados e incentivados
Los PSCA autorizados bajo MiCA están sujetos a un marco estricto:
- MiCA (desde el 30 de diciembre de 2024): gestión del riesgo TIC, segregación de los activos de los clientes, autenticación fuerte, supervisión continua;
- DORA (desde enero de 2025): identificar, proteger, detectar, responder y recuperar; notificación de incidentes graves en 4 h, informe completo en 72 h; pruebas de resiliencia y auditorías independientes;
- RGPD: sanciones de hasta 20 M€ o el 4 % de la facturación mundial.
| Incentivo | PSCA privado | Administración tributaria |
|---|---|---|
| Pérdida de la licencia tras una filtración | Sí (MiCA) | No aplicable |
| Pérdida de clientes | Fuerte (competencia) | Cautiva |
| Reputación comercial | Riesgo existencial | Limitado |
| Sanciones económicas | Hasta el 4 % de la facturación (RGPD) | A menudo simbólicas |
| Rendición de cuentas de la dirección | MLRO, responsable de cumplimiento | Diluida |
| Inversión en ciberseguridad | Continua | A menudo rezagada |
La superficie de ataque comparada
- Modelo actual (sin DAC8): entre unos 100 y 200 PSCA autorizados, cada uno con sus propios sistemas. Comprometer a la mayoría de los titulares exige piratear decenas de entidades independientes; una filtración se mantiene contenida (Waltio: 50.000 clientes).
- Modelo DAC8: 1 base de datos centralizada × 27 administraciones = 27 objetivos equivalentes, con millones de agentes y proveedores potencialmente expuestos en todo el mundo (DGFiP: unos 100.000). Una sola administración fallida puede comprometer a todos los titulares de su jurisdicción.
27 administraciones comparten los datos. La seguridad del conjunto es tan fuerte como su eslabón más débil.
Por qué basta una sola filtración
Una filtración de datos cripto puede ser más grave que una filtración de datos administrativos ordinarios. Si vincula identidad, dirección, historial y valor económico, puede utilizarse para atacar físicamente a personas.
El problema es asimétrico: un solo punto débil basta para exponer a un gran número de personas, pero cada víctima debe luego afrontar sola las consecuencias. Cuanto más valiosa y consultable es la base de datos, más dañina resulta una sola filtración.
El principio de minimización
La mejor seguridad no consiste solo en proteger una base de datos grande. Consiste en evitar crear una base de datos grande cuando el objetivo puede alcanzarse con una solicitud específica. La centralización no elimina el riesgo: lo concentra.
La minimización de datos es, por tanto, un control de seguridad, no solo un principio jurídico abstracto. La base de datos más segura es la que no necesita existir.
Páginas relacionadas
- Filtraciones de datos y DAC8
- Centralización frente a dispersión
- DAC8, MiCA y DORA
- Familias en riesgo
- Solicitudes de información específicas
Breached.company, The Digital Honeypot, septiembre de 2025 · Cyfrin, Global Relay, Unit21 (MiCA / DORA) · NRA Bulgaria, 2019.