La brecha de confianza en la seguridad de la colaboración en Europa: Por qué confiar en tus herramientas no es lo mismo que tener control sobre tus datos

La confianza no es un control. Esa diferencia es la clave que se esconde en una nueva encuesta a profesionales de TI de Reino Unido, Francia y Alemania, encargada por el proveedor de comunicaciones Wire y reportada por Dark Reading. Sobre el papel, las organizaciones europeas parecen seguras: el 84% de los profesionales de TI dicen confiar en la seguridad de sus entornos de colaboración y el 79% confía en su capacidad para controlar el acceso a los datos de colaboración. Pero si miras más allá del titular, la misma población encuestada cuenta una historia muy diferente sobre lo que realmente ocurre en sus entornos.

Solo el 29% afirmó que sus herramientas actuales son totalmente adecuadas para gestionar comunicaciones sensibles. El 61% dijo que el acceso a archivos compartidos suele permanecer activo más tiempo del necesario. El 34% tiene dificultades incluso para saber quién tiene acceso a un archivo sensible determinado, y el 19% describe como muy difícil revocar ese acceso una vez concedido. En el ámbito de la colaboración externa, donde los datos salen de la organización, la situación empeora: el 75% utiliza la misma plataforma de correo electrónico para comunicaciones internas y externas, el 45% depende de enlaces de uso compartido de archivos, el 42% usa aplicaciones de mensajería de consumo para contenido empresarial y solo el 28% emplea una herramienta segura dedicada para la colaboración externa.

Esto no es una historia sobre una filtración. Ninguna organización mencionada en la encuesta sufrió un incidente, y los datos de Wire describen el sentir general del mercado, no un ataque específico. Eso es precisamente lo que lo hace útil. Es una mirada estructurada y poco común a cómo una gran población de profesionales de TI percibe —y juzga mal— la diferencia entre «nos sentimos seguros» y «podemos demostrar y hacer cumplir la seguridad». Para cualquier organización que gestione la colaboración a través de correo electrónico, apps de mensajería de consumo y enlaces de uso compartido improvisados, esta encuesta es un espejo, y el reflejo muestra exactamente dónde falla la gobernanza.

Kiteworks existe para el intercambio seguro de datos porque esa brecha entre el control percibido y el real es justo el problema que la gobernanza unificada de datos busca resolver. El resto de este artículo explica qué significan realmente los datos, por qué las cifras de confianza son engañosas por sí solas y cómo se ve en la práctica cerrar esa brecha.

Conclusiones clave

1. Confianza y control no son lo mismo, y la mayoría de los líderes de TI los confunden.

Una nueva encuesta a profesionales de TI de Reino Unido, Francia y Alemania encontró que el 84% confía en la seguridad de su colaboración, pero solo el 29% cree que sus herramientas son totalmente adecuadas para gestionar comunicaciones sensibles.

2. El acceso no expira cuando debería.

El 61% de los encuestados afirmó que el acceso a archivos compartidos suele permanecer activo más tiempo del necesario, y el 19% considera muy difícil revocar el acceso una vez concedido. Los principios de minimización de datos —aplicados al alcance y duración del acceso en el momento de compartir— son la base normativa para que la expiración automática sea el comportamiento predeterminado.

3. La colaboración externa funciona con una tecnología fragmentada y sin gobernanza.

Tres cuartas partes de las organizaciones usan la misma plataforma de correo electrónico para comunicaciones internas y externas, el 45% depende de enlaces de uso compartido y el 42% utiliza apps de mensajería de consumo para mover contenido sensible fuera de la empresa.

4. Las brechas de visibilidad son la causa raíz, no un efecto secundario.

El 34% de los profesionales de TI tiene dificultades para saber quién tiene acceso actualmente a archivos sensibles, lo que hace que la desvinculación gobernada y la respuesta ante filtraciones de datos sean casi imposibles de ejecutar de forma fiable.

5. La solución es arquitectónica, no conductual.

Cerrar la brecha requiere unificar la colaboración en una sola plataforma gobernada con controles de acceso por archivo, expiración automática y registro completo de auditoría, en lugar de pedir a los empleados que usen herramientas fragmentadas con más cuidado.

Por qué pueden ser ciertas tanto la confianza del 84% como la idoneidad del 29%

Es tentador tratar la cifra de confianza del 84% y la de idoneidad del 29% como una contradicción. No lo son. Miden cosas diferentes, y entender esa diferencia explica casi todo lo demás en la encuesta.

La confianza, como probablemente interpretaron la mayoría de los encuestados, mide si las herramientas que la organización ya usa han funcionado hasta ahora —sin filtraciones visibles, sin incidentes notables, sin fallos evidentes. Es una evaluación retrospectiva basada en la disponibilidad. Responde a la pregunta: «¿Ha pasado algo malo que yo sepa?»

La idoneidad mide algo orientado al futuro y mucho más difícil de evaluar: si la arquitectura real de la herramienta —sus controles de acceso, sus registros, su capacidad para hacer cumplir políticas de forma consistente en todos los canales— está diseñada para gestionar contenido sensible desde el principio. Esa es la pregunta que produce un 29% de respuestas afirmativas.

La brecha entre esos dos números es donde el riesgo permanece oculto. Una organización puede pasar años sin un fallo de seguridad obvio y aun así carecer de los controles necesarios para prevenir o incluso detectar una filtración de datos lenta y silenciosa: un socio externo que sigue teniendo acceso a una carpeta compartida dieciocho meses después de finalizar el proyecto, un contrato sensible en un hilo de mensajería personal, enlaces de uso compartido de un exempleado que nunca se revocaron. Nada de eso aparece como «incidente» de la forma que reduce la confianza. Todo aparece como riesgo no gestionado en cuanto un regulador, auditor o atacante lo busca. Para organizaciones que gestionan información personal identificable u otras categorías de datos regulados, ese riesgo no gestionado implica obligaciones de notificación y remediación específicas que la confianza por sí sola no puede satisfacer.

Por eso los programas de administración de riesgos de seguridad que se basan en encuestas de confianza autodeclarada o pruebas de penetración anuales suelen subestimar la exposición en entornos de colaboración. Las herramientas no fallan de forma ruidosa. Fallan en silencio, una compartición no gobernada a la vez, y el fallo silencioso no afecta la cifra de confianza hasta que se convierte en un titular.

El problema del ciclo de vida del acceso: conceder es fácil, revocar es difícil

Si miras de cerca los tres datos sobre la gestión de accesos, surge un patrón que debería preocupar a cualquier CISO más que tranquilizarle las cifras de confianza. El 61% dice que el acceso suele permanecer activo más tiempo del necesario. El 34% tiene dificultades para saber quién tiene acceso actualmente a archivos sensibles. El 19% considera muy difícil revocar el acceso una vez concedido.

Juntando todo, tienes una descripción completa de un ciclo de vida de acceso roto: conceder acceso es simple y rápido, porque es el paso que todos optimizan —un proveedor nuevo necesita una carpeta, un socio nuevo necesita un archivo, listo en treinta segundos. Pero nadie ha construido el proceso inverso para retirar el acceso cuando ya no se necesita. No hay un desencadenante consistente, ni responsable, ni sistema de registro que marque una compartición para revisión cuando termina un proyecto o expira un contrato.

Esta es la clásica asimetría de los controles de acceso construidos sobre herramientas de colaboración generalistas en lugar de plataformas de contenido gobernadas. Los archivos adjuntos de correo, los enlaces de uso compartido y las transferencias por apps de mensajería de consumo comparten el mismo defecto estructural: una vez que un archivo sale del control del remitente, no hay forma centralizada ni fiable de saber quién lo tiene, y mucho menos de revocarlo. Un enlace compartido no pide permiso para seguir funcionando. Un archivo adjunto no consulta una política antes de que el destinatario lo reenvíe. El control de acceso basado en atributos (ABAC) —donde las decisiones de acceso evalúan simultáneamente la sensibilidad del contenido, el rol del usuario y el contexto temporal— es el mecanismo técnico que impone permisos contextuales y acotados en el tiempo que las asignaciones de roles estáticas y la compartición de enlaces no pueden replicar.

Compáralo con lo que la gestión de derechos digitales y la gobernanza por archivo están diseñadas para hacer: vincular el acceso al propio archivo, no a quien tenga una copia, de modo que los permisos puedan limitarse en el tiempo, supervisarse y revocarse de forma centralizada sin importar dónde esté físicamente el archivo. Esa es la diferencia arquitectónica entre «lo enviamos y esperamos que esté bien» y «lo controlamos durante todo su ciclo de vida». El 19% que describe la revocación como muy difícil no habla de un problema de formación. Habla de una carencia de herramientas que la formación no puede solucionar.

El 34% que no puede determinar quién tiene acceso actualmente enfrenta una versión aún más aguda del mismo problema. No puedes gobernar lo que no puedes ver. Sin una traza de auditoría consolidada que abarque todos los canales de colaboración, «quién tiene acceso a este archivo ahora mismo» se convierte en una pregunta que exige revisar manualmente los registros del servidor de correo, las consolas de administración de plataformas de uso compartido y los historiales de apps de mensajería por separado —suponiendo que esos registros existan y conserven el historial el tiempo suficiente. Durante un incidente, eso no es una molestia. Es la diferencia entre una respuesta contenida y una notificación de filtración con alcance desconocido.

Colaboración externa: donde la fragmentación se convierte en exposición

Las cifras internas describen un problema de gobernanza. Las cifras de colaboración externa describen algo más parecido a una puerta abierta.

El 75% de las organizaciones encuestadas usa la misma plataforma de correo electrónico para comunicaciones internas y externas. A simple vista, parece eficiente —una plataforma, una bandeja de entrada, un conjunto de habilidades para todos—. En la práctica, significa que la misma postura de seguridad del correo electrónico diseñada para tráfico interno de confianza se extiende, casi sin cambios, a la comunicación con proveedores, socios, contratistas y clientes cuya propia seguridad la organización remitente no puede ver ni controlar. Las implicaciones para la gestión de riesgos de la cadena de suministro son directas: cada destinatario externo de correo que mantiene acceso no revocado a archivos sensibles es una exposición de terceros que la organización no puede supervisar ni controlar con su propia infraestructura.

El 45% utiliza enlaces de uso compartido para la colaboración externa —cómodos, familiares y casi imposibles de gobernar una vez distribuidos—. Un enlace compartido con un destinatario externo puede reenviarse, y el remitente normalmente no tiene forma de saberlo, no hay expiración automática por defecto y no hay registro centralizado de cada acceso. El 42% usa apps de mensajería de consumo para contenido empresarial que sale de la organización, herramientas pensadas para conversaciones personales, no para gobernanza de datos, políticas de retención o trazas de auditoría regulatoria.

Solo el 28% utiliza una herramienta segura dedicada específicamente para la colaboración externa. Eso significa, según los propios datos de la encuesta, que aproximadamente siete de cada diez organizaciones gestionan sus flujos de datos de mayor riesgo —los que cruzan el límite organizativo hacia entornos que el equipo de TI no controla— con herramientas que nunca se diseñaron para esa función. Y el 33% admite abiertamente que no confía en mantener el control sobre los archivos una vez compartidos externamente, que es la versión honesta y sin adornos de lo que las demás cifras describen en conjunto.

Esta fragmentación se agrava de una forma específica y predecible. Cada canal adicional usado para colaboración externa —correo, enlaces de uso compartido, mensajería de consumo, más lo que use el 28% dedicado— es un sistema separado con sus propios controles de acceso, su propio registro (o ausencia de él) y su propio mecanismo de revocación (o su ausencia). Un equipo de seguridad que intenta responder a «qué datos sensibles hemos compartido con este proveedor y podemos cortar el acceso si termina la relación» tiene que reconstruir la respuesta en cuatro o cinco sistemas desconectados, cada uno con visibilidad incompleta. Esa reconstrucción lleva un tiempo que la organización rara vez tiene durante un incidente real, y simplemente nunca se intenta en operaciones normales, lo que explica por qué el acceso permanece meses o años después de su utilidad.

Kiteworks para uso compartido seguro de archivos y MFT segura se creó bajo la premisa opuesta: que el uso compartido de contenido interno y externo debe gestionarse en un entorno gobernado único, con controles de acceso, cifrado y registros consistentes sin importar de qué lado del límite organizativo esté el destinatario. Esa consolidación es lo que convierte «no confiamos en mantener el control» en una pregunta con una respuesta concreta y verificable.

Qué se necesita realmente para cerrar la brecha

El instinto al leer datos como estos suele ser lanzar un programa de formación o un recordatorio de política: pedir a los empleados que no usen apps de mensajería de consumo para archivos sensibles, que revisen quién tiene acceso antes de compartir, añadir una diapositiva al curso de concienciación en seguridad. Ese instinto es comprensible y casi totalmente erróneo. La encuesta de Wire no describe empleados descuidados. Describe profesionales de TI —personas cuya labor es la seguridad— que informan de que sus propias herramientas no les dan la idoneidad, visibilidad o capacidad de revocación necesarias. No puedes solucionar una limitación de herramientas con formación.

Cerrar la brecha requiere cuatro capacidades arquitectónicas concretas que el correo fragmentado, los enlaces de uso compartido y las apps de mensajería nunca se diseñaron para ofrecer juntas en un solo lugar.

Primero, controles de acceso unificados que apliquen la misma lógica de política tanto si el destinatario es empleado, proveedor o cliente. Segundo, gobernanza por archivo en vez de por plataforma, para que los permisos viajen con el contenido y puedan ajustarse o revocarse sin tener que saber todos los lugares donde puede haber una copia. Tercero, expiración automática como comportamiento predeterminado en vez de un olvido manual, de modo que el acceso que «permanece activo más tiempo del necesario» pase a ser raro en vez de la norma que describe el 61% de los encuestados. Cuarto, una traza de auditoría única que abarque todos los canales de colaboración, para que el 34% que ahora no puede responder «quién tiene acceso a este archivo» tenga una respuesta real, en segundos, no una investigación en varios sistemas.

Un Panel CISO que muestre comparticiones activas, permisos obsoletos y acceso externo en una sola vista convierte las estadísticas más preocupantes de la encuesta en un problema operativo solucionable en vez de un riesgo permanente. En vez de preguntar «¿alguien recuerda con quién compartimos ese contrato?», la respuesta está a una consulta de distancia. En vez de confiar en que el acceso de un proveedor ya caducó solo, la expiración se aplica por política en el momento en que se concedió el acceso. Conectar esta capa de visibilidad a una plataforma SIEM permite alertas de comportamiento cuando los patrones de acceso se desvían de la línea base establecida —la capa de detección que convierte los «fallos silenciosos» de la encuesta en señales observables y accionables antes de que se conviertan en incidentes reportables.

Nada de esto exige abandonar el correo o la mensajería por completo —los empleados siempre necesitarán canales de comunicación familiares—. Requiere encaminar el contenido sensible, los archivos y datos que realmente implican riesgo, a través de una capa gobernada que se sitúe por debajo y a través de esos canales, aplicando políticas consistentes sin importar en qué app ocurra la conversación. Esa es la diferencia práctica entre la confianza basada en la ausencia de pruebas y la confianza basada en control real y demostrable.

La presión regulatoria eleva el coste de la brecha de confianza

Las organizaciones europeas no pueden permitirse tratar esta brecha como un problema para el futuro. El entorno regulatorio en Reino Unido, Francia y Alemania ha avanzado decididamente hacia exigir justo el tipo de control demostrable que la encuesta revela que falta en gran medida.

El GDPR exige desde hace años que las organizaciones sepan dónde reside la información personal y quién puede acceder a ella, pero la aplicación se ha endurecido y los reguladores esperan cada vez más que las organizaciones aporten pruebas, no promesas, durante una investigación. La Directiva NIS 2, ya en vigor en los estados miembros de la UE, incluidos Francia y Alemania, amplía las obligaciones de administración de riesgos de ciberseguridad a un conjunto mucho más amplio de entidades «esenciales» e «importantes» y exige explícitamente medidas de seguridad en la cadena de suministro —un impacto directo para las organizaciones que siguen usando correo, enlaces de uso compartido y apps de mensajería de consumo para la colaboración externa que más preocupa a la directiva—. Las organizaciones de servicios financieros enfrentan requisitos de DORA sobre riesgos de terceros e informes de incidentes TIC que suponen que la organización puede rastrear realmente dónde han ido los datos sensibles y quién los ha tocado.

El hilo conductor en los tres marcos es la misma distinción que resalta la encuesta de Wire: los reguladores ya no aceptan la confianza como sustituto del control. Una organización que diga «confiamos en nuestra seguridad» durante una investigación de cumplimiento GDPR o una auditoría de cumplimiento NIS2 tendrá que mostrar los registros de acceso, los registros de revocación y la lista de permisos actual del conjunto de datos en cuestión. Si la respuesta honesta es «el 34% de las veces no podemos saber quién tiene acceso», eso no es un problema de comunicación. Es una brecha de traza de auditoría y gobernanza de datos que los reguladores ahora están específicamente facultados —y cada vez más dispuestos— a sancionar.

Las organizaciones que siguen gestionando la colaboración externa a través de canales fragmentados y sin registro se están posicionando para ese escrutinio en el peor momento posible —cuando la aplicación de la ley ya ha alcanzado la brecha, no antes—. El Informe Anual de Pronóstico de Riesgos de Seguridad de Datos y Cumplimiento 2026 de Kiteworks rastrea este tipo de exposición regulatoria y de terceros en todos los sectores y es un buen punto de referencia para las organizaciones que quieren saber dónde están sus propias prácticas de colaboración externa.

De la confianza al control verificable

Lo más útil de la encuesta de Wire es lo que no dice. No afirma que las organizaciones europeas sean descuidadas ni describe una filtración específica que deba alarmar a nadie. Lo que hace es dar a una gran población estructurada de profesionales de TI la oportunidad de describir su propio entorno con honestidad, y lo que describen es una brecha entre la confianza que sienten y el control que realmente pueden demostrar.

Esa brecha se puede cerrar, y hacerlo no exige mayor vigilancia a empleados que ya están sobrecargados. Requiere una arquitectura diferente: una donde los controles de acceso sean consistentes en la colaboración interna y externa, donde el acceso expire por defecto y no por excepción, donde una sola traza de auditoría responda «quién tiene acceso a esto ahora mismo» sin una investigación en varios sistemas, y donde la revocación sea una acción de política y no una carrera manual entre cinco herramientas distintas.

Kiteworks para intercambio seguro de datos consolida los canales fragmentados de correo, enlaces de uso compartido y mensajería de consumo que describe la encuesta en un entorno gobernado único, diseñado específicamente para cerrar la brecha entre confianza y control —tanto para equipos internos como para socios externos—. La Red de Contenido Privado de Kiteworks extiende esta gobernanza unificada a todos los canales de comunicación de contenido, dando a las organizaciones el control demostrable que exigen cada vez más el GDPR, NIS2 y DORA.

Para saber más sobre cómo cerrar la brecha entre la confianza en la seguridad de la colaboración y el control verificable, solicita una demo personalizada hoy mismo.

Preguntas frecuentes

Hace referencia a la desconexión entre lo seguros que se sienten los profesionales de TI respecto a sus herramientas de colaboración y lo adecuadas que realmente son esas herramientas para gestionar datos sensibles. En la encuesta encargada por Wire, el 84% expresó confianza en su seguridad, pero solo el 29% consideró que sus herramientas eran totalmente adecuadas para comunicaciones sensibles. La brecha importa porque la confianza basada en la ausencia de incidentes visibles no resiste el escrutinio regulatorio, una auditoría o una investigación real de filtración, donde se exige a las organizaciones demostrar controles de acceso y trazas de auditoría, no solo reportar una percepción. Las organizaciones sujetas a obligaciones de cumplimiento normativo —GDPR, NIS2, DORA— enfrentan las consecuencias más graves de esta brecha: una investigación de la autoridad supervisora exigirá pruebas documentadas de control de acceso y capacidad de revocación, no una puntuación de encuesta de confianza.

La mayoría de las herramientas de colaboración están muy optimizadas para conceder acceso rápidamente y ofrecen poco o ningún proceso estructurado para revocarlo. Los archivos adjuntos de correo, los enlaces de uso compartido y las apps de mensajería de consumo generalmente no expiran de forma automática, no rastrean todos los lugares donde termina un archivo y no marcan permisos obsoletos para revisión cuando termina un proyecto o contrato. El 61% de los profesionales de TI encuestados reportó exactamente este problema, y solucionarlo requiere controles de acceso por archivo con expiración incorporada en vez de depender de que alguien recuerde revocar el acceso manualmente después. Aplicar principios de minimización de datos en la provisión de acceso —estableciendo la duración mínima posible como valor predeterminado en vez de compartir sin límite— es la base normativa que hace que la expiración automática sea sostenible operativamente.

La colaboración externa lleva los datos de la organización fuera de los entornos que controla directamente, y la encuesta muestra que la mayoría lo hace con herramientas pensadas para la comodidad, no la gobernanza: el 75% usa la misma plataforma de correo electrónico interna y externamente, el 45% usa enlaces de uso compartido y el 42% emplea apps de mensajería de consumo. Solo el 28% utiliza una herramienta segura dedicada para la colaboración externa. Cada uno de estos canales tiene controles de acceso y registros débiles o inexistentes, así que el contenido sensible compartido externamente es mucho más difícil de rastrear, auditar o revocar que el que permanece dentro de un sistema interno. La dimensión de gestión de riesgos en la cadena de suministro agrava esto: cada socio externo con acceso no revocado a archivos representa una exposición de terceros que la organización no puede supervisar ni cortar con su propia infraestructura de seguridad.

No. Los encuestados son profesionales de TI que describen limitaciones de sus propias herramientas, no carencias de concienciación de los empleados. El 34% no puede saber quién tiene acceso a archivos sensibles y el 19% encuentra muy difícil revocar el acceso porque las plataformas carecen de controles de acceso unificados, trazas de auditoría centralizadas y expiración automática —carencias estructurales que requieren una solución arquitectónica, concretamente consolidar la colaboración en una plataforma gobernada, y no una solución de formación o política—. Un plan de respuesta a incidentes documentado que incluya un paso de «determinar quién tiene acceso actualmente a los archivos» revelará rápidamente si las herramientas pueden responder realmente a esa pregunta —las organizaciones que no puedan deberían tratar la carencia de herramientas como el riesgo de respuesta a incidentes que es, no como un tema para el futuro.

Ambos marcos exigen que las organizaciones demuestren, no solo afirmen, que saben dónde residen los datos sensibles, quién puede acceder a ellos y cómo se protege el intercambio de datos con terceros y en la cadena de suministro. La aplicación del GDPR exige cada vez más controles de acceso documentados y pruebas de auditoría, mientras que la Directiva NIS 2 amplía específicamente las obligaciones de ciberseguridad al intercambio de datos con terceros y en la cadena de suministro en los estados miembros de la UE, incluidos Francia y Alemania. Una organización que no pueda responder «quién tiene acceso actualmente a este archivo» durante una investigación regulatoria enfrenta exposición directa de cumplimiento, no solo riesgo reputacional. El cumplimiento de DORA añade una dimensión para servicios financieros: las obligaciones de reporte de incidentes TIC y gestión de riesgos de terceros bajo DORA exigen que las organizaciones rastreen exactamente dónde han ido los datos sensibles y quién los ha tocado —el mismo control demostrable que la encuesta de Wire muestra que la mayoría de las organizaciones europeas aún no tiene.

Recursos adicionales

  • Artículo del Blog Arquitectura Zero Trust: Nunca confíes, verifica siempre
  • Video Microsoft GCC High: Desventajas que llevan a los contratistas de defensa a buscar ventajas más inteligentes
  • Artículo del Blog Cómo proteger datos clasificados una vez que DSPM los identifica
  • Artículo del Blog Cómo generar confianza en la IA generativa con un enfoque Zero Trust
  • Video La guía definitiva para el almacenamiento seguro de datos sensibles para líderes de TI

Comienza ahora.

Es fácil comenzar a asegurar el cumplimiento normativo y gestionar eficazmente los riesgos con Kiteworks. Únete a las miles de organizaciones que confían en cómo intercambian datos confidenciales entre personas, máquinas y sistemas. Empieza hoy mismo.

Table of Content
Compartir
Twittear
Compartir
Explore Kiteworks