×
Tecnología

Todo es mentira: Europa quiere que confíes tu identidad a una app y luego te pregunte si pagaste el rescate del ransomware

Nuria Beltrán
Nuria Beltrán
20 de abril de 2026 · 5 min de lectura · 0 vistas
Todo es mentira: Europa quiere que confíes tu identidad a una app y luego te pregunte si pagaste el rescate del ransomware

La UE está creando la cartera digital más ambiciosa de la historia. También quiere que las empresas confiesen si pagaron rescates a hackers. El CEPD y el SEPD acaban de advertir: esto es peligroso. España ni siquiera ha…

# Todo es mentira: Europa quiere que confíes tu identidad a una app y luego te pregunte si pagaste el rescate del ransomware

La UE está creando la cartera digital más ambiciosa de la historia. También quiere que las empresas confiesen si pagaron rescates a hackers. El CEPD y el SEPD acaban de advertir: esto es peligroso. España ni siquiera ha empezado a transponer la ley.

España está de vacaciones legislativas.

Mientras tanto, en Bruselas, el Comité Europeo de Protección de Datos (CEPD) y el Supervisor Europeo de Protección de Datos (SEPD) acaban de publicar un dictamen conjunto. No es un borrador. Es una advertencia con pies de plomo. Sobre la Directiva NIS2, la norma que debería proteger la ciberseguridad de toda Europa. Sobre las Carteras de Identidad Digital Europea, que pronto llevarás en el móvil. Y sobre el ransomware, el secuestro digital que ya no es noticia porque ocurre cada dos segundos.

España no ha comenzado la tramitación parlamentaria para transponer esta directiva. Ni siquiera ha empezado. Mientras los demás avanzan, nosotros miramos. Y los que miran suelen ser los últimos en enterarse de que ya los hackearon.

El giro polémico: Tu identidad digital será crítica. Y críticamente vulnerable.

La propuesta de modificación de la NIS2 incluye a los proveedores de Carteras de Identidad Digital Europea entre las entidades críticas. Suena lógico. Si la cartera digital es tu DNI, tu permiso de conducir, tu tarjeta sanitaria y quizás tu dinero, protegerla es obvio.

Pero el CEPD y el SEPD señalan algo incómodo: quizás no sea la mejor idea meter esto en la NIS2 sin poder actualizarlo después. La tecnología evoluciona más rápido que la ley. Lo que hoy es una app segura, mañana es un agujero con interfaz bonita. Y si la directiva no permite revisiones ágiles, Europa estará protegiendo 2026 con normas de 2022.

"Quizás hubiera sido deseable que el anexo relativo a estas entidades esenciales pudiera, o tuviera que, ser revisado y actualizado".

Traducción: la UE está construyendo una catedral con ladrillos de barro. Y sabe que lloverá.

La gran mentira: "Si pagas el rescate, cuéntanoslo todo"

La parte más delicada del dictamen no es la identidad digital. Es el ransomware.

La propuesta de modificación obliga a las empresas atacadas a proporcionar información sobre si pagaron rescates, cuánto y a quién. El objetivo oficial: entender el fenómeno, perseguir a los delincuentes, proteger a otros.

El CEPD y el SEPD no están convencidos.

"Es importante tener en cuenta la probable naturaleza sensible de esta información, que debería facilitarse solo a los equipos de respuesta a incidentes (CSIRT) o, cuando proceda, a las autoridades competentes a petición de estas para fines concretos y mantenerse confidencial".

Traducción: si obligas a confesar el pago, estás creando un registro de vulnerabilidades. Un mapa de quién cede, cuánto cuesta, quién cobra. Esa información, si se filtra —y se filtrará— se convierte en catálogo de compras para el siguiente atacante.

Además: ¿qué empresa admitirá que pagó si sabe que eso quedará registrado? El efecto práctico no es transparencia. Es subregistro institucionalizado. Las empresas pagarán en secreto, no informarán, y el problema seguirá creciendo bajo la alfombra de los datos oficiales.

Escenarios futuros: Tres formas de perder tu identidad digital

1. La app que no era segura (probabilidad: 45%)

Europa lanza la Cartera de Identidad Digital. España la adopta con retraso, como siempre. La app funciona. Millones la descargan. Seis meses después, un grupo de hackers explota una vulnerabilidad en el proveedor de una región concreta. Acceden a DNI, historial médico, datos fiscales de 2 millones de personas. La UE responde con una directiva nueva. Tarda 18 meses. Los datos ya están en la dark web. Tu identidad se vende por 3 euros. El precio no es el insulto. El insulto es que no puedes cambiarla.

2. El chantaje institucional (probabilidad: 35%)

Las empresas empiezan a reportar pagos de rescate. La información se centraliza. Un año después, un ataque masivo a la agencia que almacena esos datos expone quién pagó, cuánto y cuándo. Los hackers usan esa lista para presionar a las mismas empresas de nuevo: "Pagaste una vez. Pagarás dos". El registro de transparencia se convierte en arma de doble filo. La UE cierra el programa. Las empresas vuelven al silencio. El ransomware gana.

3. La renuncia digital (probabilidad: 20%)

Un movimiento ciudadano rechaza la Cartera de Identidad Digital. No por paranoia, por experiencia. Demasiados hackeos, demasiadas filtraciones, demasiada burocracia que no protege. Vuelven al DNI físico, al papel, a la cola en la oficina. Los jóvenes los llaman boomers digitales. Los mayores los llaman listos. Dura hasta que el gobierno anuncia que ciertos servicios solo son digitales. La cartera deja de ser opción. Se convierte en requisito. Y tú, otra vez, sin alternativa.

La pregunta que no te dejará dormir

Si mañana la UE te obligara a llevar tu DNI, tu historial médico y tus cuentas bancarias en una app del móvil...

¿Confiarías más en la app, o en el hecho de que España todavía no ha empezado a escribir la ley que debería protegerla?