Seguridad de una sala de datos virtual: qué es y cómo se verifica
En esta página
- ¿Por qué se habla de “capas” y no de una función?
- ¿Qué certificaciones debería tener una sala de datos?
- ¿Cuánto cuesta en realidad una seguridad débil?
- ¿Cómo protege el cifrado los archivos?
- ¿Necesitas cifrado de conocimiento cero?
- ¿Qué controles de acceso evitan las fugas?
- ¿Cómo demuestra el registro de auditoría quién vio qué?
- ¿Cómo se audita una sala antes de subir archivos?
- ¿Qué leyes de datos se aplican al contenido de la sala?
- ¿Cuáles son los errores más comunes?
- La lista de verificación completa, en una pasada
La seguridad de una sala de datos virtual es el conjunto de controles por capas que mantiene los documentos de una operación legibles solo para quien tú autorizas, con prueba de quién hizo qué y con la posibilidad de cortar el acceso en cualquier momento. Esa es la definición corta.
El resto de esta guía la desarma capa por capa. Y, sobre todo, te enseña a comprobar que cada una es real antes de confiarle un solo archivo sensible.
La distinción importa. Una carpeta compartida cualquiera guarda los mismos PDF.
Lo que no puede hacer es nombrar a quién abrió el estado financiero a medianoche, evitar que un postor descargue y reenvíe una copia, o expulsar de un clic a la parte que se retiró de la mesa.
La seguridad no es una función más que la sala trae por añadidura. Es la razón entera por la que la categoría existe.
¿Por qué se habla de “capas” y no de una función?
Porque cada capa responde a una pregunta distinta y falla por su cuenta. Verlas separadas es lo que evita que confíes en una sala que se ve robusta pero tiene un hueco.
El cifrado responde a una cosa: ¿qué pasa si alguien intercepta o roba los datos? Los permisos responden a otra: ¿qué puede hacer esta persona una vez dentro? Las marcas de agua y el registro cubren la tercera: si algo se filtra, ¿podemos rastrearlo y probarlo?
La certificación responde a la pregunta que hay debajo de todas. ¿Por qué creerle a las tres anteriores?
Una sala puede anunciar una lista larga de funciones y seguir siendo frágil si una capa falta. O, mucho más común, si está presente pero mal configurada. La guía sobre funciones de las salas de datos explicadas recorre cada mecanismo por dentro; aquí el objetivo es distinto, es enseñarte a confirmar que son ciertos.
Lee el diagrama de abajo hacia arriba. La certificación está en la base porque es la única capa que un tercero puso a prueba.
Todo lo que se apoya encima es una afirmación hasta que un auditor la revisa: el cifrado, el modelo de acceso, la trazabilidad, el cumplimiento. Por eso una evaluación seria no empieza por la función más vistosa, sino por el documento menos glamoroso del proceso, el informe de certificación.
¿Qué certificaciones debería tener una sala de datos?
Las dos que esperan los compradores exigentes y sus asesores legales son SOC 2 e ISO 27001. La diferencia entre un eslogan y un control real es un certificado vigente y dentro de alcance.
Así que la pregunta útil no es “¿el proveedor dice ser seguro?”. Es “¿me puede mostrar un informe fechado que cubra el producto que voy a usar?”.
SOC 2 es una atestación frente a los Trust Services Criteria del AICPA, firmada por una firma de contadores independiente, que cubre la seguridad, la disponibilidad y la confidencialidad de un servicio. ISO 27001 es la norma internacional para un sistema de gestión de seguridad de la información, certificada por un organismo acreditado según la especificación que mantiene ISO.
Ninguna es un logo que se compra a un equipo de marketing. El glosario define SOC 2 e ISO 27001 por separado, y la guía de certificaciones explicadas traduce el resto del alfabeto.
La tabla siguiente es tu conjunto de referencia. Por cada fila la disciplina es la misma: pide el documento, confirma que el alcance cubre tu producto y revisa la fecha, porque las certificaciones caducan y los alcances suelen excluir justo el módulo del que dependes.
Certificaciones de seguridad de salas de datos: qué demuestra cada una
| Certificación | Qué demuestra | Emitida o atestada por | Qué verificar |
|---|---|---|---|
| SOC 2 Tipo II | Los controles operaron de forma efectiva durante un periodo, no solo en un instante | Firma independiente de contadores, según criterios del AICPA | Que sea Tipo II y no Tipo I; informe de los últimos 12 meses |
| ISO 27001 | Hay un sistema de gestión de seguridad certificado y en funcionamiento | Organismo de certificación acreditado | Que el alcance cubra el producto de sala de datos y siga vigente |
| ISO 27017 / 27018 | Controles específicos de la nube y de datos personales alojados en la nube | Organismo de certificación acreditado | Relevante si manejas datos personales en la nube |
| Preparación para HIPAA | Salvaguardas para información de salud, más un acuerdo firmado | Autoatestación del proveedor más BAA | Un Business Associate Agreement firmado, no solo una afirmación |
| Alineación con GDPR / LGPD | Tratamiento y transferencia lícitos de datos personales regulados | Proveedor, respaldado por un DPA y un mecanismo de transferencia | Un acuerdo de tratamiento de datos y opciones de residencia |
Un tropiezo típico es tratar “SOC 2” como una insignia de sí o no. El informe Tipo I solo describe los controles tal como estaban diseñados en un momento puntual. El Tipo II comprueba que de verdad operaron durante meses.
Para una operación en marcha, el que cuenta es el Tipo II. Si un proveedor solo te muestra el Tipo I, no lo descartes de golpe, pero anótalo como pregunta abierta, y una pregunta abierta en la capa de certificación basta para bajarlo en tu lista.
¿Cuánto cuesta en realidad una seguridad débil?
Este es el número que conviene poner arriba de la hoja de evaluación, donde lo vea el comité que aprueba el presupuesto. Explica por qué la certificación existe y por qué “se ve seguro” no equivale a “está auditado”.
La cifra de 4,88 millones de USD sale del Cost of a Data Breach Report anual de IBM, el índice más citado sobre la economía de las filtraciones. Tómala como el telón de fondo de cada punto de esta guía. Cada control que confirmas está comprando de vuelta una porción de esa exposición.
Ahora traslada eso a un caso regional. Imagina una fintech en Bogotá cerrando una ronda Serie B, con tres fondos revisando el mismo cuadro de capitalización.
Si un archivo con proyecciones sin publicar llega al fondo equivocado, el daño no es la factura de limpieza. Es un inversionista que entra a la siguiente negociación sabiendo tu punto más débil, y una valuación que ya no se recupera. En un proceso competitivo, el coste estratégico de una fuga empequeñece incluso esa media.
¿Cómo protege el cifrado los archivos?
El cifrado vuelve ilegibles los archivos para quien no tenga la clave, tanto mientras viajan por la red como mientras reposan en disco. Es la capa que casi todos dan por hecha y pocos interrogan de verdad.
Los dos puntos de control son el cifrado en tránsito, casi siempre TLS, que protege los archivos que se mueven entre el navegador y el servidor, y el cifrado en reposo, habitualmente AES-256, que protege la copia guardada.
AES es el cifrado por bloques que el NIST de Estados Unidos estandarizó en FIPS 197, y las claves de 256 bits son hoy la expectativa para datos confidenciales. Todo proveedor serio hace ambas cosas. Si uno no puede confirmarte TLS en tránsito y AES-256 en reposo, la conversación termina ahí.
El cifrado es el mínimo de entrada, no un diferenciador. Da por hecho que cualquier proveedor serio cifra en los dos estados y dedica tu diligencia a lo que sí varía: quién guarda las claves, quién puede ver el texto en claro y qué tan rápido puedes revocar.
Las preguntas que de verdad separan a un proveedor de otro viven un nivel más abajo, en la gestión de claves. ¿Quién tiene las claves? ¿Se rotan, y cada cuánto? ¿El personal del proveedor puede leer contenido sin cifrar?
Una sala en la que los empleados del proveedor pueden abrir tus archivos está en otra categoría de riesgo que una con separación estricta de claves. La única forma de saber cuál compras es preguntarlo con esas palabras y anotar la respuesta.
¿Necesitas cifrado de conocimiento cero?
Para la mayoría de las operaciones, no. Pero conviene entender a qué renuncias cuando lo dejas fuera, porque la respuesta depende de cuán existenciales sean tus datos.
El cifrado de conocimiento cero organiza las claves de modo que ni el propio personal del proveedor, ni nadie que comprometa al proveedor, pueda leer tu texto en claro. Saca por completo a los empleados del proveedor de tu modelo de amenazas.
La contrapartida es operativa. Funciones del lado del servidor como la búsqueda de texto completo, la vista previa en el navegador y ciertos flujos de recuperación se vuelven difíciles o imposibles cuando la plataforma de verdad no puede ver el contenido.
Para una ronda de inversión o una compraventa habitual, AES-256 en reposo con una gestión de claves disciplinada y un modelo de acceso ajustado alcanza, y las funciones de conveniencia suelen ganar.
Recurre al conocimiento cero, o a las claves gestionadas por el cliente, cuando los datos sean realmente irremplazables, como resultados clínicos sin publicar, código fuente propietario o contratos con el Estado, y cuando tus asesores exijan que el proveedor sea técnicamente incapaz de responder a un requerimiento de un tercero. Decide esto antes de armar tu lista corta, porque estrecha el campo de golpe y suele empujarte hacia planes superiores.
¿Qué controles de acceso evitan las fugas?
Aquí es donde se ganan o se pierden la mayoría de las filtraciones reales. El riesgo mayor casi nunca es un cifrado roto. Es un archivo que llega a la persona equivocada por un permiso demasiado amplio, una captura de pantalla reenviada o una cuenta que nadie apagó.
Piensa en las cuatro cosas que salen mal y en qué frena cada una. La autenticación multifactor convierte una contraseña robada en un callejón sin salida, pero no hace nada contra un postor autorizado que fotografía la pantalla.
Las marcas de agua dinámicas disuaden esa foto al estampar la identidad del usuario sobre cada página, pero no revocan el acceso cuando una parte se retira. La vista de solo lectura sin descarga impide que un documento salga como archivo, pero no sirve si un permiso quedó demasiado abierto.
Los permisos granulares corrigen ese alcance, y la revocación instantánea se ocupa del postor que se fue pero conserva una invitación viva.
La matriz siguiente asigna cada control a la amenaza que en realidad mitiga, para que veas por qué “todos a la vez” es la única respuesta correcta y no una lista de la que se elige.
Controles de acceso frente a la amenaza que mitiga cada uno
| Control | Credenciales robadas | Fuga interna o de postor | Acceso demasiado amplio | Acceso tras la salida |
|---|---|---|---|---|
| Permisos granulares por documento | No | Yes | Yes | Parcial |
| Marcas de agua dinámicas | No | Yes | No | No |
| Solo lectura / sin descarga | No | Yes | Yes | No |
| Autenticación multifactor | Yes | No | No | No |
| Revocación instantánea / borrado remoto | No | Disuade | No | Yes |
| Límites por IP / horario | Yes | Parcial | Yes | Yes |
Ninguna fila alcanza por sí sola. Ese es el argumento entero a favor de una sala diseñada para el propósito frente a una unidad compartida.
Cada control tapa una brecha distinta, y cada brecha es una que un accidente o un atacante usará si la dejas abierta. Si quieres las definiciones control por control, la guía sobre marcas de agua dinámicas y vista con valla explica cómo se comportan el sello de identidad y la pixelación en la práctica.
¿Cómo demuestra el registro de auditoría quién vio qué?
El registro de auditoría es el control que convierte “creemos que estuvo seguro” en “podemos mostrar exactamente qué pasó”.
Una sala seria anota cada visualización, descarga, impresión y cambio de permisos contra un usuario con nombre, una marca de tiempo y, en el mejor caso, una dirección IP, y conserva ese registro mucho después de cerrar la operación. Ese registro es en lo que se apoya un vendedor si más tarde una contraparte discute qué se divulgó.
La profundidad varía más de lo que los proveedores admiten, así que verifica tres cosas a mano en vez de confiar en la ficha técnica.
Primero, la granularidad: ¿el registro capta las visualizaciones página por página y el tiempo dentro del documento, o solo el dato romo de que “se abrió el archivo”? Segundo, la integridad: ¿un administrador puede editar o borrar entradas en silencio, y el registro se puede exportar a un formato a prueba de manipulaciones para el expediente? Tercero, la utilidad: un mapa de calor que muestra qué postor estudió qué anexo es, por sí solo, una señal de diligencia, y suele revelar qué comprador va en serio semanas antes de que lleguen las ofertas.
La guía de registros de auditoría explicados profundiza en cada punto. La regla práctica es directa: un registro que nunca abriste es una suposición, no un control.
¿Cómo se audita una sala antes de subir archivos?
Verificar la seguridad es un proceso repetible, no una corazonada. Ninguna de las capas anteriores sirve si un control existe en el producto pero nunca se activó para tu sala, y ese es justo el modo de falla que produce la mayoría de las filtraciones.
Los pasos siguientes lo convierten en un orden de operaciones que ejecutas con una cuenta desechable, antes de que cualquier revisor real entre.
Cómo auditar la seguridad de una sala de datos virtual antes de subir archivos
Una pasada de verificación previa a la subida que confirma que cada control está presente y bien configurado.
Estimated time: 2h
-
Pide los informes de certificación
Solicita el informe SOC 2 Tipo II vigente y el certificado ISO 27001, y confirma que el alcance cubre el producto exacto y que las fechas siguen al día.
-
Confirma la base de cifrado
Verifica TLS en tránsito y AES-256 en reposo, y pregunta quién tiene las claves y si el personal del proveedor puede acceder al texto en claro.
-
Diseña los permisos antes que las personas
Crea grupos (postores, legal, internos) y fija los derechos a nivel de carpeta sobre el grupo, de modo que nadie se edite a mano y la herencia sea deliberada.
-
Activa los elementos disuasorios
Habilita marcas de agua dinámicas, vista de solo lectura y, donde se ofrezca, descarga deshabilitada en las carpetas sensibles antes de enviar cualquier invitación externa.
-
Exige autenticación fuerte
Obliga a autenticación multifactor a cada usuario externo, y suma restricciones por IP u horario para los grupos más sensibles.
-
Prueba el registro y la revocación
Invita a una cuenta de prueba, haz visualizaciones y descargas, confirma que cada acción aparece en el registro, luego revoca la cuenta y verifica que el acceso desaparece al instante.
El último paso es el que la gente omite y luego lamenta. Un registro que nunca leíste y un botón de revocar que nunca oprimiste son suposiciones disfrazadas de controles.
Hacer este ensayo con una cuenta desechable toma una tarde y es el seguro más barato del proceso entero. La mayoría de los proveedores ofrece una prueba gratuita que lo hace posible sin compromiso, y cuando lleguen los revisores reales nada sorprenderá a nadie, que es exactamente como debe sentirse una sala bien montada.
¿Qué leyes de datos se aplican al contenido de la sala?
Las leyes siguen a los datos, no a la dirección fiscal de tu empresa. Lo que aplica depende de a quién pertenece la información que está dentro de la sala, y en América Latina eso casi siempre significa más de un régimen a la vez.
Si los archivos contienen datos personales de personas en Brasil, aplica la LGPD, supervisada por la ANPD, con exigencias de medidas de seguridad y de una base legal para el tratamiento. Si hay datos de personas en México, entra la LFPDPPP, la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, con sus principios de consentimiento y su aviso de privacidad.
Si en la operación hay datos personales de la Unión Europea, por ejemplo un fondo europeo entre los inversionistas o empleados en la UE, aplica el GDPR, cuyo Artículo 32 nombra el cifrado entre las “medidas técnicas y organizativas apropiadas”. Y si hay información de salud bajo alcance de una entidad estadounidense, la Security Rule de HIPAA rige las salvaguardas y exige un acuerdo firmado, no una promesa vaga de “preparación para HIPAA”.
De ahí salen tres puntos concretos de verificación. Un acuerdo de tratamiento de datos firmado con el proveedor. Una base lícita para cualquier transferencia transfronteriza, algo frecuente cuando un asesor en Santiago revisa documentos alojados en un servidor de otro país. Y opciones de residencia de datos para fijar los archivos a una región concreta en lugar de dejarlos donde caiga la configuración por defecto.
Esa región predeterminada rara vez es la correcta para datos personales regulados, así que confírmala contra el lugar donde de verdad viven los titulares. Las guías sobre el GDPR y las salas de datos virtuales y la residencia de datos cubren los mecanismos de transferencia por completo.
¿Cuáles son los errores más comunes?
En la práctica, la mayoría de las fugas son fallos de configuración y de proceso, no de criptografía rota. El patrón se repite: la plataforma era capaz, pero se dejó un control apagado, un permiso quedó demasiado ancho o una cuenta nunca se revocó.
Conocer los modos de falla de antemano es media defensa.
Disciplina de seguridad: qué hacen las salas fuertes y qué se saltan las débiles
Pros
- Permisos fijados sobre grupos y carpetas, con la herencia comprobada antes de cualquier invitación
- Marcas de agua y solo lectura activadas por defecto en las carpetas sensibles
- Autenticación multifactor obligatoria para toda parte externa
- Acceso revisado y cuentas obsoletas revocadas en cada etapa de la operación
- Registro de auditoría de verdad monitoreado, no solo disponible
Cons
- Derechos editados persona por persona, de modo que un error expone una rama entera
- Descarga dejada activa en archivos que solo necesitaban lectura
- Un postor que se retiró y sigue con acceso vivo semanas después
- SOC 2 Tipo I aceptado en lugar del Tipo II, o un informe fuera de alcance
- Precio elegido antes que el alcance de seguridad, y luego el plan necesario cuesta más
El último punto pesa tanto en lo comercial como en lo técnico. Los controles que necesita una operación regulada, como las claves gestionadas por el cliente o los límites de acceso avanzados, suelen vivir en los planes superiores, así que los requisitos de seguridad deberían decidir el plan y no al revés.
Las guías sobre cuánto cuesta una sala de datos virtual y los modelos de precios explicados muestran dónde suelen situarse esos controles por nivel. Cuando basta con una configuración ágil y centrada en la seguridad, opciones como Ellty merecen entrar en la lista corta junto a los nombres empresariales, y puedes contrastar los detalles en la página de precios en lugar de en medio de esta prosa.
La lista de verificación completa, en una pasada
Quita la explicación y toda la diligencia se reduce a una sola pasada por cinco capas. Si cada punto de abajo tiene una respuesta verificada antes de subir archivos, la sala es tan segura como su configuración permite, y la configuración es la única seguridad que cuenta.
- Certificación: informe SOC 2 Tipo II dentro de alcance y vigente; certificado ISO 27001 al día; normas adicionales (27017/27018, BAA de HIPAA) donde los datos lo exijan.
- Cifrado: TLS en tránsito; AES-256 en reposo; una respuesta clara sobre la gestión de claves, el acceso del personal al texto en claro y si hay conocimiento cero o claves gestionadas por el cliente para las carpetas que lo requieran.
- Control de acceso: permisos granulares por carpeta sobre grupos; marcas de agua dinámicas; solo lectura y sin descarga donde haga falta; MFA para todo usuario externo; límites por IP u horario en los grupos más sensibles.
- Trazabilidad: un registro de auditoría completo y monitoreado de cada visualización, descarga e impresión; registros exportables y a prueba de manipulaciones; revocación instantánea y, en lo posible, borrado remoto.
- Cumplimiento: un DPA firmado; una base lícita para la transferencia transfronteriza; residencia de datos fijada a la región correcta según LGPD, LFPDPPP o GDPR; un BAA de HIPAA si hay datos de salud.
- Proceso: permisos diseñados antes de invitar personas; un ensayo previo a la subida con una cuenta de prueba; acceso revisado y cuentas obsoletas revocadas en cada etapa.
La mejor forma de poner a prueba la lista es contrastarla con un tipo de operación concreto. Una ronda de inversión comparte menos y se mueve rápido; una compraventa entre un grupo industrial mexicano y un fondo, con compradores regulados de por medio, ejercita cada punto de aquí.
El resumen de las mejores salas de datos para fusiones y adquisiciones y las reseñas individuales de proveedores muestran cómo puntúan las plataformas reales frente a esta lista en lugar de frente a su propio marketing.
Frequently asked questions
¿Una sala de datos virtual es de verdad más segura que Google Drive o Dropbox?
Sí, para operaciones confidenciales. El intercambio de archivos de consumo está pensado para la comodidad y carece de permisos por documento, marcas de agua dinámicas, vista de solo lectura y un registro de auditoría completo, y sus certificaciones rara vez igualan a las de una sala diseñada para el propósito. La diferencia se nota justo cuando necesitas probar quién vio un archivo o cortar el acceso al instante.
¿Cuál es la capa de seguridad más importante?
La certificación independiente, en concreto un informe SOC 2 Tipo II vigente e ISO 27001. Es el único punto que confirma que las demás capas fueron comprobadas por un auditor externo en vez de simplemente prometidas por el proveedor. Sin ella, el resto de la lista de funciones es marketing sin auditar.
¿Qué diferencia hay entre SOC 2 Tipo I y Tipo II?
El Tipo I describe si los controles están bien diseñados en un instante puntual, mientras que el Tipo II comprueba si esos controles operaron de forma efectiva durante un periodo, normalmente varios meses. Para una transacción en marcha, insiste en el Tipo II, porque es la prueba de que los controles funcionan en la práctica y no solo en el papel.
¿El cifrado por sí solo hace segura una sala?
No. El cifrado protege los datos frente a la interceptación y el robo, pero no hace nada contra un usuario autorizado que reenvía una captura, un permiso demasiado amplio o una cuenta que nunca se revocó. La seguridad es la combinación de cifrado, permisos granulares, marcas de agua, autenticación y registro trabajando juntos.
¿Qué ley de datos aplica si mi operación cruza varios países de la región?
Aplica la ley del lugar donde viven los titulares de los datos, no la de tu sede, y a menudo aplican varias a la vez: la LGPD para datos de Brasil, la LFPDPPP para México, el GDPR si hay datos de la Unión Europea. Por eso importan un DPA firmado, una base lícita para la transferencia transfronteriza y la posibilidad de fijar la residencia de datos a la región correcta.
Cierra con la idea con la que empezamos. La seguridad es la parte de la decisión sobre una sala de datos más fácil de dar por sentada y más cara de equivocar.
Trabaja la lista como respuestas verificadas en lugar de como garantías del proveedor, deja que los controles que una operación concreta necesita decidan el plan y no al revés, y recuerda que cualquier precio que reúnas por el camino es indicativo, así que confirma la cifra actual en USD directamente con el proveedor.
La sala que te deja dormir tranquilo es la que auditaste antes de confiar en ella, no la que solo se veía bien.