Compartir investigación sin exponer datos
Investigación, congresos y colaboración internacional: compartir conocimiento sin perder el control
Viajar a un congreso, preparar una comunicación, abrir una carpeta compartida con otro grupo de investigación o subir código a un repositorio son gestos habituales en la vida académica. También son momentos en los que conviene detenerse un minuto: no todo lo que se comparte está listo para salir de nuestro entorno de trabajo.
En investigación, una filtración no siempre tiene forma de gran incidente. Puede ser una versión preliminar enviada al destinatario equivocado, un conjunto de datos con información sensible, una credencial guardada en un fichero de configuración, un portátil perdido durante un viaje o permisos demasiado amplios en una carpeta de proyecto.
La idea no es frenar la colaboración. Al contrario: cuanto mejor se prepara la información antes de viajar, publicar o compartir, más fácil resulta colaborar con confianza, cumplir compromisos con terceros y proteger el valor del trabajo realizado.
Qué significan las siglas y por qué importan en investigación
En este tema aparecen varias abreviaturas que conviene traducir a decisiones prácticas.
IP Aquí se usa como propiedad intelectual: resultados, métodos, diseños, código, documentación, prototipos, bases de datos, modelos, materiales docentes o ideas todavía no publicadas que tienen valor académico, científico, económico o reputacional.
NCSC significa National Cyber Security Centre, el Centro Nacional de Ciberseguridad del Reino Unido. NPSA significa National Protective Security Authority, la autoridad británica de seguridad protectora. Ambas entidades mantienen materiales de “Trusted Research”, una línea de orientación para proteger investigación sensible, propiedad intelectual y colaboración internacional frente a robo, uso indebido o explotación.
Git es un sistema para controlar versiones de código o documentos técnicos. Un repositorio Git es el espacio donde se guarda el historial de cambios de un proyecto. Sirve para colaborar, revisar contribuciones y recuperar versiones anteriores. El riesgo aparece cuando contiene claves, datos, resultados no publicados o permisos abiertos más allá del equipo que realmente los necesita.
BYOD significa Bring Your Own Device, es decir, usar un dispositivo personal para tareas de trabajo o investigación. Puede ser cómodo, pero requiere separar bien cuentas, ficheros y accesos.
MTTR, en este contexto, puede entenderse como el tiempo medio de revocación o recuperación: cuánto se tarda desde que se detecta que un acceso debe retirarse hasta que queda retirado o controlado.
Qué es este riesgo y por qué importa
La investigación combina tres elementos muy valiosos: conocimiento especializado, datos y relaciones de confianza. Antes de una publicación, una patente, una tesis, una transferencia o una comunicación en un congreso, los resultados pueden estar en una fase especialmente sensible. Todavía no son públicos, pero ya circulan entre equipos, colaboradores, revisores, plataformas, nubes, portátiles y servicios externos.
El problema no es solo “que alguien vea un fichero”. Una fuga puede afectar a la prioridad científica, a la confidencialidad de acuerdos con terceros, a la protección de datos personales, a la reputación del grupo, a la continuidad de una convocatoria o a la confianza de entidades financiadoras y colaboradoras.
En la Universidad Pontificia Comillas, este riesgo puede aparecer en proyectos de investigación, movilidad internacional, estancias, laboratorios compartidos, comités, bibliotecas, gestión de convocatorias, tutorías de trabajos, repositorios de software, documentos compartidos y comunicaciones por correo institucional. A menudo no hay mala intención: hay prisa, plazos, viajes, cambios de última hora y muchas personas intentando avanzar a la vez.
Hay señales que merecen atención, aunque una sola no confirma que haya un problema. Por ejemplo: una invitación inesperada para compartir resultados “cuanto antes”, una solicitud de acceso a todo el repositorio cuando bastaría una carpeta, un colaborador que pide datos completos para hacer una prueba pequeña, avisos de inicio de sesión desde ubicaciones no habituales, cambios de permisos que nadie recuerda haber aprobado o un portátil que empieza a pedir credenciales de nuevo después de conectarse a una red desconocida.
También conviene mirar con calma los correos sobre congresos, revisiones, becas, pagos, viajes o cambios de plataforma. Los atacantes aprovechan contextos reales: fechas límite, aceptación de ponencias, reservas, facturas, certificados, visados o intercambio de documentación. La señal no está solo en un enlace raro; puede estar en la urgencia, en la presión para saltarse un procedimiento o en la petición de usar una cuenta personal para “ir más rápido”.
El límite es importante: colaborar implica compartir. No todo intercambio es sospechoso. La clave está en comprobar si la persona, el canal, el volumen de información y los permisos son proporcionales a la finalidad.
Qué ocurre por dentro cuando compartimos demasiado
Cuando se comparte una carpeta, un repositorio o un dataset, no se entrega solo “un fichero”. Se abren permisos. Un permiso de lectura permite ver o descargar. Un permiso de edición permite modificar, borrar o añadir contenido. Un permiso de administración puede permitir invitar a otras personas, cambiar la visibilidad o alterar reglas del proyecto.
Las sesiones también importan. Una sesión es una conexión ya autenticada en un servicio. Si alguien obtiene acceso a una sesión activa, puede que no necesite conocer la contraseña en ese momento. Por eso es recomendable cerrar sesiones en dispositivos compartidos, revisar accesos activos y avisar pronto si un portátil, móvil o cuenta se pierde o queda fuera de control.
Las autorizaciones entre servicios son otro punto delicado. A veces una aplicación externa pide permiso para acceder al correo, al calendario, a documentos o a repositorios. Puede ser legítimo, pero debe revisarse. Autorizar de forma automática puede dejar abierta una puerta que nadie recuerda meses después.
Qué está en juego en la Universidad
En un proyecto de investigación puede haber resultados prepublicación, borradores de artículos, actas de reuniones, datos de entrevistas, expedientes asociados a prácticas o movilidad, información de tutorías, documentación de convocatorias, presupuestos, contratos, materiales de biblioteca, comunicaciones con entidades colaboradoras, código de laboratorio, modelos, diseños experimentales y documentos compartidos con terceros.
También puede haber datos personales. No siempre son evidentes: una tabla seudonimizada, grabaciones, transcripciones, respuestas a encuestas, metadatos de documentos, información de ubicación en imágenes o identificadores internos pueden permitir reconocer personas si se combinan con otros datos. La minimización ayuda: compartir solo lo necesario, durante el tiempo necesario y con quienes lo necesitan.
La propiedad intelectual no se limita a una patente. Puede estar en una metodología, una base de datos cuidadosamente construida, una herramienta de análisis, un protocolo de laboratorio, una propuesta competitiva o un repositorio con meses de trabajo. Perder el control antes de publicar puede afectar tanto al equipo investigador como a la Universidad y a sus socios.
Cómo ayuda el STIC
El STIC puede orientar cuando hay dudas sobre accesos, dispositivos, correos sospechosos, pérdida de equipos, exposición accidental de información, configuración de permisos o recuperación de una cuenta. También puede ayudar a contener el impacto, revisar señales disponibles, recomendar medidas proporcionadas y coordinarse con otras áreas cuando proceda.
No hace falta esperar a tener todas las pruebas. En seguridad, avisar pronto permite acotar mejor el alcance: qué cuenta, qué dispositivo, qué carpeta, qué repositorio, qué datos y qué terceros pueden estar afectados. La información útil no es una explicación perfecta, sino una descripción clara de lo observado y cuándo ocurrió.
Al preparar viajes, congresos o colaboraciones internacionales, pedir orientación antes de mover datos sensibles suele ser más sencillo que reconstruir después qué se compartió, con quién y desde dónde.
Lo que ha cambiado en 2025 y 2026
La colaboración internacional se ha vuelto más rápida y distribuida. Hay más plataformas, más repositorios, más servicios en la nube, más reuniones híbridas y más presión para compartir avances de forma inmediata. El NCSC publicó su página de recursos para investigación e innovación el 5 de febrero de 2025 y la revisó el 9 de febrero de 2026, con materiales específicos para academia, viajes, congresos, espacios compartidos y colaboración internacional.
IA generativa es el uso de sistemas capaces de crear texto, código, imágenes o resúmenes a partir de instrucciones. Puede ahorrar tiempo, pero no debe recibir datos sensibles, resultados no publicados o información personal si no existe una base clara para hacerlo. Infostealer es un tipo de malware diseñado para robar credenciales, cookies de sesión u otros secretos guardados en el equipo. Robo de sesión significa que alguien intenta aprovechar una sesión ya iniciada. MFA fatigue es el cansancio ante avisos repetidos de autenticación, que puede llevar a aprobar uno por error. Deepfake es contenido de audio, imagen o vídeo manipulado para suplantar a alguien. QR malicioso es un código QR que dirige a una página preparada para engañar o recoger credenciales.
Qué hacer si ya ha pasado
Si crees que se ha compartido información por error, que un repositorio ha quedado expuesto, que un portátil se ha perdido o que una cuenta puede estar comprometida, deja de interactuar con el mensaje, servicio o dispositivo afectado en cuanto sea posible. No sigas probando enlaces ni descargando ficheros para “confirmar” la sospecha.
No borres evidencias útiles si puedes evitarlo: correos, fechas, capturas no sensibles, nombres de carpetas, destinatarios, avisos de inicio de sesión o cambios de permisos pueden ayudar a reconstruir lo ocurrido. Si procede cambiar la contraseña, hazlo desde un acceso legítimo y de confianza, no desde un enlace recibido por correo o mensajería.
Avisa pronto, aunque dé vergüenza o parezca un fallo pequeño. En investigación, unas horas pueden marcar la diferencia para revocar accesos, cerrar sesiones, retirar permisos, contener una exposición o avisar a las personas adecuadas. Retrasar el aviso por miedo suele aumentar el impacto.
Canal de ayuda/reporte: Jira
Privacidad y trato respetuoso
Gestionar un incidente de datos de investigación debe hacerse con proporcionalidad, confidencialidad y respeto. No todas las situaciones tienen la misma gravedad, y no todas requieren las mismas medidas. Lo importante es entender qué información estaba afectada, quién podía acceder, durante cuánto tiempo y qué acciones reducen mejor el impacto.
La cultura de seguridad funciona mejor cuando permite preguntar pronto y reconocer errores sin miedo. En un entorno universitario, proteger la investigación también significa cuidar a las personas: estudiantes, participantes en estudios, equipos docentes, personal de gestión, socios externos y grupos investigadores.
El objetivo no es bloquear la colaboración internacional, sino hacerla más segura, trazable y sostenible. Compartir bien es parte del trabajo investigador.
Investigar con confianza también es preparar bien lo que compartimos
La investigación avanza cuando se comparte conocimiento, pero no todo debe compartirse igual ni en el mismo momento. Antes de viajar, presentar, subir código o abrir una carpeta, conviene parar, revisar qué información hay, quién necesita acceso y qué protección corresponde.
Las siglas ayudan poco si no se traducen a hábitos: IP es valor académico que puede perderse, MFA protege cuentas, Git conserva historia y permisos, VPN protege conexiones autorizadas, BYOD exige separación y MTTR recuerda que revocar accesos a tiempo reduce impacto.
Ante la duda, verifica el canal, minimiza datos, limita permisos y pide ayuda pronto. Colaborar con seguridad no es desconfiar: es cuidar el trabajo propio y el de quienes investigan contigo.
Compartir mejor es proteger mejor.
