Datos de salud de europeos vendidos a una empresa de EE. UU. operada por exagentes de inteligencia israelíes

 (ftm.eu)
2 puntos por GN⁺ 2025-12-15 | 1 comentarios | Compartir por WhatsApp
  • Zivver, una empresa neerlandesa de seguridad de datos, fue adquirida por la estadounidense Kiteworks, lo que deja datos sensibles de salud y administrativos de ciudadanos europeos bajo el control de una empresa de EE. UU.
  • Gran parte de la cúpula directiva de Kiteworks proviene de unidades de inteligencia militar israelí, y su CEO, Jonathan Yaron, también sirvió en una unidad cibernética especializada del ejército israelí
  • Zivver es un servicio usado por hospitales, tribunales y autoridades migratorias de la UE y el Reino Unido para enviar documentos confidenciales; aunque ofrece cifrado, una investigación confirmó que la empresa puede acceder al contenido de los documentos desde dentro
  • Expertos en ciberseguridad e inteligencia advirtieron que esta adquisición debió haberse bloqueado de antemano o sometido a un escrutinio estricto
  • Se plantean serias preocupaciones sobre soberanía y seguridad de los datos, dado que información sensible de europeos pasó al ámbito de influencia de la legislación estadounidense y de redes de inteligencia israelíes

Adquisición de Zivver y transferencia de datos

  • Kiteworks adquirió Zivver en junio de 2025, y el CEO Yaron lo describió como “un momento de orgullo para todos”
    • Señaló que, con esta adquisición, “se alcanzó un hito importante en la misión de proteger datos sensibles en todos los canales de comunicación”
  • Sin embargo, este acuerdo hizo que la información personal de ciudadanos de Europa y del Reino Unido quedara en manos de una empresa estadounidense
    • Zivver es un servicio clave de mensajería segura usado en Países Bajos, Alemania, Bélgica y el Reino Unido por hospitales, aseguradoras, organismos públicos y autoridades migratorias
  • Según el artículo, incluso los documentos cifrados de Zivver pueden ser consultados por la propia empresa

Antecedentes de la dirección de Kiteworks

  • Muchos de los principales ejecutivos de Kiteworks provienen de las Fuerzas de Defensa de Israel, en particular de unidades de inteligencia militar
    • Incluido el CEO Jonathan Yaron, varios ejecutivos trabajaron en unidades especializadas en descifrado de comunicaciones cifradas e interceptación
  • Esta composición del equipo directivo deja en evidencia sus vínculos con los servicios de inteligencia israelíes

Preocupaciones de los expertos

  • Especialistas en ciberseguridad e inteligencia señalaron que esta adquisición debió haberse bloqueado de antemano o revisado a fondo
  • Los datos procesados por Zivver se consideran información de alto valor para organizaciones criminales o servicios de inteligencia extranjeros
  • Tras la adquisición, esos datos pasaron a estar sujetos a las leyes de vigilancia de Estados Unidos y bajo la administración de una empresa vinculada a los servicios de inteligencia israelíes

Método de investigación

  • Follow the Money investigó el proceso de adquisición de Zivver y los antecedentes de la dirección de Kiteworks
    • Verificó los hechos mediante entrevistas con expertos en inteligencia y ciberseguridad
  • Este reportaje forma parte de la serie ‘The EU Files’ sobre la soberanía de los datos dentro de la UE

Implicaciones en Europa

  • Quedó expuesto el riesgo de que infraestructuras de comunicación segura usadas por organismos públicos europeos queden conectadas a redes de inteligencia extranjeras
  • Como un caso que materializa el choque entre la regulación de protección de datos y la seguridad nacional, podría convertirse en un tema central del debate sobre soberanía digital en la UE

Lecturas relacionadas

1 comentarios

 
GN⁺ 2025-12-15
Opiniones en Hacker News

  • Parece que el artículo menciona a la Unit 8200 porque el CEO de la empresa tecnológica estadounidense proviene de una unidad cibernética de élite del ejército israelí
    Me parece un enfoque algo extraño presentar esa unidad como si fuera simplemente la opción de usar computadoras en vez de rifles. Creo que al artículo le falta más contexto

    • La Unit 8200 no es solo una unidad de ciberseguridad, sino que se encarga de la recolección y análisis de inteligencia de señales
      Si Jack Ryan fuera israelí, habría estado en esta unidad en vez de la CIA
      También realiza tareas de análisis como la selección de objetivos, y eso está bien explicado en un artículo de 972mag
    • En realidad no es una especie de “exención”. Toda la población es reclutada, y las unidades se asignan según las capacidades de cada quien
      Si tuvieras talento, seguramente preferirías entrar a una unidad así antes que patrullar Gaza
    • Servir en la 8200 al final también forma parte del servicio militar obligatorio

  • Hace tiempo conviví con uno de los primeros ingenieros de Zivver (desarrollador Scala), así que conozco un poco el tema
    La idea central era el cifrado de extremo a extremo, así que la organización adquirente no debería poder ver directamente los datos de los clientes
    Durante la pandemia tuvo mucho éxito en los Países Bajos cuando se volvió obligatorio enviar reportes digitales
    Pero esta adquisición actual podría afectar negativamente el debate sobre la soberanía digital de Países Bajos

    • Me pregunto si el cifrado también incluye los metadatos. Por ejemplo, quisiera saber si protege información como quién le envió algo a quién

  • Aunque sea un servicio con base en la UE, si lo compra una empresa extranjera existe el riesgo de que los datos sensibles queden expuestos a otra jurisdicción. Es bastante preocupante

  • Me pregunto si hay alguna forma de rechazar esto (opt-out). Dudo que la Comisión Europea haya firmado un contrato general sin consultar a la ciudadanía

  • Desde Google, las big tech de EE. UU. han seguido bajando la línea base de la privacidad
    Al final normalizaron la idea de que “la privacidad no existe” para beneficio del capital
    En Europa sí hay servicios alternativos, pero si la ciudadanía no los elige de forma consciente, habrá efectos secundarios

    • Hay que recordar que los datos de HN también se comparten y licencian con startups de Y Combinator
      Aunque borres tu cuenta, los datos no desaparecen por completo. Ese tipo de cosas no se informa claramente al registrarte
    • La mayoría de la gente ha usado servicios de Google gratis durante décadas, pero se enfurece cuando aparece un modelo de pago
      Esa obsesión con el “internet gratis” terminó creando una pesadilla de privacidad
      A menos que Europa cree servicios públicos financiados con impuestos, tipo EuroTube o EuroGram, en la práctica es difícil tener alternativas
    • Apple lo ha hecho bastante bien como defensor de la privacidad, y aun así muchas veces recibe críticas por el estándar de los cables o por temas de UI
      Es curioso ese doble rasero en el que odiar a ciertas empresas parece estar “de moda”
    • Los gobiernos de la UE ya no solo fallan en la aplicación del GDPR, sino que además están obligando a la ciudadanía a entregar datos personales a empresas estadounidenses
      Existen alternativas de pago como Proton, pero la mayoría de la gente prefiere servicios gratuitos
      A menos que los gobiernos construyan directamente un “canal soberano”, la dependencia de FANG solo se va a profundizar
      Puede parecer un poco más barato ahora, pero al final es una estructura destinada al desastre
    • En particular, la aplicación laxa del GDPR en Irlanda terminó perjudicando sobre todo a las empresas europeas, con casi ninguna mejora real en privacidad
      Aun así, usar el derecho de acceso del interesado (subject access request) fue una experiencia interesante

  • Esta página del artículo obliga a crear una cuenta
    Si eliminas la clase "quickSubscribe" en el HTML, puedes hacer scroll gratis

    • O más fácil todavía: buscar un enlace de archivo en los comentarios

  • En resumen, una empresa de datos de salud de la UE cifra documentos mediante un portal web operado por ex especialistas militares en criptografía
    Pero esa estructura al final podría quedar sujeta a la legislación estadounidense, y técnicamente podría existir acceso al momento de subir los archivos
    Cuestionar su fiabilidad solo por ser de origen israelí parece un enfoque excesivo

    • En el fondo, este tipo de modelo puede romperse en seguridad solo con alterar el código del navegador
      A mí también me molestó que personal médico me enviara correspondencia por este servicio sin mi consentimiento
    • Que el título del artículo destaque “Israel” parece una provocación intencional. Da la impresión de que el autor buscaba clics

  • Antes recibía con frecuencia mensajes de Zivver de instituciones médicas, pero desde el anuncio de la adquisición no me ha llegado ni uno solo

  • Nunca he visto Zivver en el sistema de salud alemán
    Alemania ya está adoptando para uso médico mensajería basada en Matrix y correo S/MIME
    Más bien fue más problemático que el exministro de Salud intentara entregar datos médicos a OpenAI y otros
    Para eso, véase el artículo de Heise

    • A largo plazo, parece que será imposible hacer opt-out completo del historial clínico electrónico
      Por eso es importante elegir políticos que entiendan el ‘Neuland’ de la era digital y tengan criterio técnico
    • Aunque por fuera parezca que no usan Zivver, dentro de las aseguradoras podría estar usándose en el backend, como Office 365 o SAP
      Porque el usuario no puede saber qué software interno se utiliza realmente