Art 21/26. Tus datos  puede que estén en Europa. Pero quizá no estén tan protegidos como crees.

Hoy trataremos un tema del que poco se habla. Porque damos por supuesto que Europa es soberana con sus datos. Y durante años nos han vendido esta idea tranquilizadora que se resumía en una frase:

“Sus datos se almacenan en un centro de datos europeo”.

Fantástico.

Servidor en Frankfurt.

Copia de seguridad en Dublín.

Región cloud en París.

Bandera europea en la presentación comercial.

Todo muy europeo (y UE por supuesto)

El pequeño detalle es que la soberanía digital no depende únicamente de dónde duerme el servidor. Depende, sobre todo, de quién puede obligar legalmente a la empresa que lo controla a entregar la información.

Y ahí aparece el invitado incómodo de esta historia: el CLOUD Act estadounidense.

No es una aplicación.

No es una nube nueva.

El tema es este: el CLOUD Act es una ley federal estadounidense de 2018 que permite a las autoridades de Estados Unidos solicitar a determinados proveedores sujetos a su jurisdicción información que esté bajo su posesión, custodia o control, aunque los datos estén almacenados físicamente fuera del país.

Traducido del dialecto jurídico al castellano de andar por casa:

el dato puede estar en Alemania, pero la orden puede llegar desde Washington.

Cuando la geografía se convierte en marketing

Y esta media verdad ha sido lo que nos ha dejado medianamente tranquilos. Durante mucho tiempo, las empresas hemos preguntado a los de arquitectura (informática, claro) :

—¿Dónde están alojados los datos?

Y ahora, esta pregunta sigue siendo importante, pero ya no es suficiente.

La pregunta verdaderamente incómoda es otra:

—¿Quién controla la empresa, la infraestructura, las claves y la capacidad real de acceder a esos datos?

Porque una compañía estadounidense no deja de estar vinculada a la legislación estadounidense por instalar servidores en Europa, crear una filial con nombre europeo o decorar el contrato con doce referencias al RGPD.

La residencia de datos indica dónde están almacenados.

La soberanía de datos indica quién puede acceder a ellos, bajo qué legislación y con qué capacidad de resistencia.

Son conceptos relacionados, pero no son lo mismo.

Confundirlos es como pensar que una caja fuerte es española porque está colocada en Madrid, aunque la llave maestra la tenga una empresa de Seattle.

El RGPD entra en escena

Europa, como era de esperar, tiene una visión diferente. Y piensa que tiene argumentos. Son estos:

- El artículo 48 del RGPD establece que las resoluciones de tribunales o autoridades administrativas de terceros países que exijan transferir o revelar datos personales no pueden ser reconocidas o ejecutadas automáticamente en Europa, salvo que exista un acuerdo internacional aplicable.

Es decir, una orden extranjera no actúa como una especie de pase VIP capaz de atravesar sin más todas las garantías europeas.

El responsable del tratamiento debe analizar la solicitud, comprobar su base jurídica y cumplir también las reglas europeas sobre transferencias internacionales.

Y aquí se produce el choque.

Estados Unidos afirma que puede exigir ciertos datos a proveedores sometidos a su jurisdicción.

Europa responde que los datos personales de sus ciudadanos solo pueden transferirse si se cumplen las garantías del RGPD.

Dos sistemas jurídicos.

Una misma empresa.

Y, en medio, los datos de trabajadores, clientes, pacientes, ciudadanos y usuarios.

El proveedor se encuentra ante una situación poco envidiable: cumplir las exigencias estadounidenses sin vulnerar el marco europeo.

No es exactamente una contradicción matemática imposible, porque cada caso debe analizarse jurídicamente. Pero sí es una tensión estructural que ningún folleto comercial puede resolver con la frase “data hosted in the EU”.

El Data Privacy Framework tampoco es una capa de invisibilidad

Desde 2023 existe el Marco de Privacidad de Datos entre la Unión Europea y Estados Unidos, conocido como EU-US Data Privacy Framework.

Este mecanismo facilita determinadas transferencias de datos a organizaciones estadounidenses certificadas.

En septiembre de 2025, el Tribunal General de la Unión Europea desestimó el recurso presentado contra la decisión de adecuación.

Pero conviene no confundir las cosas.

El Data Privacy Framework regula y legitima determinadas transferencias internacionales. No convierte a las empresas estadounidenses en inmunes a su propia legislación ni hace desaparecer el CLOUD Act.

Es un puente jurídico.

No es una capa de invisibilidad.

El AI Act añade otra vuelta de tuerca

Por si el rompecabezas no estaba suficientemente animado, aparece la inteligencia artificial. Y por eso os lo traigo a este post semanal.

Una aplicación tradicional puede almacenar nombres, direcciones, contratos o números de cuenta.

Un asistente de IA puede recibir, además:

• conversaciones internas;

• estrategias empresariales;

• informes confidenciales;

• evaluaciones de empleados;

• datos sanitarios;

• decisiones de selección;

• información financiera;

• y ese documento que alguien subió al chatbot “solo para que lo resumiera”.

La IA no solo almacena información. También puede procesarla, generar registros, crear metadatos, conservar historiales y alimentar sistemas de monitorización.

El AI Act europeo exige trazabilidad, documentación, supervisión humana y gestión de riesgos, especialmente en ámbitos sensibles como empleo, educación, servicios esenciales, biometría o infraestructuras críticas.

La alfabetización en IA en la zona UE ya es obligatoria desde febrero de 2025 (vamos, que si en las empresas no están en ello, ya van tarde). Además, las reglas de transparencia sobre el contenido generado por IA nos van a ir cayendo encima a lo largo de este mismo 2026.

Y ojo al calendario, porque tras la aprobación definitiva de la ley en mayo de 2024, las obligaciones serias para los sistemas de alto riesgo —sí, esos que deciden cosas tan divertidas y arriesgadas como a quién contratar o evaluar en Recursos Humanos— nos explotan en las manos en agosto de 2026 para los sistemas independientes.Para los que vienen incrustados en productos regulados, el dolor de cabeza se retrasa a agosto de 2027.

Europa se ha puesto estupenda y ha decidido regular la inteligencia artificial. Un aplauso. Hasta han montado su propia "comisaría" para vigilar el cotarro: la Oficina Europea de Inteligencia Artificial. Un ente con despachos en Bruselas encargado de asegurar que nadie se salte el guion y de intentar atar en corto a los grandes modelos de lenguaje.

Sobre el papel, suena de maravilla. Tienen expertos, normativa y muchas ganas de poner multas. Pero para gobernar a la bestia de verdad, necesitas controlar los cimientos, la infraestructura física sobre la que corre. 

Y adivina. Efectivamente, esa infraestructura sigue estando, en una proporción aplastante, en el bolsillo de compañías estadounidenses.

Algunas compañías europeas ya se han hartado de tragar. Precisamente este año, desde La Haya, una empresa holandesa ha dado un golpe en la mesa lanzando Office.eu.

Básicamente, han dicho: "¿Queréis alternativas reales a Microsoft 365 y Google Workspace que no tengan que rendirle cuentas al Tío Sam? Pues aquí las tenéis". Una suite 100% europea, alojada en suelo europeo y blindada legalmente para que el CLOUD Act sea solo un problema de otros. De momento, por cierto, está en modo beta. Pronto saldrá la versión final. A la espera estoy de probarla, por cierto.

Es un paso valiente, sin duda. El problema es que, mientras iniciativas soberanas como esta cogen tracción, la dura realidad de hoy es que la inmensa mayoría de nuestro tejido empresarial sigue pagando el peaje —y cediendo las llaves maestras— al otro lado del charco.

Las grandes tecnológicas han entendido el mensaje

Microsoft, Amazon y Google no son ajenas al problema.

Microsoft ha completado su EU Data Boundary para numerosos servicios empresariales y ofrece mecanismos adicionales de residencia, control de acceso, gestión de claves y nubes soberanas.

AWS abrió en 2026 su European Sovereign Cloud, con una región independiente situada en Brandeburgo y operada íntegramente desde la Unión Europea.

Google ha optado en Francia por un modelo diferente: S3NS, una compañía controlada por Thales que utiliza tecnología de Google Cloud y cuya solución PREMI3NS obtuvo la cualificación SecNumCloud de la agencia francesa ANSSI.

Son avances importantes.

No son humo.

Pero tampoco conviene convertirlos en la solución definitiva.  

Una infraestructura separada, personal europeo, controles locales y claves custodiadas en Europa reducen sustancialmente el riesgo.

La cuestión crítica continúa siendo comprobar si la separación es únicamente geográfica y contractual o si también es jurídica, operativa y criptográfica.

La arquitectura real vence al relato

Hay una lección que empieza a quedar clara.

Los contratos ayudan.

Las cláusulas contractuales ayudan.

Las auditorías ayudan.

Las certificaciones ayudan.

Pero ninguna cláusula comercial puede derogar una ley federal estadounidense.

La protección más sólida no consiste únicamente en prometer que nadie accederá al dato, sino en diseñar la arquitectura para que un acceso no autorizado resulte técnicamente imposible o, al menos, extraordinariamente difícil.

Esto implica:

• cifrado robusto;

• claves controladas por el cliente;

• segregación de funciones;

• registros de acceso;

• minimización de datos;

• retención limitada;

• anonimización o seudonimización;

• y control europeo efectivo en los casos más sensibles.

Eso sí: tampoco debemos caer en otro eslogan.

“Bring your own key” no significa automáticamente que el proveedor jamás pueda ver el dato.

Si el servicio necesita descifrar la información para procesarla, generar una respuesta o ejecutar un modelo, puede existir algún momento de exposición.

Por eso no basta con preguntar quién guarda la clave.

También hay que preguntar:

¿quién puede ver el dato en claro, en qué momento y bajo qué condiciones?

Y luego estamos los usuarios, felices alimentando al oráculo.

La discusión parece reservada para juristas, responsables de seguridad y arquitectos cloud.

Pero afecta a cualquiera que utilice correo electrónico, almacenamiento en la nube o asistentes de IA.

Estamos contando a estas herramientas nuestros problemas médicos, dudas laborales, conversaciones familiares, contratos, nóminas y secretos empresariales.

Después borramos las cookies del navegador y nos sentimos como Edward Snowden.

La realidad es bastante menos cinematográfica.

Un ciudadano normal no puede negociar el contrato con una gran plataforma, auditar su arquitectura ni instalar un HSM europeo en el salón de casa.

Pero sí puede aplicar una regla bastante sencilla:

- si una información causaría un problema serio en caso de exposición, no debería introducirse alegremente en cualquier herramienta de IA.

Especialmente cuando contiene datos de terceros.

La soberanía no está en el mapa

El debate sobre el CLOUD Act no demuestra que las empresas estadounidenses entreguen indiscriminadamente los datos de sus clientes.

Tampoco significa que todos los servicios cloud sean inseguros o que Europa deba desconectarse de la tecnología estadounidense y volver a guardar los expedientes en archivadores metálicos.

Significa algo mucho más razonable:

el riesgo jurídico debe evaluarse, no negarse.

La residencia europea es positiva.

La certificación es positiva.

La nube soberana es positiva.

Pero la soberanía digital real exige saber quién tiene el control corporativo, quién opera la plataforma, quién conserva las claves y quién puede acceder técnicamente a la información.

Porque, al final, la pregunta definitiva no es dónde están los datos.

La pregunta es:

¿quién puede leerlos cuando llega una orden que no estaba prevista ni tiene que ver con nuestro día a día ?

Y quizá ahí esté la gran paradoja europea.

Queremos regular la inteligencia artificial, proteger los datos y defender nuestra autonomía digital.

Pero buena parte de nuestro futuro tecnológico sigue funcionando sobre infraestructuras, plataformas y modelos que no controlamos completamente.

La soberanía digital no consiste en plantar servidores en Europa.

Consiste en tener las llaves.

Y, sobre todo, en asegurarse de que no existe otra copia de la llave al otro lado del Atlántico.

#InteligenciaArtificial #CLOUDAct #RGPD #AIAct #Privacidad #Ciberseguridad #SoberaníaDigital #CloudComputing #ProtecciónDeDatos #TransformaciónDigital

Fuentes

• Departamento de Justicia de Estados Unidos — CLOUD Act Resources:

https://www.justice.gov/criminal/cloud-act-resources

• Departamento de Justicia de Estados Unidos — The Purpose and Impact of the CLOUD Act:

https://www.justice.gov/d9/press-releases/attachments/2019/04/10/department_of_justice_cloud_act_white_paper_2019_04_10_final_0.pdf

• Unión Europea, EUR-Lex — Reglamento General de Protección de Datos, Reglamento (UE) 2016/679:

https://eur-lex.europa.eu/eli/reg/2016/679/oj

• Comité Europeo de Protección de Datos — Guidelines 02/2024 on Article 48 GDPR, versión final:

https://www.edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-022024-article-48-gdpr_en

• Comité Europeo de Protección de Datos — Documento completo de las directrices sobre el artículo 48 del RGPD:

https://www.edpb.europa.eu/system/files/2025-06/edpb_guidelines_202402_article48_v2_en.pdf

• Comisión Europea — Decisión de adecuación del Marco de Privacidad de Datos UE-EE. UU., EU-US Data Privacy Framework:

https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/eu-us-data-transfers_en

• Tribunal General de la Unión Europea — Sentencia de 3 de septiembre de 2025, asunto T-553/23, Latombe contra Comisión:

https://curia.europa.eu/juris/document/document.jsf?docid=303827&doclang=EN

• Tribunal de Justicia de la Unión Europea — Comunicado sobre la desestimación del recurso contra el EU-US Data Privacy Framework:

https://curia.europa.eu/jcms/upload/docs/application/pdf/2025-09/cp250106en.pdf

• Tribunal de Justicia de la Unión Europea — Sentencia Schrems II, asunto C-311/18:

https://curia.europa.eu/juris/liste.jsf?num=C-311/18

• Unión Europea, EUR-Lex — Reglamento Europeo de Inteligencia Artificial, Reglamento (UE) 2024/1689:

https://eur-lex.europa.eu/eli/reg/2024/1689/oj

• Comisión Europea — Marco regulador europeo de la inteligencia artificial y calendario general del AI Act:

https://digital-strategy.ec.europa.eu/en/policies/regulatory-framework-ai

• Comisión Europea — Preguntas y respuestas sobre la alfabetización en IA prevista en el artículo 4 del AI Act:

https://digital-strategy.ec.europa.eu/en/faqs/ai-literacy-questions-answers

• Comisión Europea — Preguntas y respuestas para interpretar y aplicar el AI Act:

https://digital-strategy.ec.europa.eu/en/faqs/navigating-ai-act

• Consejo de la Unión Europea — Acuerdo provisional de 7 de mayo de 2026 para simplificar y modificar el calendario del AI Act:

https://www.consilium.europa.eu/en/press/press-releases/2026/05/07/artificial-intelligence-council-and-parliament-agree-to-simplify-and-streamline-rules/

• Consejo de la Unión Europea — Posición del Consejo de 13 de marzo de 2026 sobre la simplificación del AI Act:

https://www.consilium.europa.eu/en/press/press-releases/2026/03/13/council-agrees-position-to-streamline-rules-on-artificial-intelligence/

• Microsoft — Finalización del proyecto EU Data Boundary en febrero de 2025:

https://blogs.microsoft.com/on-the-issues/2025/02/26/microsoft-completes-landmark-eu-data-boundary-offering-enhanced-data-residency-and-transparency/

• Microsoft — Compromisos digitales de Microsoft en Europa:

https://blogs.microsoft.com/on-the-issues/2025/04/30/european-digital-commitments/

• Microsoft — Evolución de Microsoft Sovereign Cloud y ejecución de modelos de IA en entornos desconectados:

https://blogs.microsoft.com/blog/2026/02/24/microsoft-sovereign-cloud-adds-governance-productivity-and-support-for-large-ai-models-securely-running-even-when-completely-disconnected/

• Amazon Web Services — Apertura de AWS European Sovereign Cloud en enero de 2026:

https://aws.amazon.com/blogs/aws/opening-the-aws-european-sovereign-cloud/

• Amazon Web Services — Descripción oficial de AWS European Sovereign Cloud:

https://aws.amazon.com/compliance/europe-digital-sovereignty/

• Amazon Web Services — Preguntas frecuentes sobre soberanía digital europea y localización de la región de Brandeburgo:

https://aws.amazon.com/compliance/europe-digital-sovereignty/faq/

• Amazon Web Services — Arquitectura, aislamiento operativo y estructura jurídica de AWS European Sovereign Cloud:

https://docs.aws.amazon.com/whitepapers/latest/overview-aws-european-sovereign-cloud/design-approach.html

• S3NS — Obtención de la cualificación SecNumCloud 3.2 para la solución PREMI3NS:

https://www.s3ns.io/actualite/s3ns-annonce-qualification-sec-num-cloud

• S3NS — Evolución del proyecto de nube de confianza desarrollado por Thales y Google Cloud:

https://www.s3ns.io/en/actualite/S3NS-accelerates-development-trusted-cloud

• Comisión Nacional de Informática y Libertades de Francia, CNIL — Capítulo V del RGPD y artículo 48 sobre solicitudes procedentes de terceros países:

https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre5

• CNIL — Guía práctica para evaluar el impacto de las transferencias internacionales de datos:

https://www.cnil.fr/sites/default/files/2025-07/guide_tia.pdf

• CNIL — Guía de seguridad de los datos personales, versión 2024:

https://www.cnil.fr/sites/default/files/2024-03/cnil_guide_securite_personnelle_ven_0.pdf

• Office.eu — Página oficial de la suite europea de productividad y colaboración:

https://office.eu/

• Office.eu — Información sobre la versión destinada a particulares y familias:

https://office.eu/consumer

• Office.eu / PR Newswire — Anuncio oficial del lanzamiento de Office.eu en La Haya, el 4 de marzo de 2026:

https://finance.yahoo.com/news/office-eu-fully-european-alternative-132000449.html

• openDesk — Suite soberana de productividad y colaboración para las administraciones públicas europeas:

https://www.opendesk.eu/en

• OpenProject — Explicación del proyecto openDesk como alternativa soberana a Microsoft 365 y Google Workspace:

https://www.openproject.org/blog/sovereign-workplace/

• European Alternatives — Relación de alternativas europeas a Microsoft Office:

https://european-alternatives.eu/alternative-to/microsoft-office

Infografía

Video resumen

Y si lo queréis escuchar en spotify aquí

 

Art 20/26. El falso debate entre Rosalía y Pedro Sánchez. Por qué es importante estar atentos a los bulos en el flujo de trabajo

Esta semana hemos asistido a uno de esos episodios que parecen escritos por un guionista con exceso de cafeína en el cuerpo: Rosalía y Pedro Sánchez enfrentados en un acalorado debate televisivo, intercambiando reproches en pleno plató ante la mirada atónita de media España.

El problema es que el debate nunca ocurrió.

No hubo entrevista, no hubo enfrentamiento y, por supuesto, tampoco existió el supuesto vídeo que las publicaciones prometían mostrar. Lo que sí existió fue una combinación cada vez más habitual y peligrosa: un titular incendiario, una imagen generada con inteligencia artificial, fotografías antiguas sacadas de contexto y una publicación diseñada para activar nuestra curiosidad antes que nuestro sentido crítico.

La desinformación ya no necesita construir una mentira perfecta. Le basta con fabricar una mentira suficientemente creíble durante los cinco segundos que tardamos en pulsar, compartir o introducir nuestros datos.

Y esos cinco segundos son el nuevo campo de batalla.

No todo era IA, pero todo era manipulación

Conviene hacer una precisión importante. El engaño no estaba creado íntegramente con inteligencia artificial. Una de las imágenes que simulaban el encuentro sí presentaba indicios de generación sintética, mientras que otra procedía de una entrevista real concedida por Rosalía en 2020.

Esto resulta incluso más inquietante.

Los bulos más eficaces no suelen ser completamente falsos. Mezclan piezas auténticas con elementos inventados:

• una fotografía verdadera;
• un personaje conocido;
• una noticia plausible;
• una imagen generada;
• una frase que nadie pronunció;
• y un titular diseñado para provocar indignación.

Es el equivalente digital al viejo bocadillo de mortadela: un poco de realidad arriba, otro poco abajo y, en medio, una buena loncha de mentira.

La anatomía del engaño

Este tipo de contenido suele construirse en varias fases.

1. El cebo emocional

Se eligen dos figuras con una enorme capacidad de atraer atención. En este caso, la principal figura política del país y una de las artistas españolas con mayor proyección internacional.

Después se añade el combustible:

“Escándalo nacional”.
“Enfrentamiento brutal”.
“Lo que ocurrió dejó paralizado al plató”.
“El vídeo que están intentando censurar”.

La finalidad del titular no es informar. Es impedir que pensemos.

Cuanto mayor es la emoción —ira, sorpresa, miedo, curiosidad o indignación— menor suele ser nuestra capacidad para detenernos y comprobar.

2. La trampa visual

La imagen sintética funciona como una falsa prueba.

Ya no leemos únicamente una afirmación: creemos estar viendo el acontecimiento. El cerebro interpreta la fotografía como evidencia y completa automáticamente el resto de la historia.

Además, muchas publicaciones colocan sobre la imagen símbolos que imitan el botón de reproducción de un vídeo. El usuario cree que va a ver una grabación, cuando en realidad está accediendo a otra página.

3. La monetización o el fraude

No todos los bulos persiguen exactamente el mismo objetivo.

Algunos buscan tráfico publicitario. Otros pretenden obtener datos, generar suscripciones, promocionar falsas inversiones, distribuir malware o conducir a páginas que imitan servicios legítimos.

Por eso no debemos pensar que compartir un bulo es únicamente “hacer el ridículo en WhatsApp”. El clic puede convertirse en la puerta de entrada a una estafa o a una vulneración corporativa.

No es un caso aislado: el catálogo del disparate crece

El falso debate entre Rosalía y Pedro Sánchez no es una rareza. Es una muestra de un sistema de manipulación que ya está perfectamente industrializado.

Aitana y los audios que nunca existieron

En diferentes ocasiones se difundieron vídeos de conciertos de Aitana en los que supuestamente se escuchaban insultos políticos o canciones de contenido ideológico.

Las imágenes eran reales, pero el audio había sido manipulado.

Este ejemplo es especialmente útil porque demuestra que no hace falta crear un vídeo completo con IA. Basta con modificar uno de sus componentes para transformar totalmente su significado.

Falsos apoyos políticos de artistas

Rosalía también ha sido utilizada para atribuirle falsos apoyos electorales y declaraciones políticas inexistentes.

La técnica siempre es similar: se aprovecha la credibilidad y la popularidad de una persona conocida para insertar un mensaje que nunca pronunció.

Imágenes falsas durante catástrofes

Durante incendios, guerras, inundaciones o episodios como la DANA, circulan imágenes antiguas, fotografías de otros países y contenidos generados artificialmente presentados como si fueran actuales.

En una emergencia, el impacto es todavía más grave: pueden provocar pánico, desviar recursos, alimentar teorías conspirativas o desacreditar las comunicaciones oficiales.

El falso CEO que ordena una transferencia

En el mundo corporativo, la situación deja de ser una anécdota y pasa directamente a la cuenta de resultados.

En Hong Kong, un empleado participó en una supuesta videoconferencia con varios directivos de su empresa. Reconoció sus caras, escuchó sus voces y recibió instrucciones para realizar diferentes transferencias.

Todos los participantes de la reunión eran recreaciones digitales.

El fraude acabó provocando transferencias por un importe superior a 25 millones de dólares.

En otro intento conocido, delincuentes suplantaron al máximo responsable de WPP mediante una cuenta falsa de WhatsApp, una clonación de voz y fragmentos de vídeo utilizados durante una reunión virtual. El engaño fue detectado a tiempo, pero demuestra hasta qué punto una instrucción aparentemente legítima puede construirse con materiales públicos.

La enseñanza es sencilla y brutal:

ver una cara conocida y escuchar una voz familiar ya no demuestra que estemos hablando con esa persona.

El verdadero problema no es tecnológico

La reacción más cómoda sería culpar a la inteligencia artificial.

Pero la IA solamente amplifica tres vulnerabilidades humanas que ya existían:

• confiamos en lo que confirma nuestras ideas;
• reaccionamos con demasiada rapidez;
• y damos más credibilidad a una imagen que a una comprobación.

La pregunta correcta, por tanto, no es únicamente:

“¿Cómo detectamos un deepfake?”

La pregunta realmente importante es:

“¿Cómo conseguimos que una persona verifique una información antes de actuar sobre ella?”

Y ahí aparece el aprendizaje.

No basta con decir a la gente que “tenga cuidado”

Ante estas amenazas, muchas organizaciones reaccionan con un mensaje genérico:

“Los empleados deben estar muy atentos”.

Es el equivalente corporativo a colocar un cartel que diga “No se caiga” junto a una escalera rota.

La atención no es una competencia permanente. Disminuye cuando hay presión, urgencia, cansancio, autoridad jerárquica o exceso de tareas.

Por eso las personas deben recibir formación concreta para reconocer patrones de manipulación:

• titulares excesivamente emocionales;
• ausencia de una fuente identificable;
• direcciones web extrañas;
• llamadas a actuar con urgencia;
• peticiones de secreto;
• cambios inesperados en los procedimientos;
• solicitudes de dinero, claves o datos personales;
• imágenes sin contexto;
• vídeos que solo aparecen en una cuenta desconocida;
• y mensajes que aseguran que “los medios no quieren que lo veas”.

La alfabetización frente a la desinformación ya no es una habilidad reservada a periodistas o expertos en ciberseguridad. Es una competencia profesional básica.

Un empleado que no sabe comprobar una fuente puede divulgar información falsa, comprometer la reputación de la empresa, entregar credenciales o ejecutar una orden fraudulenta.

El error de la formación tradicional

La respuesta habitual consiste en asignar un curso online de una hora con veinte pantallas, una voz artificial y una evaluación final en la que todas las respuestas correctas suelen ser la opción más larga.

Después, la organización registra que el empleado ha completado el curso y declara solemnemente que el riesgo está controlado.

Pero completar formación no equivale a estar preparado.

Si una persona cae hoy en una trampa y recibe el curso dentro de tres semanas, el momento de aprendizaje ya se ha perdido. El contexto emocional, la duda y la memoria del error habrán desaparecido.

En la era de la inteligencia artificial, la formación no puede limitarse a ser un evento. Debe convertirse en una práctica.

Debemos avanzar hacia el Learning in the Flow of Work, el aprendizaje integrado en el flujo de trabajo.

Formar en el momento de la decisión

La estrategia puede combinar distintas actuaciones.

Simulaciones realistas

Las organizaciones pueden lanzar campañas controladas de phishing, audios sintéticos, falsas reuniones virtuales o mensajes que simulan proceder de un responsable.

No para cazar empleados, sino para entrenar reflejos.

Feedback inmediato

Cuando una persona hace clic, responde o inicia una acción de riesgo, debe recibir una explicación breve en ese mismo instante:

• qué señal pasó por alto;
• qué comprobación debería haber realizado;
• qué canal alternativo debía utilizar;
• y cómo reportar el incidente.

No una clase magistral. No un SCORM de sesenta minutos. Una intervención de treinta o sesenta segundos vinculada al error real.

Repetición espaciada

Una sola simulación no cambia un hábito. Los retos deben repetirse, variar y aumentar progresivamente su dificultad.

Hoy puede ser un correo.
Mañana, una llamada.
Después, una videoconferencia falsa.
Más adelante, una orden urgente aparentemente enviada por un directivo.

Entrenamiento colectivo

La plantilla no debe actuar únicamente como posible víctima. También puede convertirse en una red distribuida de detección.

Cuando las personas cuentan con un botón sencillo para reportar contenidos sospechosos, la primera detección puede proteger al resto de la organización.

La mejor defensa no siempre será que nadie haga clic. Puede ser que alguien reporte la amenaza lo suficientemente rápido como para impedir que los demás caigan.

Una regla sencilla: PARAR

Las organizaciones deberían entrenar una secuencia fácil de recordar antes de ejecutar una acción sensible.

P — Pausa

La urgencia es una de las principales herramientas del manipulador. Detenerse unos segundos ya reduce el riesgo.

A — Analiza

¿La petición es normal? ¿Tiene sentido? ¿El dominio, el tono y el canal son los habituales?

R — Revisa la fuente

Buscar la noticia en medios fiables, acceder directamente a la web oficial o comprobar si existe una comunicación corporativa.

A — Autentica por otro canal

Una llamada directa, un mensaje nuevo al contacto habitual o una validación con otra persona pueden desmontar una suplantación.

R — Reporta

Cuando algo parece extraño, debe existir un procedimiento sencillo para ponerlo en conocimiento de seguridad, comunicación o del equipo correspondiente.

No se trata de convertir a toda la plantilla en peritos forenses. Se trata de instalar un reflejo: antes de creer, compartir o ejecutar, verificar.

De la penalización a la capacitación

Este cambio también obliga a revisar los indicadores.

Enfoque punitivo tradicional	Enfoque capacitador
Número de personas que han hecho clic	Velocidad con la que se detecta y reporta una amenaza
Porcentaje de errores individuales	Reducción de reincidencia después del feedback
Curso completado	Capacidad demostrada ante casos progresivamente más complejos
Ranking de empleados que fallan	Áreas, procesos y contextos con mayor vulnerabilidad
Penalización tras el error	Aprendizaje inmediato y mejora posterior
Ocultación del fallo por miedo	Cultura de reporte temprano y transparente

El indicador más valioso no es cuántas personas se equivocan en una primera simulación.

Es cuántas aprenden, cuánto tardan en reaccionar y si son capaces de proteger al resto de la organización.

Podemos llamarlo índice de inmunidad y resiliencia informacional: la capacidad colectiva para detectar, contrastar, reportar y neutralizar una manipulación antes de que produzca daño.

Un matiz importante: simular no garantiza aprender

También debemos evitar convertir las simulaciones en una nueva religión corporativa.

Enviar trampas cada semana y mostrar una pantalla roja con el mensaje “Has fallado” no constituye una estrategia de aprendizaje. Puede generar cansancio, miedo o sensación de vigilancia.

Una simulación solo es útil cuando:

• reproduce riesgos relevantes;
• ofrece feedback comprensible;
• permite practicar la conducta correcta;
• no humilla a quien se equivoca;
• mide la mejora a lo largo del tiempo;
• y se complementa con procedimientos organizativos claros.

La formación debe ir acompañada de doble validación para pagos, autenticación multifactor, límites de autorización, protocolos para operaciones urgentes y canales seguros de confirmación.

No podemos pedir al empleado que compense con atención todos los fallos del sistema.

La competencia que todas las empresas necesitan

Durante años hablamos de competencia digital como la capacidad para utilizar herramientas.

Ahora debemos ampliarla.

Ser digitalmente competente significa también saber desconfiar, verificar, contextualizar y decidir.

Significa entender que:

• una fotografía puede no documentar un hecho;
• una voz puede no pertenecer a quien parece;
• una videollamada puede no reunir a personas reales;
• una noticia viral puede ser una operación de tráfico;
• y una orden aparentemente legítima puede formar parte de una estafa.

Las empresas forman a sus profesionales para vender, negociar, analizar datos, dirigir equipos o atender clientes. También deben formarlos para no aceptar cualquier contenido como verdadero.

Porque la desinformación ya no vive únicamente en las redes sociales. Ha entrado en el correo, en Teams, en WhatsApp, en las reuniones virtuales y en el flujo diario del trabajo.

Conclusión: formar para dudar bien

El falso enfrentamiento entre Rosalía y Pedro Sánchez parece, a primera vista, una anécdota divertida.

No lo es.

Es una pequeña demostración de cómo se construye una realidad falsa utilizando personajes conocidos, imágenes plausibles, emociones intensas y nuestra impaciencia por hacer clic.

La solución no consiste en enseñar a desconfiar de todo. Una sociedad en la que nadie cree nada sería tan peligrosa como una sociedad que se lo cree todo.

La verdadera competencia consiste en dudar bien.

Dudar durante unos segundos.
Comprobar la fuente.
Buscar una segunda referencia.
Verificar por otro canal.
Y reportar cuando algo no encaja.

La inteligencia artificial ha democratizado la fabricación de falsedades. Ahora las organizaciones deben democratizar la capacidad para detectarlas.

Y eso no se consigue con un curso anual olvidado en el LMS.

Se consigue entrenando a las personas dentro de su realidad cotidiana, justo en el momento en que deben decidir si creer, compartir o actuar.

Apéndice práctico: simulador de ingeniería social

Para que los lectores puedan experimentar cómo funciona este tipo de entrenamiento, se propone un simulador interactivo con diferentes escenarios:

1. Una noticia viral con una imagen generada por IA.
2. Un mensaje urgente atribuido a un directivo.
3. Una nota de voz sintética solicitando información.
4. Una videollamada sospechosa sobre una operación confidencial.
5. Un enlace que imita una página corporativa.
6. Una publicación que mezcla una imagen real con un contexto falso.

En cada caso, el participante deberá decidir qué haría y recibirá feedback inmediato sobre las señales de alerta, los mecanismos de comprobación y el procedimiento correcto de reporte.

Porque frente a la desinformación no basta con conocer la teoría.

Hay que practicar el momento exacto en el que alguien intenta engañarnos.

 

Notas:

El supuesto enfrentamiento fue desmentido por Maldita.es el 5 de junio de 2026. La verificación señala que no existió el debate, que una imagen era sintética y que otra procedía de una entrevista de Rosalía realizada en 2020. También explica que no había rastro del supuesto acontecimiento en medios, agendas oficiales o redes más allá de la publicación engañosa.

Los ejemplos sobre Aitana proceden de verificaciones de Newtral, que documentó vídeos reales reutilizados con audios manipulados para atribuirle actuaciones o mensajes políticos inexistentes.

El caso corporativo de Hong Kong implicó una falsa videoconferencia con recreaciones de directivos y transferencias superiores a 25 millones de dólares. Reuters también destaca la necesidad de procedimientos de comprobación, formación y protocolos de seguridad adicionales.

El intento de suplantación del CEO de WPP combinó una cuenta falsa de WhatsApp, clonación de voz, vídeos públicos y una reunión virtual. El fraude fue detenido por la vigilancia de los empleados.

Una investigación con más de 14.000 empleados concluyó que la formación incrustada automáticamente después de una simulación no siempre aumenta la resistencia al phishing y puede producir efectos inesperados. En cambio, el reporte colectivo de correos sospechosos sí mostró valor como mecanismo de detección. Por eso en el artículo defiendo simulación, feedback, repetición, cultura de reporte y controles técnicos, no únicamente “más campañas de phishing”.