RADAR: Evaluación de riesgos en la infraestructura de espacios de datos

Financiado por: UCLM y Fondo Europeo de Desarrollo Regional (FEDER)

Resumen: Este proyecto tiene como objetivo desarrollar una metodología avanzada para el análisis y la gestión de riesgos de ciberseguridad en espacio de datos, un modelo cada vez más relevante en la construcción de la economía digital europea. Estos entornos permiten que múltiples organizaciones compartan datos manteniendo el control sobre ellos, preservando la autonomía organizativa, la privacidad de la información y el cumplimiento normativo, tal como exige la Estrategia Europea del Dato. No obstante, esta arquitectura distribuida plantea nuevos retos de ciberseguridad que no pueden abordarse mediante enfoques tradicionales diseñados para sistemas centralizados. La metodología que se propone abordará específicamente los riesgos asociados a la autonomía de los nodos, la interoperabilidad semántica, la heterogeneidad tecnológica, la distribución geográfica y las diferencias regulatorias entre entidades. Para ello, se establecerá un proceso sistemático que permita identificar, clasificar, priorizar y mitigar los riesgos, definiendo al mismo tiempo un modelo de gobernanza colaborativa, respetuoso con la independencia de cada participante y alineado con las exigencias legales vigentes (como el RGPD o la Data Governance Act). La metodología se apoyará en el desarrollo de cuatro componentes tecnológicos clave. El primero será una ontología de riesgos, que representará formalmente activos, amenazas, vulnerabilidades, controles y normativas. Esta ontología facilitará la interoperabilidad semántica entre entidades y permitirá automatizar parcialmente el análisis de riesgos, aumentando su eficiencia y precisión. El segundo componente consistirá en una ontología de vulnerabilidades y patrones de ataque, construida a partir de la integración de estándares ampliamente reconocidos como CVE, CWE, CPE, CAPEC y ATT&CK. Esta ontología permitirá relacionar activos y servicios con vulnerabilidades conocidas, facilitará la simulación de ataques y apoyará la definición de contramedidas adaptadas a cada entorno. El tercer componente será un módulo de automatización basado en Modelos de Lenguaje de Gran Escala (LLMs), entrenado para asistir en tareas como el mapeo entre vulnerabilidades y activos, la recomendación de controles y la clasificación de amenazas. Se prestará especial atención al uso seguro y ético de estos modelos, minimizando riesgos como respuestas alucinadas, sesgos o fugas de información. El cuarto componente será una metodología extendida de desarrollo de IA ética y confiable, basada en la ampliación de CRISP-DM con principios como explicabilidad, legalidad y beneficencia. Este marco permitirá que los sistemas de análisis de riesgos desarrollados sean no solo técnicamente efectivos, sino también socialmente responsables, especialmente en dominios sensibles como la sanidad o la administración pública. El proyecto será validado en un entorno de espacios de datos compartidos, adaptado a plataformas como GAIA-X o IDS, y probado mediante un caso de uso colaborativo, en el que los datos estarán repartidos entre múltiples entidades independientes. Se evaluará su efectividad en términos de seguridad, privacidad, equidad, trazabilidad e interoperabilidad, asegurando que las soluciones puedan ser aplicadas en escenarios reales con un alto grado de confianza. En conjunto, el proyecto RADAR contribuirá significativamente al fortalecimiento de la ciberseguridad, la resiliencia digital y la confianza en los espacios de datos, impulsando un modelo de compartición de datos seguro, ético y sostenible en línea con las prioridades estratégicas europeas.