Skip to content
Recursos

Seguridad de los datos

Centralización o dispersión

Por qué concentrar datos cripto sensibles crea un objetivo más peligroso que bases de datos separadas en manos de actores responsables.

Actualizado el

Respuesta breve

La arquitectura importa. La información sensible dispersa entre varios proveedores responsables no tiene el mismo perfil de riesgo que la información centralizada en sistemas de declaración automática e intercambiada entre administraciones. El modelo actual reparte los datos cripto entre proveedores directamente responsables de protegerlos. DAC8 añade una circulación sistemática hacia las autoridades tributarias y entre jurisdicciones: los datos salen de su perímetro inicial, se multiplican y se vuelven más fáciles de buscar, copiar, correlacionar y usar indebidamente. Para los criptoactivos, que pueden vincular a una persona con un activo líquido transferible bajo coacción, este giro hacia la centralización es especialmente peligroso. La minimización y el acceso específico siguen siendo opciones por defecto más seguras que la centralización sistemática.

Datos clave

  • La arquitectura determina el riesgo: los datos dispersos y los datos centralizados no tienen el mismo perfil.
  • Modelo disperso: los proveedores (PSCA) guardan los datos de sus clientes en sus propios sistemas y están sujetos a obligaciones de seguridad, sanciones, riesgo comercial y riesgo de perder la licencia, lo que crea una responsabilidad directa y fuertes incentivos para proteger los datos.
  • Modelo DAC8: circulación sistemática hacia las autoridades tributarias y entre jurisdicciones; los datos salen de su perímetro comercial inicial y se multiplican en entornos distintos.
  • Regla simple: cuanto más circulan los datos, más puntos de fallo existen.
  • Efecto de la centralización: un objetivo único o semiúnico, más legible y más rentable de comprometer, con datos más fáciles de buscar, copiar, correlacionar y usar indebidamente, tanto por atacantes externos como por personal interno.
  • Especificidad cripto: los datos pueden vincular a una persona con un activo líquido transferible bajo coacción.
  • Mejor opción por defecto: minimización y acceso específico en lugar de centralización sistemática.

El modelo disperso

En el modelo actual, los proveedores de servicios de criptoactivos (PSCA) conservan los datos de sus clientes en sus propios sistemas. Estos actores están sujetos a obligaciones de seguridad, sanciones, riesgo comercial y riesgo de perder su licencia.

Esta responsabilidad directa crea fuertes incentivos para proteger los datos. Cada actor responde por sus propios fallos, y los datos permanecen confinados a su perímetro comercial original.

El modelo DAC8

DAC8 añade una circulación sistemática hacia las autoridades tributarias y entre jurisdicciones. Los datos salen de su perímetro comercial inicial y se multiplican en entornos distintos, cada uno con sus propias normas, herramientas y niveles de protección.

Cuanto más circulan los datos, más puntos de fallo existen. Cada copia, cada transferencia y cada entorno adicional es una oportunidad para una filtración, un error o un uso indebido.

El argumento de seguridad

La centralización no es neutra. Crea un objetivo único o semiúnico, más legible para los atacantes y más rentable de comprometer. Los datos concentrados también se vuelven más fáciles de buscar, copiar, correlacionar y usar indebidamente, ya sea que la amenaza provenga de atacantes externos o de personal interno.

Para los criptoactivos, esta elección es especialmente peligrosa: los datos pueden vincular a una persona con un activo líquido transferible bajo coacción. El riesgo no es solo administrativo o fiscal; también es físico.

La mejor opción por defecto

Para los datos cripto sensibles, la minimización y el acceso específico son opciones por defecto más seguras que la centralización sistemática. Recopilar menos, restringir el acceso y evitar la constitución de una base de datos centralizada reducen la superficie de ataque en lugar de ampliarla.

Páginas relacionadas