Los CISO del sector público cuentan con controles maduros basados en el modelo «Zero Trust». Sin embargo, la arquitectura «Zero Trust» es un modelo de acceso, no un modelo de integridad, y no son lo mismo. Aquí radica la brecha, y este es un mecanismo descentralizado para subsanarla.
Has aprobado la migración a la nube. Has implementado la arquitectura «Zero Trust». Tu gestión de identidades está consolidada, tus políticas de acceso son estrictas y se ha informado al consejo de administración. Desde el punto de vista del perímetro, el riesgo está controlado.
Esto es lo que esa arquitectura no te ofrece: ninguna garantía criptográfica de que los datos almacenados en la infraestructura de tu proveedor de servicios en la nube no se han modificado sin tu conocimiento después de que los hayas guardado allí. Ni por parte de un atacante externo. Ni por parte de un administrador coaccionado. Ni por parte del propio proveedor, que actúe en virtud de un instrumento jurídico del que nunca se te haya informado.
El control de acceso y la integridad de los datos no son la misma propiedad arquitectónica. En la mayoría de las implementaciones de la nube en el sector público, se las trata como si lo fueran, y esa confusión es uno de los puntos ciegos más graves que puede tener un CISO que trabaje en la administración pública.
En este documento se define la frontera entre ambos conceptos, se explica el perfil de amenaza que hace que esta distinción sea fundamental, especialmente en entornos del sector público, y se describe el mecanismo —la huella criptográfica anclada en blockchain— que permite subsanar esta brecha. Además, se detallan las obligaciones de cumplimiento normativo que hacen que subsanar esta brecha sea un requisito reglamentario y no una decisión arquitectónica discrecional.
Los controles de acceso de «cero confianza» no verifican el contenido
La arquitectura «Zero Trust» se basa en un principio NIST SP 800-207 establece sin ambigüedades: no se concede ninguna confianza implícita a los activos ni a las cuentas de usuario en función de su ubicación física o de red. Cada solicitud de acceso se autentica, se autoriza y se valida de forma continua. Se trata de un modelo riguroso y bien definido para controlar quién puede acceder a qué, en qué condiciones y durante cuánto tiempo.
No es un modelo para comprobar qué contiene ese recurso.
La distinción es de carácter arquitectónico, no semántico. Cuando el motor de políticas ZTA confirma que un usuario autenticado y autorizado ha accedido a un documento a las 14:23 de un martes, ha hecho exactamente lo que se diseñó para hacer. No dispone de ningún mecanismo para determinar si ese documento refleja el mismo contenido que tenía cuando se redactó originalmente.. La cuestión —si estos datos se han modificado desde su último estado válido conocido hasta ahora— queda totalmente fuera del ámbito del plano de control de ZTA.
NIST SP 800-207A, que amplía los principios de «Zero Trust» a entornos gubernamentales nativos de la nube y multicloud, identifica otra limitación estructural: en muchas arquitecturas gubernamentales, incluidos los sistemas aislados físicamente y los entornos federados entre varios organismos, resulta inviable contar con un único plano de control unificado. Los puntos de aplicación de ZTA simplemente no pueden supervisar todas las operaciones a nivel de infraestructura, especialmente aquellas que tienen lugar dentro del sustrato de almacenamiento que controla su proveedor de servicios en la nube.
Ese es el límite. Tu proveedor de servicios en la nube cuenta con la capacidad técnica necesaria, en muchas configuraciones estándar, a acceder a datos en reposo o modificarlos sin activar ni una sola alerta de la política ZTA. Esto no es una acusación de mala praxis por parte del proveedor. Se trata de una realidad arquitectónica del modelo de responsabilidad compartida, y es precisamente esa brecha la que requiere una capa de control de integridad independiente del dominio administrativo de tu proveedor de servicios en la nube.
El perfil de amenazas del sector público no es genérico
Todas las organizaciones se enfrentan al riesgo de amenazas internas. Las organizaciones del sector público se enfrentan a una variante de este riesgo cuyas consecuencias van mucho más allá de las propias operaciones de la organización.
Un registro de contratación manipulado no solo expone a un organismo a las conclusiones de una auditoría, sino que puede viciar una decisión de contratación que afecte a cientos de millones en gasto público. Un documento normativo modificado no solo genera una incoherencia interna, sino que puede invalidar un proceso legislativo o reglamentario. La integridad de los datos de los ciudadanos no es una cuestión de responsabilidad civil. Es una cuestión de confianza pública ligada a la rendición de cuentas democrática.
El Informe de Verizon sobre investigaciones de fugas de datos de 2024 lugares la administración pública como el principal sector industrial en lo que respecta a las acciones no maliciosas de amenazas internas. En todos los sectores, el 68% de las filtraciones estuvo relacionado con un factor humano —error, uso indebido de privilegios o ingeniería social—, y parte de los datos filtrados se encontraban en múltiples entornos en la nube. Las implementaciones gubernamentales, que suelen abarcar simultáneamente una infraestructura soberana local y uno o más proveedores de nube pública, encajan perfectamente en este perfil de exposición multientorno.
El tiempo que tarda en detectarse agrava la exposición. El Informe global del Ponemon Institute sobre el coste de los riesgos internos en 2025 sitúa en 81 días el plazo medio de detección y contención de las amenazas internas, y señala que los entornos en la nube constituyen uno de los motivos de preocupación. En el contexto de la administración pública, 81 días de manipulación no detectada suponen 81 días de registros potencialmente corruptos que sirven de base para la toma de decisiones políticas, respaldan los procesos de contratación pública, responden a las consultas parlamentarias o del Congreso e interactúan con los ciudadanos. Cualquier acción posterior que se lleve a cabo basándose en datos manipulados hereda ese fallo de integridad..
La dimensión financiera supone una presión adicional. Los incidentes maliciosos cometidos por personas internas ascienden ahora a una media de $ 779 707 por incidente, y el coste total anual de los incidentes relacionados con el uso indebido de información privilegiada asciende a $8,8 millones por organización. En el caso de las entidades del sector público, dichos costes se traducen, al mismo tiempo, en fondos públicos y en responsabilidad política.
La capa de integridad descentralizada: qué es y para qué sirve
El mecanismo es conceptualmente sencillo y criptográficamente sólido. Y lo más importante: no es necesario que el documento salga de tu poder en ningún momento del proceso.
Para cada documento u objeto de datos que se desee proteger, se genera un hash criptográfico —una huella digital única— a partir de su contenido mediante un algoritmo como el SHA-256. La función hash toma el documento como entrada y genera una cadena de salida de longitud fija, independientemente de si el documento original es un informe de dos páginas o un expediente regulatorio de 10 000 páginas. Eso El resultado se obtiene matemáticamente a partir de cada bit del contenido del documento en ese momento concreto.. Basta con cambiar un solo carácter en cualquier parte —un punto decimal, una cláusula, una marca de tiempo de metadatos— para que el hash resultante sea completamente diferente.
A continuación, esta huella digital se registra en una cadena de bloques: un libro mayor inmutable y distribuido que no controla ninguna entidad en particular. El registro lleva una marca de tiempo y es a prueba de manipulaciones gracias al diseño estructural del libro mayor. Lo que se escribe en la cadena es la huella digital, no el documento. El contenido del documento, su clasificación, las partes implicadas, sus términos... nada de esto se da a conocer.. El libro mayor solo sabe que, en la marca de tiempo T, existía un documento con este contenido exacto.
La verificación es la operación inversa. Cuando es necesario demostrar a un auditor, a una autoridad reguladora o a una contraparte que un documento no ha sido modificado desde que se selló, se genera un nuevo hash del documento actual y se compara con el registro de la cadena de bloques. La conclusión es binaria y matemáticamente cierta. Si los hash coinciden, el documento es idéntico a su estado registrado. Si no coinciden, el contenido ha cambiado; y basta con que cambie un solo carácter en cualquier parte para que el hash sea completamente diferente. No hay ambigüedad, ni margen de interpretación, ni dependencia de la garantía del proveedor.
La resistencia a la manipulación del libro mayor es estructural. El hash de cada bloque incluye el hash del bloque anterior. Alterar cualquier registro histórico requiere volver a calcular todos los bloques posteriores y alcanzar un consenso en toda la red distribuida de forma simultánea, lo cual es computacionalmente inviable en cualquier cadena bien establecida. No se trata de un modelo basado en la confianza, sino de una restricción matemática que impide la posibilidad de modificaciones silenciosas e indetectables.
Las implementaciones en el sector público suelen utilizar una cadena de bloques autorizada —siendo Hyperledger Fabric el modelo de gobernanza empresarial más extendido—, en la que la participación en la red está controlada y definida por el consorcio. Una arquitectura híbrida añade una segunda capa al anclar periódicamente el hash raíz de la cadena autorizada a una cadena de bloques pública, como Ethereum. Este compromiso de «hash de hashes» significa que, incluso si la red autorizada se viera comprometida, la cadena pública proporciona una prueba verificable de forma independiente y con marca de tiempo global. El contenido de tu documento permanece en tu entorno controlado en todo momento: lo que se transmite es el hash, no el archivo.
Esta es precisamente la arquitectura que Port of Trust se utiliza en la producción. Port of Trust es el núcleo criptográfico del Truth Enforcer framework: una capa de integridad basada en blockchain diseñada para sellar cualquier archivo, registro o evento con una huella criptográfica y almacenar la prueba en blockchains públicas, sin que los datos confidenciales salgan nunca de tu entorno. Solo se almacena el hash en la cadena. El documento original permanece bajo tu control. La verificación se puede llevar a cabo de forma independiente en cualquier momento - incluidos los años posteriores al sello original - con total transparencia y auditabilidad, y sin que la parte verificadora necesite acceso al sistema ni credenciales. Para las organizaciones del sector público que necesitan esta capacidad sin la carga que supone una implementación a medida, Truth Enforcer Ofrece una aplicación lista para su uso en producción que permite sellar archivos de forma operativa, junto con una herramienta complementaria, Truth Verifier, que permite a los auditores, reguladores y organismos de supervisión confirmar la autenticidad de los documentos a través de una interfaz pública, sin necesidad de acceder al sistema interno. La prueba de integridad es tuya. Se puede verificar de forma independiente. Y se encuentra totalmente fuera del alcance administrativo de tu proveedor de servicios en la nube.
Por qué esto es más barato que la alternativa
La valoración de los costes de un CISO del sector público implica dos vías de rendición de cuentas simultáneas que no existen en el sector privado con la misma forma: el coste financiero y el coste de la rendición de cuentas pública. Ambos se agravan cuando no se detecta la manipulación de los datos.
En el ámbito financiero, la fase de detección es donde los costes se acumulan más rápidamente. El Informe de IBM sobre el coste de una filtración de datos 2024 establece una prima de detección de $980.000 entre las infracciones reveladas por el atacante y las identificadas internamente, lo que significa que cada día adicional de La manipulación no detectada supone un riesgo financiero cuantificable. Teniendo en cuenta el plazo medio de detección de 81 días de Ponemon, esa ventaja no es meramente teórica.
En el ámbito operativo, el riesgo residual relacionado con la obligación de conservación de archivos es el que se subestima con mayor frecuencia en los programas gubernamentales de nube. Los documentos en el archivo se someten a una frecuencia de supervisión reducida y se parte de la base de que su estado es estable.. Cuando esa suposición no se cumple —durante una investigación regulatoria, una solicitud de acceso a la información, una investigación parlamentaria o la fase de presentación de pruebas en un litigio—, La falta de integridad se descubre en el peor momento posible, con las mayores consecuencias imaginables..
El coste de implementación de una capa de integridad basada en una cadena de bloques autorizada, gestionada como un servicio compartido en toda una agencia o departamento, es sustancialmente inferior al de un solo incidente provocado por un empleado malintencionado, sin tener en cuenta aún los riesgos legales, normativos, reputacionales y políticos. El argumento de la soberanía añade una dimensión estratégica: su prueba de integridad se encuentra fuera del dominio administrativo de su proveedor de servicios en la nube, persiste independientemente de su contrato con el proveedor y le acompaña en caso de renegociación, migración o rescisión del contrato. Se trata de un activo del programa, no de un gasto general.
Consideraciones sobre la implementación de arquitecturas en el sector público
Una capa de integridad basada en blockchain es, por diseño, independiente de la nube. Tanto si tus cargas de trabajo se ejecutan en AWS GovCloud, Microsoft Azure Government, un centro de datos local soberano o una combinación híbrida de los tres, la capa de hash funciona de forma idéntica en todo el entorno. El principio rector no varía en función de la infraestructura: Tu prueba de integridad debe estar siempre almacenada en un lugar al que tu proveedor de servicios en la nube no pueda acceder.
La implementación en entornos gubernamentales se beneficia de una cadencia que tiene en cuenta la clasificación. Los documentos del nivel «OFICIAL» pueden ser identificados mediante una huella digital en el momento de su creación y verificados de forma programada. Los documentos de nivel «OFFICIAL SENSITIVE» y superiores requieren una verificación en cada evento de acceso y en cada punto de salida, registrándose el hash, la marca de tiempo y la identidad del usuario como un registro adicional en la cadena. Los contratos inteligentes aplican este flujo de trabajo de forma automática: una política definida en código que se ejecuta sin intervención humana, transformar la verificación del acceso de una actividad procedimental en un registro criptográfico que no pueda modificarse de forma retroactiva.
Integración con la infraestructura existente es sencillo desde el punto de vista arquitectónico. La generación de hash se integra en los flujos de trabajo existentes de SIEM y SOAR como una fuente de telemetría adicional. Para las organizaciones gubernamentales que gestionan grandes volúmenes de documentos a través de SharePoint —que sigue siendo la plataforma de gestión documental predominante en la administración central del Reino Unido, Australia y en las administraciones de los Estados miembros de la UE—, Truth Enforcer for SharePoint integra el proceso de sellado y verificación directamente en la biblioteca de documentos, sin que los usuarios tengan que cambiar su forma de trabajar ni que los equipos de TI tengan que desarrollar una capa de integración personalizada. Secure Sync for SharePoint Amplía aún más esta funcionalidad en implementaciones con múltiples entornos, permitiendo la sincronización basada en políticas de las bibliotecas de documentos entre instancias locales, híbridas y en la nube SharePoint, con controles de filtrado que garantizan flujos de datos adaptados a la clasificación, lo que asegura que solo el contenido aprobado y no sensible transite entre zonas de seguridad, mientras que los sellos de integridad acompañan al documento.
Las configuraciones de almacenamiento de objetos inmutables —S3 Object Lock, Azure Immutable Blob Storage— constituyen un complemento procedimental útil, pero siguen estando dentro del ámbito administrativo del proveedor y no debe considerarse un sustituto de una prueba de integridad independiente. Los manifiestos de archivo estructurados como árboles de Merkle proporcionan una conciliación matemáticamente verificable a nivel de colección, lo que cumple el requisito de comprobaciones de integridad a la hora de recuperarse de incidentes de TIC, una disposición directamente aplicable a las entidades gubernamentales sujetas a la normativa NIS2.
La cuestión de la gobernanza requiere una atención especial: se trata de cuestiones relacionadas con la gobernanza del programa, no de cuestiones técnicas. ¿Quién es el propietario del nodo de la cadena de bloques? ¿Quién define y audita la periodicidad de las verificaciones? ¿Cómo se integra la detección de discrepancias en la integridad con vuestro manual de respuesta a incidentes ya existente? Estas cuestiones deben figurar tanto en la documentación de vuestra estrategia de nube como en vuestro marco de gestión de riesgos de terceros, y no resolverse en el momento de la implementación para luego no volver a abordarlas nunca más.
Resolver el problema de la integridad de los datos
La arquitectura «Zero Trust» fue la respuesta adecuada al colapso del perímetro. Redefinió el modelo de confianza en torno a la identidad, el acceso y la verificación continua, y lo hizo correctamente. Pero solo resolvió el problema del control de acceso. El problema de la integridad de los datos es una cuestión distinta, y sigue sin resolverse en la mayoría de las implementaciones de la nube en el sector público..
Tu ZTA te indica quién ha abierto el documento. No puede indicarte si el documento es el mismo que tenías cuando lo sellaste. Eso no supone una laguna en tu política de acceso. Es una laguna en tu cadena de pruebas. - y, en el ámbito de la administración pública, la cadena de pruebas es también el registro de auditoría, el expediente normativo y el instrumento de rendición de cuentas democrática.
Truth Enforcer cubre esa laguna sin complicaciones y sin renunciar a nada. Amplía tu cadena de custodia criptográfica desde el momento del acceso hasta el estado del contenido, lo que te ofrece a ti, a tus organismos reguladores y a tus organismos de supervisión una respuesta verificable a la pregunta más importante: ¿Se han modificado estos datos sin que se haya informado de ello desde que se sellaron? Ningún contenido confidencial sale de tu entorno. No se requiere ningún modelo de confianza propio. Cualquiera puede verificar la prueba de forma independiente, en cualquier momento, sin necesidad de acceder al sistema.
Tu proveedor de servicios en la nube te proporciona la infraestructura. La capa de integridad descentralizada te ofrece una prueba. En el sector público, la presentación de pruebas no es opcional.
.
¿Quieres ver cómo se lleva a cabo en la práctica una verificación independiente de la integridad?
Pruébalo gratis - sin compromiso:
Verificador de la verdad para creadores de PI: https://truth-verifier.com/landing
Verificador de la verdad para periodistas: https://truthverifier.news/landing
Ponte en contacto con nosotros para hablar sobre la implantación de Truth Enforcer en tu empresa: https://www.connecting-software.com/truth-enforcer-sign-up/
Por Francisco RodriguesJefe de producto
"Escribo sobre cómo las integraciones de software pueden adaptarse a los entornos empresariales y responder a las demandas específicas del sector. Quiero mostrar a las empresas el camino para agilizar los procesos, eliminar los cuellos de botella y garantizar el cumplimiento de las normativas dotando a los equipos y a los ejecutivos de la C-suite de las herramientas adecuadas."
Lecturas relacionadas
Integridad de los datos DORA: Qué exige realmente el “estándar más elevado
El problema de la modificación: Norma 613 de la SEC - Cumplimiento de la CAT con datos que se puede demostrar que nunca se tocaron
Reforma de la Ley de Testamentos del Reino Unido en 2025: Preparar la verificación digital independiente antes de que llegue la ley