Ámbitos de la seguridad en la investigación

Movilidad del personal investigador

Movilidad del personal investigador

La movilidad del personal investigador —ya sea de entrada o salida— es una de las formas más visibles y valoradas de cooperación científica. Para la persona que se mueve, supone acceso a nuevas técnicas, grupos y redes; para la institución que acoge, es una oportunidad de incorporar talento y reforzar sus capacidades. En España, una parte importante de la carrera investigadora se construye precisamente encadenando estas experiencias de movilidad, tanto dentro de Europa como con terceros países.  

Sin embargo, desde la perspectiva de seguridad en la investigación, la movilidad implica algo más que gestionar visados o trámites administrativos. Cada estancia prolongada, cada invitación y cada flujo de personal extranjero hacia laboratorios y grupos de investigación implica inevitablemente exposición de conocimiento, acceso a infraestructuras y generación de relaciones de confianza.  

Si no se consideran aspectos de seguridad, esta movilidad puede convertirse en una vía silenciosa de transferencia del conocimiento, así como en un espacio donde se ejerzan presiones o intentos de captación de talento con fines que van más allá de la cooperación científica legítima.  

La movilidad del personal investigador tiene dos perspectivas complementarias: cuando una institución española recibe personal investigador extranjero, y cuando su propio personal se desplaza a entidades en el extranjero. En ambos casos, el objetivo no es restringir la movilidad, sino asegurar que se desarrolla de forma informada, proporcionada y alineada con la protección de proyectos, datos y capacidades estratégicas. 

Este apartado se centra en cómo incorporar la dimensión de seguridad en la gestión de la movilidad de forma proporcionada: qué tener según seas investigador, institución o financiador, y cómo seguir moviéndose sin dejar desprotegido tu trabajo ni el de tu entorno.  

1. Recepción de personal investigador 

Cuando una universidad, organismo público de investigación o centro tecnológico en España recibe a personal investigador extranjero —ya sea para una estancia corta, una plaza postdoctoral, una cotutela de tesis o una colaboración puntual—, abre las puertas de sus laboratorios, sus datos y sus dinámicas internas a alguien que, por definición, trae consigo otra afiliación institucional y otro contexto jurídico y geopolítico. Desde el punto de vista académico, esto es positivo ya que permite que el conocimiento circule y que los grupos en España se conecten mejor con las fronteras internacionales de su disciplina. Pero desde la seguridad en la investigación, también implica que esa persona puede tener acceso a técnicas avanzadas, información sobre proyectos en marcha o infraestructuras singulares que pueden ser de interés para terceros. 

En este contexto, la institución anfitriona tiene la responsabilidad de preguntarse no solo si la persona encaja científicamente, sino también qué nivel de acceso es proporcionado, qué información necesita realmente para desarrollar su trabajo y qué salvaguardas mínimas deberían estar presentes (por ejemplo, acuerdos de confidencialidad, limitación de accesos físicos y digitales, registro claro de la estancia y sus objetivos). Para los equipos de investigación que reciben a estas personas, esto se traduce en pequeños cambios de práctica: pensar antes de dar acceso "por defecto" a todo el laboratorio, explicar claramente qué se puede compartir y qué no, y saber a quién acudir si durante la estancia surge alguna preocupación. Para financiadores, la recepción de personal extranjero puede requerir, en algunos casos, condiciones adicionales en ayudas o proyectos cuando se trata de áreas especialmente sensibles. 

Señales de alerta  

El principal riesgo es que el personal visitante obtenga información o capacidades más allá de lo necesario para su trabajo. Algunas señas de alerta son:  

  • El visitante pide amplio acceso a múltiples laboratorios sin justificación clara.
  • Repetidamente, hace preguntas muy detalladas sobre otros proyectos.
  • Muestra interés desproporcionado en infraestructuras o equipamiento científico.
  • Intenta acceder a sistemas o carpetas compartidas sin autorización previa.
  • La institución de origen tiene vínculos poco transparentes con gobiernos, empresas militares o entidades sancionadas.  

Aspectos a valorar  

Cuando una institución española acoge a personal investigador extranjero, el núcleo del riesgo está en que esa persona pasa a tener visibilidad sobre cómo funciona la casa por dentro: qué proyectos se están desarrollando, qué equipos o infraestructuras existen, qué datos se manejan y qué capacidades técnicas se dominan. Esto no significa que todo visitante sea problemático, sino que conviene evitar dar por hecho que “cuanto más acceso, mejor”, y pasar a un enfoque más deliberado: acceso en función de lo que realmente se necesita para cumplir los objetivos de su estancia. 

A la hora de valorar los requisitos de seguridad necesarios al recibir personal de investigación, tanto la institución como el grupo investigador deberían hacerse tres preguntas:  

  • ¿Qué necesita ver y a qué necesita acceder esta persona para hacer bien su trabajo?
  • ¿Qué información, espacios y sistemas deberían quedar fuera de su alcance porque añaden riesgos y no son estrictamente necesarios?
  • ¿Quién, dentro de la institución, se hace responsable de autorizar y revisar ese nivel de acceso?  

Buenas prácticas 

  • La estancia tiene objetivos científicos definidos por escrito.
  • Se ha valorado si el grupo, los proyectos implicados o las infraestructuras asociadas son sensibles.
  • Los accesos físicos se han configurado de forma específica para esa persona.
  • Los accesos digitales se limitan a lo que necesita para trabajar.
  • La persona ha recibido instrucciones claras sobre confidencialidad y uso de datos e información.
  • Hay una persona de referencia identificada para canalizar cualquier duda o incidente durante la estancia.  

Un doctorando extra-comunitario en nanotecnología llega a una universidad española para una estancia de 6 meses en un grupo líder en materiales 2D. Se le da acceso libre al laboratorio y a los servidores compartidos del grupo. Durante su estancia, copia protocolos detallados de síntesis y caracterización, además de fotografías de los equipos. Tres meses después, un instituto de su país de origen publica un artículo con resultados idénticos, citando una colaboración "general" pero sin mencionar específicamente al grupo español ni reconocer el acceso a técnicas concretas. 

2. Movilidad hacia instituciones en el extranjero  

Cuando es el personal de una institución española el que se desplaza al extranjero —para una estancia postdoctoral, una visita de investigación, un contrato temporal o una rotación en una empresa o centro de otro país—, la situación se invierte: es la persona quien lleva consigo técnicas, conocimiento acumulado, información sobre proyectos y, a veces, acceso remoto a sistemas o datos de su institución de origen. Desde la perspectiva de la carrera científica, estas experiencias son valiosas y a menudo necesarias. Sin embargo, desde la seguridad en la investigación son momentos en los que el conocimiento generado en España es más vulnerable a ser observado, copiado o condicionado. 

Aquí la clave está en que tanto la persona que se va como su institución de origen tengan claro qué llevan, a qué van a tener acceso y qué límites deben respetar. Antes de una movilidad, conviene identificar si el trabajo del investigador está ligado a proyectos con componentes sensibles, si va a colaborar con entidades situadas en países o contextos de riesgo, y qué implicaciones podría tener que determinados detalles técnicos se compartan sin filtro. La institución puede establecer pautas sencillas —cómo gestionar el acceso remoto a sistemas propios, o qué hacer si durante la estancia se plantean situaciones incómodas o presiones— que permitan al investigador aprovechar plenamente la oportunidad sin quedar desprotegido. 

Señales de alerta  

Al hacer una estancia en el exterior, los principales riesgos pueden venir de compartir información sensible de forma inadvertida o ser objeto de presiones. Algunas señales de alerta pueden ser:  

  • Oferta de incentivos laborales desproporcionados, condicionados a información específica.
  • Petición de acceso a datos o sistema de tu institución española.
  • Insistencia en publica prematuramente resultados conjuntos
  • Presiones para criticar abiertamente a tu institución de origen.  

Aspectos a valorar  

Cuando es personal de una institución española el que se desplaza a otra entidad en el extranjero, el foco se traslada a lo que la persona "lleva puesto" y a lo que podría llegar a compartir: conocimiento técnico, información sobre proyectos en marcha, perspectiva interna sobre capacidades de su unidad o institución, y a veces acceso remoto a sistemas y datos de origen. De nuevo, no se trata de sospechar del destino, sino de ayudar al personal que se mueve a ser consciente de que determinados detalles o prácticas que en su entorno habitual no suponen un riesgo pueden tener otra lectura en contextos distintos. 

Antes de realizar la movilidad, la persona saliente debe estudiar con los servicios de su institución las siguientes cuestiones:  

  • ¿Está el investigador o investigadora trabajando en proyectos sensibles? Por contenido, socios, financiación, doble uso etc.
  • ¿Qué información y qué materiales se va a llevar consigo (datos, código, documentación interna, presentaciones)?
  • ¿Qué tipo de relación se establece con la entidad de destino (colaboración estructurada, acceso a infraestructuras críticas, posible continuidad laboral etc.) y qué implicaciones tendría compartir según qué información?   

Buenas prácticas 

A partir de ahí, la institución puede establecer unas pautas sencillas: qué no debe llevar en dispositivos personales, cómo configurar el acceso remoto (por ejemplo, solo a determinados repositorios o servicios, usando canales seguros), y qué hacer si durante la estancia se le pide información o acceso que le genera dudas. El objetivo es que el personal se mueva con confianza, sabiendo que tiene respaldo institucional, y que no se vea obligado a decidir en solitario en situaciones potencialmente delicadas. 

  • Se ha revisado si el trabajo actual de la persona saliente se realiza en proyectos o áreas sensibles.
  • Se ha acordado qué información y materiales se llevan, y en qué soportes.
  • El acceso remoto a sistemas de la institución está configurado de forma segura y limitada a lo imprescindible.
  • La persona saliente conoce las pautas básicas sobre qué tipo de información no compartir.
  • Se ha acordado un punto de contacto en la institución de origen para consultar dudas o reportar situaciones preocupantes durante la estancia.
  • A la vuelta de la estancia, se realiza un breve debriefing con los servicios de la institución española.  
Ejemplo:

Una investigadora española en inteligencia artificial realiza una estancia postdoctoral de 9 meses en una universidad de prestigio fuera de la Unión Europea. Durante su estancia, recibe una oferta laboral muy atractiva, condicionada a que comparta acceso a un repositorio de datasets de su institución española para "validación conjunta". Comparte credenciales limitadas, pero éstas permiten descargar 40GB de datos de entrenamiento no publicados. La institución española detecta la actividad anómala dos meses después, cuando ya se han replicado los modelos en un proyecto paralelo extranjero.