Skip to content
Recursos

Seguridad de los datos

Acceso burocrático y riesgo de filtración

Por qué una base de datos compartida entre administraciones es un honeypot: multiplica los puntos de acceso humano y puede convertir una sola filtración en una catástrofe.

Actualizado el

Respuesta breve

Una base de datos compartida entre administraciones es, por diseño, un objetivo de altísimo valor: un honeypot. Cuanto más grande, valiosa y consultable sea una base de datos, mayor será el esfuerzo que los atacantes estarán dispuestos a invertir, y más devastadora será una sola filtración. Los proveedores de servicios de criptoactivos regulados (PSCA o CASP) bajo MiCA, DORA y el RGPD son profesionales supervisados y sancionables, con incentivos financieros para proteger a sus clientes. DAC8 hace justo lo contrario: traslada los datos a redes de declaración administrativa donde el acceso es más amplio y la rendición de cuentas es más difícil de evaluar para los usuarios. La seguridad del conjunto es entonces tan fuerte como su eslabón más débil. La minimización de datos es, por tanto, un control de seguridad, no solo un principio jurídico: la base de datos más segura es la que no necesita existir.

Datos clave

IndicadorCifra o dato
PSCA autorizados (modelo actual, sin DAC8)entre unas 100 y 200 entidades independientes
Filtración contenida (ejemplo Waltio)50.000 clientes
Modelo DAC81 base de datos centralizada × 27 administraciones = 27 objetivos equivalentes
Agentes de una sola administración (Francia, DGFiP)unos 100.000
MiCA en vigordesde el 30 de diciembre de 2024
DORA en vigordesde enero de 2025 (incidente grave notificado en 4 h, informe completo en 72 h)
Sanciones RGPDhasta 20 M€ o el 4 % de la facturación mundial
Multa a una administración (Bulgaria, 2019)2,9 M€ pagados por el contribuyente búlgaro al Estado búlgaro

El principio: no concentrar el objetivo

La concentración de grandes cantidades de datos de identidad sensibles en un solo lugar transforma estas bases de datos en objetivos muy atractivos, los llamados «honeypots», para hackers y ladrones de identidad.

Breached.company, The Digital Honeypot, septiembre de 2025

Una base de datos nunca es solo un objeto técnico. Está rodeada de administradores, agentes, proveedores, subcontratistas, auditores, procesos de soporte y controles de acceso. Cuanto más grande y valiosa es la base de datos, mayor es el esfuerzo que invertirán los atacantes, y más devastadoras son las consecuencias de una filtración. El objetivo DAC8 será uno de los más valiosos de Europa.

El riesgo humano

La seguridad de una base de datos compartida depende de cada acceso concedido. Cuantas más administraciones, sistemas y personas intervengan, mayor será la probabilidad de un error, un abuso o una vulneración. A medida que los datos se intercambian entre jurisdicciones, crece el número de personas y sistemas que pueden tocarlos: una sola cuenta comprometida, un empleado corrupto o un simple error operativo pueden exponer información recopilada de una población muy amplia.

En una red DAC8/CARF, el riesgo no es solo el pirateo externo. También es el acceso interno: consulta abusiva, extracción, reventa, corrupción, mala configuración o un proveedor comprometido.

Los PSCA: profesionales supervisados e incentivados

Los PSCA autorizados bajo MiCA están sujetos a un marco estricto:

  • MiCA (desde el 30 de diciembre de 2024): gestión del riesgo TIC, segregación de los activos de los clientes, autenticación fuerte, supervisión continua;
  • DORA (desde enero de 2025): identificar, proteger, detectar, responder y recuperar; notificación de incidentes graves en 4 h, informe completo en 72 h; pruebas de resiliencia y auditorías independientes;
  • RGPD: sanciones de hasta 20 M€ o el 4 % de la facturación mundial.
IncentivoPSCA privadoAdministración tributaria
Pérdida de la licencia tras una filtraciónSí (MiCA)No aplicable
Pérdida de clientesFuerte (competencia)Cautiva
Reputación comercialRiesgo existencialLimitado
Sanciones económicasHasta el 4 % de la facturación (RGPD)A menudo simbólicas
Rendición de cuentas de la direcciónMLRO, responsable de cumplimientoDiluida
Inversión en ciberseguridadContinuaA menudo rezagada

La superficie de ataque comparada

  • Modelo actual (sin DAC8): entre unos 100 y 200 PSCA autorizados, cada uno con sus propios sistemas. Comprometer a la mayoría de los titulares exige piratear decenas de entidades independientes; una filtración se mantiene contenida (Waltio: 50.000 clientes).
  • Modelo DAC8: 1 base de datos centralizada × 27 administraciones = 27 objetivos equivalentes, con millones de agentes y proveedores potencialmente expuestos en todo el mundo (DGFiP: unos 100.000). Una sola administración fallida puede comprometer a todos los titulares de su jurisdicción.

27 administraciones comparten los datos. La seguridad del conjunto es tan fuerte como su eslabón más débil.

Por qué basta una sola filtración

Una filtración de datos cripto puede ser más grave que una filtración de datos administrativos ordinarios. Si vincula identidad, dirección, historial y valor económico, puede utilizarse para atacar físicamente a personas.

El problema es asimétrico: un solo punto débil basta para exponer a un gran número de personas, pero cada víctima debe luego afrontar sola las consecuencias. Cuanto más valiosa y consultable es la base de datos, más dañina resulta una sola filtración.

El principio de minimización

La mejor seguridad no consiste solo en proteger una base de datos grande. Consiste en evitar crear una base de datos grande cuando el objetivo puede alcanzarse con una solicitud específica. La centralización no elimina el riesgo: lo concentra.

La minimización de datos es, por tanto, un control de seguridad, no solo un principio jurídico abstracto. La base de datos más segura es la que no necesita existir.

Páginas relacionadas

Breached.company, The Digital Honeypot, septiembre de 2025 · Cyfrin, Global Relay, Unit21 (MiCA / DORA) · NRA Bulgaria, 2019.