En la era digital, los datos y la infraestructura que los alberga ya no son solo activos económicos, son palancas de poder geopolítico. Las recientes acusaciones dentro del Reino Unido sobre una brecha en sistemas de transferencia de datos y la implicación de una empresa con control chino han puesto el foco en cómo la propiedad y el control de centros de datos pueden convertirse en vectores de riesgo para la seguridad nacional. Este artículo reúne lo que se sabe y lo que no está confirmado.

Resumen de lo conocido (lo confirmado y lo reclamado)

En octubre de 2025 el exasesor Dominic Cummings afirmó que China había obtenido “grandes cantidades” de información clasificada del Gobierno británico a través de una brecha en un sistema de transferencia de datos de Whitehall (en el lenguaje común se utiliza como sinónimo del propio Gobierno británico y de sus sistemas de comunicación internos); Cummings relacionó el incidente con la intervención de una empresa de propiedad china en infraestructura crítica. Estas alegaciones han reavivado el debate político y de seguridad.

MI5 ha advertido recientemente a parlamentarios sobre intentos de espionaje y campañas de influencia procedentes de China, Rusia e Irán, lo que sitúa el episodio en un contexto más amplio de amenazas híbridas. (noticia de euronews)

Importante: no existe una confirmación pública, que pruebe de forma indudable que “un centro de datos concreto fue comprado por China para espiar” y que explique, con evidencia pública, el recorrido exacto de la exfiltración.(robo o extracción no autorizada de información). Muchas declaraciones públicas mezclan riesgo de acceso, propiedad accionarial y casos de intrusión y conviene distinguirlas con rigor.

El ejemplo más citado: Global Switch 

Global Switch es un operador global de colocation con campus en Londres (Docklands) y en otras grandes ciudades. En 2016 hubo una inversión china significativa y en 2019 el grupo Jiangsu Shagang adquirió la participación restante que le convirtió en el mayor accionista/controlador. Eso generó alarma en gobiernos y clientes sensibles y provocó que algunos actores públicos reconsideraran su presencia física en esas instalaciones por motivos de seguridad. 

Aun así, la existencia de control accionarial por parte de inversores chinos creó riesgo y precaución, pero no equivale automáticamente a la prueba de intrusión ni al detalle de «qué datos se robaron y cómo». Esa distinción es crítica para un tratamiento responsable del tema. (noticia de data center dynamics)

¿Otras potencias hacen lo mismo?

El fenómeno no es exclusivo de China: existen ejemplos y capacidades de espionaje digital atribuibles o relacionadas con varias potencias.

China: además de compras/participaciones accionarias, investigaciones históricas (p. ej. GhostNet) han mostrado operaciones de ciberespionaje con infraestructura de comando y control ligada a servidores ubicados en China; filtraciones como la de Zhenhua Data (2020) evidencian proyectos de recopilación masiva de perfiles de personas en todo el mundo. Estos casos muestran tanto operaciones técnicas (malware, APTs) como actividades de inteligencia basadas en big data y OSINT. (noticia de ora)

Estados Unidos: firmas y operadores estadounidenses gestionan una parte muy relevante de la infraestructura global (servicios de nube, operadores de data centers, servicios de CDN y peering). El dominio técnico y el acceso operacional que tienen estas empresas sobre infraestructuras críticas otorga capacidades distintas y también riesgos en el plano de la influencia y, en escenarios extremos, de inteligencia. (noticia de nartv)

Rusia: su capacidad de ciberofensiva (campañas de espionaje, intrusiones dirigidas, operaciones de desinformación) está bien documentada en múltiples informes y avisos técnicos; su modus operandi ha sido históricamente el ciberataque directo y las operaciones encubiertas, más que adquisiciones corporativas internacionales de centros de datos. (noticia de euronews)

En suma: hay dos tipos de riesgos que conviene separar: 

ControControl físico/operacional de la infraestructura (propiedad, administración, personal de operación)
Capacidad ofensiva o cibernética (hackeo, APTs, campañas de phishing). Ambos pueden converger, pero requieren mitigaciones distintas.

Qué podrían haber accedido, posibles vectores y límites

Sistemas de transferencia interministerial o compartidos: si un servicio o integrador tiene acceso a rutas de datos entre ministerios y esas rutas no están adecuadamente segmentadas o cifradas, un actor que comprometa ese punto puede ver tráfico o archivos en tránsito. Eso fue exactamente la preocupación central de las afirmaciones que han trascendido en el Reino Unido.

Acceso físico y operación del colocation: si un operador controla la sala (racks, switches de capa física, PDU, KVM), tiene capacidades para manipular hardware o instalar sniffers en caso de intrusión interna. El simple control accionarial no implica intrusión, pero sí incide en el modelo de riesgo.

Sistemas de gestión y telemetría: plataformas de gestión remota (DCiM, BMS) o de mantenimiento remoto pueden ser vectores si no están segregadas correctamente.

Marco legal y de control (qué puede hacer un gobierno)

El Reino Unido cuenta con la National Security and Investment Act (NSIA) y un régimen de revisión de inversiones que permite al gobierno “call in” adquisiciones en sectores sensibles (incluyendo infraestructura digital), y recientemente ha habido actualizaciones y debates sobre su aplicación a data centres. Además, el gobierno ha ido avanzando en clasificar ciertos data centres como infraestructura crítica y en reforzar guías para notificaciones y revisiones. 

¿Cómo evitar que nuestros datos acaben en manos de otros?

Al final, más allá de leyes y siglas, la gran pregunta es sencilla: ¿cómo protegemos lo que más valor tiene para que no termine en manos equivocadas? Aquí van algunas claves:

1. Saber quién está detrás de la infraestructura
   Igual que no dejarías las llaves de tu casa a cualquiera, los países y empresas deben mirar muy bien quién es el dueño real de los centros de datos donde guardan su información. La transparencia en la propiedad es básica.

1. No poner todos los huevos en la misma cesta
   Si toda la información crítica se guarda en un único centro de datos o proveedor, el riesgo se dispara. La solución es sencilla de entender: dividir y repartir. Usar varios proveedores y distintas ubicaciones reduce las posibilidades de que un problema acabe en catástrofe.
2. Blindar la información desde el origen
   Imagina que tus datos son cartas confidenciales: aunque alguien interceptara el sobre, no podría leerlo si estuviera en un idioma secreto. Ese “idioma secreto” es el cifrado: convertir la información en algo ilegible salvo para el destinatario autorizado.
3. Auditorías y revisiones constantes
   No basta con confiar. Es como revisar que la cerradura de tu puerta siga funcionando. Revisiones periódicas, auditorías y pruebas de seguridad permiten detectar problemas antes de que los aproveche alguien de fuera.
4. Colaborar entre países y empresas
   La seguridad digital no se defiende en solitario. Igual que hay pactos militares o acuerdos de cooperación, también debe haber alianzas para compartir alertas y buenas prácticas sobre centros de datos y proveedores.
5. Formar y concienciar a las personas
   A veces el punto débil no son las máquinas, sino las personas que trabajan en ellas. Con formación y cultura de seguridad, se evita que un descuido o una manipulación social abra la puerta al espionaje

Las afirmaciones sobre una «compra de un data centre por China para espiar» han puesto de nuevo sobre la mesa una lección sencilla pero decisiva: riesgo no es igual a prueba, pero ambos merecen atención y mitigación urgente. El caso británico (las reclamaciones de Cummings, las advertencias de MI5) subraya vulnerabilidades en cómo se gestionan datos y proveedores; el ejemplo de Global Switch muestra que la propiedad y el control accionarial de operadores globales pueden generar decisiones políticas y migraciones de clientes por motivos de seguridad.

La respuesta no es prohibir la inversión extranjera per se, sino diseñar un marco mixto de reglas claras (legales), controles técnicos (arquitectura y cifrado), y gobernanza corporativa (contratos y auditoría) que impidan que la soberanía sobre la información sea meramente nominal. Adoptar listas de verificación, revisiones legales previas a transacciones, cláusulas contractuales fuertes y medidas técnicas como cifrado con claves del cliente y segmentación son pasos concretos y aplicables ya.