Skip to main contentSkip to footer
Ponte en contacto con nuestros expertos
Política de privacidad

Soberanía de la ciberseguridad: replanteamiento de la seguridad en la era geopolítica (Parte 5)

27/02/2026 de Sebastian Ohlig

Imagen generada por IA que muestra una cerradura de seguridad translúcida y cuatro manos que sostienen diferentes llaves apuntando a la cerradura.

En las cuatro primeras partes de esta serie, hemos analizado la soberanía tecnológica desde sus fundamentos: los factores geopolíticos y normativos, la capa de infraestructura, la capa de la nube y el creciente desafío que plantea la IA en materia de soberanía. Cada capa ha puesto de manifiesto la misma tensión subyacente: cómo sacar partido de los ecosistemas digitales globales sin ceder el control.

En ningún ámbito esa tensión es tan grande como en la ciberseguridad.

La seguridad se ha vuelto un ámbito profundamente dependiente de las plataformas. La identidad se ofrece cada vez más "como servicio". La detección de amenazas se basa en el análisis en la nube. La respuesta ante incidentes depende de los canales de telemetría, los canales de actualización y la inteligencia gestionada por los proveedores.

Y eso plantea una nueva cuestión a nivel directivo: si tu infraestructura de seguridad se gestiona —total o parcialmente— bajo la jurisdicción de un país extranjero, ¿quién controla realmente tu defensa?

La soberanía en materia de ciberseguridad no consiste en rechazar las herramientas de seguridad globales. Se trata de garantizar que los elementos más sensibles de la seguridad —la identidad, la telemetría, las claves y la autoridad de respuesta— sigan rigiéndose según tus propios criterios.



Lo que la soberanía en ciberseguridad realmente significa

La soberanía en materia de ciberseguridad es la capacidad de una organización para proteger sus activos digitales sin perder el control sobre:

  • Sistemas de identidad: autenticación, accesos privilegiados y control administrativo
  • Telemetría de seguridad: registros, alertas, datos de terminales y de red, y pruebas relacionadas con incidentes
  • Claves criptográficas: encriptación y gestión de claves que impide el acceso no autorizado
  • Operaciones de seguridad: la capacidad de detectar, contener y recuperarse sin depender de factores externos

En la práctica, esto significa que su nivel de seguridad no debe verse mermado por procesos opacos de terceros, riesgos legales transfronterizos o interrupciones del servicio que escapen a su control.



Por qué la ciberseguridad se ha convertido en un tema importante en materia de soberanía

La soberanía en materia de ciberseguridad ha pasado de ser un tema aislado a convertirse en una prioridad estratégica por tres razones.

1) Los datos de seguridad se encuentran entre tus datos más confidenciales

Las plataformas de detección modernas recopilan una gran cantidad de datos de telemetría, que a menudo incluyen identificadores de usuario, metadatos de dispositivos, detalles de configuración y artefactos forenses. En conjunto, esta información puede revelar cómo funciona una organización y cuáles son sus puntos débiles. El envío de estos datos de telemetría a entornos controlados externamente puede generar una exposición involuntaria.

2) El tema de compliance está pasando de ser una "buena práctica" a una obligación exigible

En la Unión Europea, NIS2 ha ampliado y reforzado los requisitos de ciberseguridad en sectores críticos e importantes, haciendo especial hincapié en la gestión de riesgos y la seguridad de la cadena de suministro. El plazo de transposición para los Estados miembros vencía el 17 de octubre de 2024, y NIS2 sustituyó al marco NIS original a partir del 18 de octubre de 2024 (véase también: Estrategia Digital)

Paralelamente, los sistemas de certificación de seguridad de la UE se están ampliando. El EUCC (sistema de certificación de ciberseguridad de la UE basado en los Criterios Comunes) ha sido adoptado y ya está en funcionamiento. (véase también: certification.enisa.europa.eu)

3) La dependencia en materia de ciberseguridad es una dependencia operativa

Si falla una plataforma de identidades controlada desde el extranjero, es posible que tu plantilla se quede sin acceso. Si se interrumpe un proceso de supervisión en nube, podrías perder visibilidad precisamente cuando más la necesitas. Por lo tanto, la soberanía en materia de seguridad no solo tiene que ver con la confidencialidad, sino también con la continuidad.

Los riesgos de los modelos de seguridad no soberanos

La soberanía en materia de ciberseguridad se entiende mejor a través de categorías de riesgo concretas.

Exposición de datos de telemetría de seguridad

Si los registros y los datos de incidentes se procesan en entornos sujetos a jurisdicciones extranjeras, las organizaciones pueden verse expuestas a riesgos legales, problemas de confidencialidad o complicaciones normativas, especialmente cuando la telemetría contiene datos personales o información comercial sensible.

Dependencia de identidad y acceso

Muchas empresas recurren a plataformas de gestión de identidades y accesos (IAM) que operan a nivel mundial para la autenticación y el control de accesos. Estos servicios son muy eficaces, pero constituyen un único punto de fallo. La soberanía exige garantizar que la identidad siga siendo resistente y controlable en situaciones de estrés.

Riesgo de custodia de las claves

El cifrado solo protege la soberanía si la empresa controla las claves. Si la gestión de las claves se realiza de forma externa, la ventaja en materia de soberanía se pone de manifiesto ante las solicitudes de acceso legítimas.

Exposición de la cadena de suministro y los canales de actualización

Los productos de seguridad no son neutrales. Forman parte de una cadena de suministro. La ubicación del proveedor, su gobernanza y sus mecanismos de actualización son importantes, ya que la propia infraestructura de seguridad puede convertirse en una vía de vulnerabilidad o coacción.

Estrategias para alcanzar la soberanía en materia de ciberseguridad

Las arquitecturas de seguridad modernas pueden conciliar la innovación global con el control soberano. Hay cuatro estrategias que caracterizan sistemáticamente a los programas de soberanía consolidados.

1) Mantén la telemetría confidencial bajo tu control jurisdiccional

No todos los datos de seguridad deben tratarse de la misma manera. Muchas empresas adoptan un modelo por niveles:

  • Los registros de alta sensibilidad y los artefactos de incidentes permanecen en el ámbito local o en servidores soberanos
  • Los indicadores agregados y las señales anonimizadas pueden compartirse con fines de análisis y evaluación comparativa

Lo fundamental es la claridad: ¿A dónde va a parar tu telemetría, quién puede acceder a ella y bajo qué legislación?

2) Controlar las claves de cifrado de extremo a extremo

Las claves gestionadas por el cliente y los módulos de seguridad de hardware (HSM) controlados localmente se encuentran entre las medidas de soberanía más eficaces. El objetivo es sencillo: incluso desde el exterior, la información sigue siendo ilegible sin las claves controladas por la empresa.

3) Resiliencia del diseño de identidad

La soberanía en materia de ciberseguridad no implica renunciar a los sistemas modernos de gestión de identidades y accesos (IAM), pero sí requiere medidas de protección, tales como:

  • Una arquitectura de identidades resiliente (que incluya vías de acceso de contingencia)
  • Una gestión estricta de los roles de administrador con privilegios
  • Una supervisión local de las operaciones de identidades en entornos críticos

4) Reducir la dependencia de un único proveedor y de una única jurisdicción

La soberanía no se reduce a una simple dicotomía entre "UE y fuera de la UE". También tiene que ver con el riesgo de concentración. Una defensa en múltiples niveles mejora la resiliencia cuando:

  • los proveedores modifican sus condiciones
  • se intensifica el riesgo geopolítico
  • un proveedor sufre un incidente sistémico

El enfoque de NIS2 en cuanto al riesgo asociado a los proveedores y empresas de servicios hace que esta diversificación estratégica sea cada vez más relevante. (véase también: Estrategia digital)

¿Cuándo es fundamental la soberanía en materia de ciberseguridad y cuándo es opcional?

La soberanía en materia de ciberseguridad es fundamental cuando:

  • La organización opera en un sector regulado o crítico con estrictas obligaciones en materia de resiliencia (Nota: el ámbito de aplicación de la NIS2 es más amplio de lo que muchos piensan; véase también: Estrategia digital)
  • La telemetría incluye datos personales, datos regulados o información operativa sensible
  • Es probable que los sistemas de seguridad sean objeto de ataques por parte de actores estatales o se vean expuestos a una escalada geopolítica
  • La gestión de identidades y claves es fundamental para la continuidad esencial del negocio

La soberanía de la ciberseguridad puede ser más flexible cuando:

  • Las herramientas de seguridad son de uso general y no exportan datos de telemetría confidenciales
  • Los datos se anonimizan, se reducen al mínimo o se cifran de forma segura
  • La organización mantiene el control total sobre las claves, el acceso de administrador y la autoridad para responder

En resumen: la soberanía es fundamental cuando la pérdida de control tendría consecuencias inaceptables desde el punto de vista jurídico, operativo o de seguridad. Es menos crucial cuando la dependencia entraña un riesgo bajo y las medidas de mitigación son sólidas.



Dependencias externas aceptables

Una estrategia de soberanía práctica no implica eliminar toda la tecnología extranjera. La mayoría de las empresas seguirán recurriendo a proveedores de seguridad internacionales, ya que la información sobre amenazas a nivel mundial, las capacidades de detección y la investigación y el desarrollo en materia de seguridad son, por naturaleza, internacionales.

La distinción clave es el control de datos sensibles y el control de funciones críticas.

Por lo tanto, muchas organizaciones aceptan herramientas extranjeras cuando:

  • la telemetría confidencial permanece localizada o protegida
  • las claves de cifrado están bajo el control de la empresa
  • el acceso administrativo está restringido y es auditable
  • el riesgo asociado al proveedor se evalúa y se regula contractualmente

Esta es la estrategia de soberanía que se adapta a cualquier escala: proteger lo que debe seguir siendo soberano y recurrir a los ecosistemas globales cuando ello no ponga en peligro el control.

La pregunta esencial

A menudo se considera que la ciberseguridad es una capa técnica de las tecnologías de la información. Sin embargo, en términos de soberanía, es algo más: el plano de control de la confianza.

Si tu identidad, tu telemetría y tu autoridad de respuesta pueden verse afectadas —o expuestas— fuera de los límites legales y operativos que has establecido, ¿realmente controlas tu seguridad?



¿Qué viene después?

En la siguiente parte de esta serie, analizaremos la soberanía de la red, donde el enrutamiento, las dependencias de conectividad y el transporte cifrado determinan con qué fiabilidad (y bajo qué influencia) pueden circular tus datos.



Imagen: AdobeStock modificada con IA

Síguenos en LinkedIn