Camilo Cordova Marca

Integridad: cuando los datos mienten sin que nadie lo note

Una mañana de mitad de mes, en una organización mediana, un analista hizo una pregunta inocente sobre un reporte gerencial que llevaba años saliendo igual: “¿desde cuándo este indicador se calcula así?”. Nadie supo responder. El campo aparecía calculado de la misma forma en cada reporte mensual de los últimos dos años — pero al revisar el query original del sistema, el cálculo de origen era distinto. En algún momento, alguien con acceso de escritura había sustituido la fórmula automática por un valor escrito a mano “para que cuadrara” con otra fuente. Funcionó. Y funcionó tanto, durante tanto tiempo, que el ajuste manual terminó tomando vida propia.

Cuando el equipo intentó reconstruir cuándo había empezado el ajuste, no encontró log, no encontró ticket de cambio, no encontró aprobación. Encontró una fila en una hoja vieja con la frase “reproceso, hablar con J.”. Nadie recordaba a J. Lo que sí pudieron confirmar es que durante meses la dirección había tomado decisiones de negocio sobre cifras que parecían consistentes — y ya no eran las que el sistema producía originalmente.

La reacción interna no fue “nos hackearon”. Fue una pregunta mucho más incómoda: “¿desde cuándo viene esto?”. Y nadie podía responderla.

Lo que vi esa semana no fue un ataque a un sistema. Fue una organización tomando decisiones sobre datos que ya no eran ciertos — y nadie podía decir desde cuándo.

Ilustración del pilar de Integridad de la Tríada CIA — sello criptográfico que certifica registros inalterados en Seguridad de la Información
El sello criptográfico es la herramienta técnica que materializa el principio de Integridad sobre cualquier registro digital.

¿Qué es realmente la Integridad?

La Integridad de la información es el principio que garantiza que un dato sea completo, exacto y libre de modificaciones no autorizadas, desde el momento en que se genera hasta el momento en que alguien lo consume. No alcanza con que el dato exista. Lo que importa es que el dato que llega sea exactamente el que se generó.

Conviene separarla bien de los otros dos pilares de la tríada. Como vimos al hablar de Confidencialidad, los pilares de la CIA no operan aislados — un dato puede ser confidencial pero estar manipulado, y entonces la Confidencialidad protege algo que ya no vale. La Confidencialidad protege quién ve el dato. La Integridad protege que el dato siga siendo el dato. Y la Disponibilidad — el pilar al que dedicaremos el cuarto artículo de esta serie — asegura que el dato esté presente cuando se lo necesite. Integridad asegura algo distinto: que cuando aparezca, sea fiable.

Si ya leíste el panorama general de la Tríada CIA, tenés el contexto completo. Si no, basta con esta intuición de cierre: hay tres formas de romper la Integridad — alterar el dato a propósito, alterarlo por error, o repetir un error original tantas veces que termina pasando por verdad. Las tres ocurren todos los días en organizaciones donde nadie está atacando nada.

¿Por qué la Integridad es el pilar más silencioso?

Cuando se rompe la Confidencialidad, los titulares son: “filtraron datos de X clientes”. Cuando se rompe la Disponibilidad, hay caída: el sistema no responde, suena el teléfono, alguien escribe en el grupo. Cuando se rompe la Integridad, en cambio, no hay alarma. Los datos siguen ahí. Los reportes siguen generándose. Los procesos siguen funcionando. Solo que la información que circula ya no es la real, y nadie lo sabe.

Por eso la Integridad es el pilar más caro de detectar y más dañino acumulado. Una falla de Integridad sin atacante deja huellas mucho antes de ser descubierta — solo que las huellas se confunden con otra cosa. Tres síntomas se repiten en organizaciones donde la Integridad no se vigila:

  1. Las decisiones se vuelven cada vez más erráticas, porque los datos de base están corruptos sin que nadie lo sepa.
  2. Las conciliaciones contables empiezan a requerir “ajustes” con frecuencia creciente, y los ajustes se vuelven rutina en vez de excepción.
  3. El mismo reporte ejecutivo cambia de cifra cuando alguien “vuelve a correr el query” — cuando, por definición, debería dar exactamente el mismo número.

En entornos regulados — banca, salud, financiero, sectores públicos sensibles — una falla de Integridad rara vez termina en un titular. Termina en algo más caro: un hallazgo de auditoría. Y los hallazgos sí tienen costo regulatorio directo, porque cuestionan no un sistema sino la capacidad de la organización de demostrar lo que afirma.

La pregunta correcta, entonces, no es “¿nos hackearon?”. Es “¿podemos demostrar que lo que vemos hoy es lo que se generó originalmente?”. Si la respuesta requiere pensarlo, ya hay un problema.

Diagrama de las tres formas en que se rompe la Integridad de la información — alteración intencional, accidental y propagación de error
Las tres formas en que se rompe la Integridad — y solo una de las tres requiere mala intención.

7 escenarios donde la Integridad se rompe todos los días

  1. El cálculo manual sobre un dato de sistema. Alguien exporta un dato del ERP a Excel, hace un ajuste “para cuadrar” con otro reporte, y reenvía la versión ajustada como si fuera la oficial. La cifra original se pierde silenciosamente.
  2. La copia que se vuelve maestra. Un archivo se reenvía por correo. Alguien edita su copia local. Esa copia, por la cadena de reenvíos, suplanta al maestro original sin que ningún sistema declare un cambio formal.
  3. El campo “calculado” que dejó de ser calculado. Una columna que originalmente venía de una fórmula automática se convirtió en valor fijo después de un copy/paste como valores. Funciona idéntica durante años — hasta que cambian las condiciones del negocio y el resultado deja de cuadrar.
  4. La importación silenciosa. Una integración cargó mal los datos por un cambio de formato no documentado: separador decimal, encoding, fecha en formato distinto. El sistema acepta la carga porque no falla. Solo está mal.
  5. La tabla sin trazabilidad. Alguien con permiso de escritura modifica un registro sin dejar rastro de quién, cuándo y qué cambió. El registro deja de reflejar la operación original — y nadie tiene cómo darse cuenta.
  6. La alteración aprobada por excepción. Un proceso que originalmente requería tres firmas se relaja “por urgencia” una vez. La excepción se vuelve regla. Los registros operados bajo la regla flexible ya no son comparables con los anteriores, y la trazabilidad se rompe en silencio.
  7. La degradación silenciosa de medios. Backups antiguos en cintas o discos que ya no devuelven el contenido original al restaurarse, sin que nadie haya verificado que las copias siguen siendo legibles.

Si trabajás en una organización con más de cien personas, probablemente reconocés al menos cuatro de estos siete escenarios. Eso no significa que algo esté roto: significa que la Integridad no se mantiene sola. Hay que vigilarla con controles concretos.

¿Cómo proteger la Integridad de verdad?

Cinco prácticas mueven la aguja. Ninguna es nueva — todas son conocidas — y por eso mismo conviene revisarlas con honestidad: el problema rara vez es no saberlas, sino no aplicarlas con rigor.

Hashing y firmas digitales

El control técnico más directo: aplicar funciones de hash modernas (SHA-256 o superiores, según las funciones hash recomendadas por NIST) sobre cualquier registro o archivo crítico. Si el hash cambia, el contenido cambió. Sin excepciones. Para registros que requieren prueba de origen y de no-alteración, la firma digital con par de claves es el siguiente paso — y es el mismo principio criptográfico sobre el que se apoya C2PA, el estándar de procedencia de contenido digital al que dedicaremos un artículo aplicado antes de cerrar la tríada con Disponibilidad.

Trazabilidad y registro inalterable de cambios

Cualquier sistema que custodie datos críticos debe registrar quién, cuándo y qué modificó cada registro. Sin ese log, reconstruir la verdad histórica es imposible. Y los logs, ellos mismos, deben ser append-only: imposibles de editar retroactivamente. Si el log se puede borrar o cambiar, no es un audit trail — es ficción documentada. La OWASP ASVS — requisitos de logging es un punto de partida sólido para definir qué eventos se deben registrar y cómo protegerlos.

Separación de funciones

Quien crea un dato no debe ser quien lo aprueba. Quien aprueba no debe ser quien lo audita. Sin esta separación, una sola persona puede manipular un registro sin que ningún control cruzado la detecte. Es un principio viejo, casi aburrido — y por eso mismo el primero que se relaja “porque somos pocos” o “porque hay urgencia”. La urgencia pasa. El registro alterado, no.

Validación en el origen y en la frontera

Validar tipo, rango y consistencia en el momento de la captura del dato — en la aplicación, en la base, en cada integración. La regla operativa es simple: detectar el dato corrupto en el primer punto donde aparece, no después de que recorrió tres sistemas y se convirtió en input de un cuarto.

Verificación periódica de integridad

Reconciliaciones automáticas entre fuentes que deberían cuadrar. Reverificación de hashes sobre archivos críticos — políticas vigentes, contratos firmados, evidencia digital. Y, sobre todo, test restore periódico de los backups: no alcanza con tener la copia, hay que probar que el dato vuelve íntegro. La cantidad de organizaciones que descubren que su backup está corrupto el día que lo necesitan es, todavía hoy, asombrosa.

Cómo cruza con ISO 27001:2022

Cuatro controles del Anexo A aplican de forma directa al pilar de Integridad. Los textos entrecomillados que siguen son traducción al español del original en inglés de ISO/IEC 27001:2022, Anexo A. La norma es deliberadamente concisa — y por eso conviene leerla despacio:

  • A.5.33 — Protección de registros. “Los registros deben protegerse contra la pérdida, la destrucción, la falsificación, el acceso no autorizado y la divulgación no autorizada.” Es el cruce más directo del Anexo A con la Integridad: la palabra clave es falsificación. Implica esquemas de retención, no-alteración y trazabilidad de cualquier registro relevante.
  • A.8.24 — Uso de criptografía. “Deben definirse e implementarse reglas para el uso eficaz de la criptografía, incluida la gestión de claves criptográficas.” La materialización técnica de la Integridad pasa por hashing y firmas digitales — pero sin una política formal que defina qué algoritmos se usan, dónde se guardan las claves y cómo se rotan, esas firmas son ornamentales.
  • A.8.13 — Copia de seguridad de la información. “Deben mantenerse y probarse regularmente copias de seguridad de la información, el software y los sistemas, de acuerdo con la política específica acordada sobre copias de seguridad.” La norma incorpora el “probarse regularmente” en el texto literal del control: el test restore no es una buena práctica añadida — es parte del control.
  • A.8.32 — Gestión del cambio. “Los cambios en las instalaciones de procesamiento de información y los sistemas de información deben estar sujetos a procedimientos de gestión del cambio.” Sin gestión del cambio, la Integridad queda confiada al voluntarismo de quien tenga el acceso esa semana.

Una recomendación operativa que conviene a la mayoría de los SGSI vigentes en LATAM: incorporar una sección explícita de controles de Integridad de la información al inventario de activos del SGSI. La Confidencialidad suele estar bien cubierta — clasificación de datos, control de accesos, cifrado en tránsito. La Integridad, en cambio, queda implícita: se asume que los datos no se alteran porque “nadie los toca”. Esa suposición es exactamente la que el primer escenario de la lista de arriba destruye en silencio.

La analogía del odómetro

Toda moto usada que se compra trae una promesa: el número que figura en el odómetro. Si el dato es real, el comprador sabe qué le va a fallar primero, cuánto rendimiento le queda al motor y cuánto vale la moto. Si el dato fue manipulado — alguien retrocedió el kilometraje — la moto sigue arrancando, sigue acelerando, sigue pareciendo nueva. Funciona igual. Solo que el comprador está pagando precio de moto recorrida poco por una moto recorrida mucho.

Odómetro analógico de motocicleta como analogía de la Integridad de los datos en Seguridad de la Información
Si el odómetro miente, la moto sigue funcionando igual — solo que ya no es la moto que el comprador cree que está comprando.

Eso es exactamente Integridad. El dato sigue ahí, el sistema sigue respondiendo, el reporte sigue saliendo — pero ya no es lo que dice ser. Y a diferencia de un robo, donde sabés que te robaron, una falla de Integridad puede vivir años sin ser detectada. Es por eso que los manuales de servicio sellados por concesionario son tan valiosos: no son burocracia, son la única firma que prueba que cada cambio se hizo y se registró en su momento. Sin ese sello, el odómetro es una opinión.

En la próxima entrega de la serie veremos cómo ese mismo principio — el “sello firmado” — está cambiando para siempre la forma en que se demuestra que un contenido digital es lo que dice ser.

Integridad para cualquier mesa de decisión ejecutiva

Si la lectura ejecutiva de la Confidencialidad es “no quiero ser el próximo titular”, la lectura ejecutiva de la Integridad es más incómoda: “no quiero descubrir que tomamos decisiones sobre datos que no eran ciertos”. El riesgo se materializa en tres frentes concretos:

  • Riesgo regulatorio. Los hallazgos de auditoría sobre integridad de registros generan observaciones formales en organismos de control de banca, salud y financiero. En sectores regulados, una falla de Integridad invalida reportería oficial — con costo directo y a veces sanción.
  • Riesgo operativo. Las decisiones tomadas sobre datos corruptos cuestan dinero real, y el costo no aparece en una factura: aparece en márgenes que se erosionan, presupuestos que no cuadran y proyectos que no rinden lo prometido.
  • Riesgo reputacional y contractual. Contratos firmados con terceros, evidencia digital en disputas legales, cumplimiento de SLAs — todo se apoya en la Integridad de los registros que los sustentan. Si la Integridad no se puede demostrar, el contrato es opinión.

La pregunta disparadora para cualquier mesa de decisión es esta: “si mañana auditoría externa pide demostrar que un registro no fue alterado en los últimos doce meses, ¿con qué evidencia respondemos?”. La respuesta — y la velocidad con que se da — define qué tan en serio toma la organización su propio pilar más silencioso.

Checklist rápido — Integridad en tu organización

  • ☐ ¿Existe una política formal de Integridad de la información, separada de la de Confidencialidad?
  • ☐ ¿Los registros críticos cuentan con un audit trail append-only que registra quién, cuándo y qué se modificó?
  • ☐ ¿Se aplican firmas digitales o hashing a contratos, evidencia digital y políticas vigentes?
  • ☐ ¿Hay separación de funciones efectiva entre quien crea, aprueba y audita los registros críticos?
  • ☐ ¿Se realiza test restore periódico de backups — no alcanza con respaldar, hay que probar que el dato vuelve íntegro?
  • ☐ ¿Las integraciones entre sistemas validan integridad en cada punto de transferencia?
  • ☐ ¿Existe gestión del cambio formal (A.8.32) sobre los sistemas que custodian datos críticos?
  • ☐ ¿La organización puede demostrar criptográficamente que un registro de hace doce meses no fue alterado?

Si más de dos de estas casillas quedan vacías, la Integridad de tu organización vive más de la suposición que del control.

Conclusión

La organización del caso del principio nunca llegó a saber con certeza desde cuándo vivía con el indicador alterado. Reconstruyó hacia atrás lo que pudo, ajustó controles, montó un audit trail formal, separó funciones. Pero la pregunta original — “¿desde cuándo dice esto?” — quedó sin respuesta exacta. Y esa es, en el fondo, la marca de toda falla de Integridad descubierta tarde: no podés terminar de medir el daño porque no podés terminar de fechar el origen.

La Integridad no avisa cuando se rompe. Por eso es el pilar que más cuesta proteger — y el que más cuesta no proteger. Los datos siguen ahí. Los reportes siguen saliendo. Solo que un día alguien hace una pregunta simple — “¿desde cuándo dice esto?” — y la organización descubre que no tiene cómo responder.

En la siguiente entrega de la serie veremos un caso muy concreto donde el principio de Integridad acaba de convertirse en estándar global silencioso: por qué LinkedIn empezó a mostrar un ícono que nadie le pidió, y qué dice eso sobre la nueva forma de demostrar que un contenido es lo que dice ser.

Vive libre, vive seguro.

#ViveLibreViveSeguro

Desarrollado por
Las cookies necesarias habilitan funciones esenciales del sitio como inicios de sesión seguros y ajustes de preferencias de consentimiento. No almacenan datos personales.
Ninguno
Las cookies funcionales apoyan funciones como compartir contenido en redes sociales, recopilar comentarios y habilitar herramientas de terceros.
Ninguno
Las cookies analíticas rastrean interacciones de visitantes, proporcionando información sobre métricas como cantidad de visitantes, tasa de rebote y fuentes de tráfico.
Ninguno
Las cookies de publicidad entregan anuncios personalizados basados en tus visitas previas y analizan la efectividad de campañas publicitarias.
Ninguno
Desarrollado por