En los próximos doce meses, la ciberseguridad dejará de ser un asunto meramente técnico para convertirse en una cuestión de supervivencia corporativa. Las grandes organizaciones españolas están entrando en una etapa en la que la regulación europea, la presión geopolítica y la dependencia tecnológica chocan directamente con la necesidad de crecer, innovar y competir a escala global. En el centro de todo está el dato: dónde reside, quién lo controla y, sobre todo, quién puede acceder a él.
Regulación y riesgo: el dilema que marcará la agenda del CISO
Durante años, la soberanía del dato parecía un debate lejano. Hoy es el mayor desafío que afrontan los CISOs y los comités de dirección. Pero no es el único. Existen varios conflictos que condicionan la toma de decisiones:
Conflicto geopolítico-regulatorio: el acceso extranjero como amenaza real
La regulación europea (GDPR, DORA, Data Act) fija un principio claro: los datos europeos deben permanecer bajo jurisdicción europea. Sin embargo, la operativa real es muy distinta.
El 90% de las grandes empresas españolas depende de hyperscalers como AWS, Azure o Google Cloud, proveedores sujetos al CLOUD Act estadounidense, que podría obligarles a entregar datos a las autoridades de EE. UU., incluso si se almacenan en Madrid o Frankfurt.
Para un directivo, esta es la grieta esencial: el dato está en Europa, pero la capacidad legal de acceder a él puede estar fuera de la UE.
Conflicto estratégico: agilidad vs. soberanía
La alta dirección demanda innovación, velocidad y escala. Y el cloud global ofrece exactamente eso. Pero alcanzar una soberanía “plena” obliga a migrar a nubes soberanas europeas, renunciar a los servicios más avanzados e incrementar costes.
La pregunta es incómoda: ¿Está el negocio dispuesto a sacrificar competitividad para lograr seguridad jurídica absoluta?
Conflicto arquitectónico: la trampa del vendor lock-in
La soberanía no es solo determinar dónde se ubica el dato, sino si es posible moverlo.
Cuando una compañía desarrolla cientos de aplicaciones sobre servicios propietarios de un hyperscaler, el coste de salida es tan elevado que la soberanía deja de ser una opción real.
Conflicto de responsabilidad compartida: la carga siempre recae en la empresa
Si se produce un acceso indebido o una brecha, la multa y el impacto reputacional recaen en la empresa española, no en el proveedor.
Y en entornos multicloud, la gestión de identidades, claves y configuraciones multiplica la complejidad.
En resumen
La regulación establece el mínimo. El riesgo dicta la inversión. Pero la tensión entre ambas fuerzas es cada vez más difícil de gobernar.
Dicho de otro modo: la regulación abre el talonario, pero el riesgo decide dónde gastar.
Estrategia y Zero Trust: ¿solución o nueva fuente de complejidad?
Muchos directivos se preguntan si Zero Trust es la respuesta definitiva a la soberanía del dato en un entorno multicloud.
La respuesta es clara: Zero Trust es imprescindible… pero no suficiente.
A favor: Zero Trust como habilitador de soberanía
ZT protege el acceso al dato sin importar dónde esté. Es el estándar técnico que garantiza que solo las identidades adecuadas acceden a la información correcta. En ese sentido, constituye un pilar esencial de la soberanía.
En contra: Zero Trust complica la gobernanza
En un entorno multicloud, cada proveedor tiene su propio lenguaje, sus APIs y su forma de aplicar políticas.
El resultado: más complejidad, más riesgo de error y una gobernanza mucho más difícil de orquestar.
La solución real: un modelo de doble capa.
Las compañías más maduras están convergiendo hacia un enfoque híbrido:
1. Capa Zero Trust (acceso): control granular de identidades, dispositivos y permisos.
2. Capa de Soberanía (claves): control absoluto de las claves maestras de cifrado, gestionadas directamente por la empresa mediante Cloud HSM o EKM.
Porque, en última instancia, si controlas las claves, controlas el dato.
Las inversiones técnicas que marcan la diferencia
Las organizaciones líderes ya están invirtiendo en capacidades que van más allá de la ciberseguridad tradicional. Estas son las tres apuestas que realmente cambian el juego:
BYOK, EKM y el control absoluto de las claves
Debe ser la prioridad número uno.
Si los datos están cifrados con claves controladas exclusivamente por la empresa, ningún proveedor cloud —ni siquiera bajo una orden extranjera— puede acceder a ellos.
Arquitecturas de procesamiento desacoplado
La verdadera revolución está en cómo se procesan los datos:
–Confidential Computing: enclaves seguros que impiden que el proveedor cloud vea los datos mientras se procesan.
–Regiones soberanas: nubes con acceso y soporte limitado exclusivamente a personal de la UE.
Tecnologías de preservación de la privacidad (PETs)
Todavía no masivas, pero absolutamente estratégicas:
–Cifrado homomórfico: permite procesar datos sin descifrarlos.
-SMPC: posibilita análisis colaborativos sin compartir datos reales.
El objetivo es común: el dato nunca debe quedar expuesto, ni siquiera durante su uso.
Mirando hacia 2026: el consejo estratégico clave
Si solo pudiera dar un consejo para los próximos doce meses, sería este:
No migre ni un solo dato crítico a la nube sin implantar antes un modelo BYOK (Bring Your Own Key) o EKM (Hold Your Own Key) que garantice que su empresa controla la clave maestra.
¿La razón?
- Porque la ubicación del dato importa cada vez menos; lo fundamental es quién controla las claves.
- Porque es la única defensa técnica sólida frente a conflictos de jurisdicción como el CLOUD Act.
- Porque habilita una verdadera estrategia multicloud al reducir el vendor lock-in.
- Porque DORA y las regulaciones emergentes exigirán demostrar un control criptográfico extremo.
Conclusión: la soberanía es la nueva frontera competitiva
Las empresas que tomen decisiones valientes ahora no solo estarán más seguras:
serán más competitivas, más independientes y mucho más resilientes en un mundo donde el dato es el nuevo poder.
En definitiva: quien controla las claves, controla el futuro.
