Cuando se habla de soberanía digital, resulta indispensable tener en cuenta el factor humano y el acceso al talento local. La tecnología, lejos de ser estática, experimenta una evolución constante y acelerada.
En este escenario, la posibilidad de continuar desarrollando dicha tecnología o de subsanar sus vulnerabilidades de seguridad, incluso cuando no se cuenta con soporte por parte del proveedor, es fundamental en cualquier estrategia de resiliencia.
Esta autonomía y resiliencia son precisamente las que el software de código abierto y sus comunidades aseguran. Hablamos de este y otros temas con Julio Guijarro, Chief Technology Officer EMEA de Red Hat.
El informe sobre el Estado de la Década Digital habla de una “urgencia” en materia de soberanía tecnológica. ¿Qué significa exactamente este concepto en la práctica y por qué se ha convertido en una prioridad estratégica para Europa?
La soberanía digital es la capacidad de una nación u organización para controlar y proteger de forma independiente su infraestructura digital crítica, en consonancia con sus políticas, valores y objetivos estratégicos.
Se trata de garantizar que los servicios críticos sean seguros y que las organizaciones tengan la potestad de gestionarlo internamente.
De esta manera, se fortalece la seguridad, se mantiene el control de los datos, se fomenta la innovación interna y se reduce la dependencia de proveedores de tecnología externos. Es una forma de mejorar la resiliencia operativa y la capacidad de adaptarse al cambio.
La urgencia actual se debe a una confluencia de varios factores. Por un lado, la inestabilidad geopolítica. Las sanciones y las guerras comerciales continúan interrumpiendo las operaciones comerciales globales.
“Hemos visto cómo proveedores de nube, por presiones políticas, se han visto obligados a cortar servicios críticos a clientes”
Hemos visto cómo proveedores de nube, por presiones políticas, se han visto obligados a cortar servicios críticos a clientes, como ocurrió con el acceso al correo electrónico de la Corte Internacional de Justicia.
Esto demuestra que la neutralidad de un proveedor puede verse condicionada por factores geopolíticos. Además, hay una gran presión regulatoria. Normativas como DORA y NIS2 en Europa exigen a las instituciones financieras y a los proveedores de infraestructuras críticas garantizar la resiliencia operativa. Ya no basta con cumplir la ley; hay que demostrar que se puede seguir operando de forma autónoma ante cualquier disrupción.
Y, por último, la creciente dependencia de un número reducido de proveedores tecnológicos extracomunitarios, que genera preocupación estratégica sobre la soberanía digital.
Desde la perspectiva de Red Hat, ¿por qué la soberanía digital es tan crucial no solo para los gobiernos, sino también para las empresas privadas que operan en entornos altamente digitalizados?
Porque la soberanía digital está intrínsecamente ligada a la autonomía operativa y la supervivencia del negocio. Para una empresa privada, no es solo una cuestión de cumplir con el RGPD u otras normativas impulsadas a nivel europeo, sino de garantizar la continuidad de sus operaciones sin depender de las decisiones de un único proveedor o de los vaivenes geopolíticos.
Aquí es fundamental distinguir entre «soberanía digital», que a menudo se asocia a mandatos gubernamentales, y «autonomía digital», que es la capacidad real de una organización para operar de forma independiente. Una empresa puede ser soberana legalmente, es decir que cumple con todas las leyes locales, pero no ser autónoma.
Si su infraestructura crítica depende totalmente de un proveedor externo, un cambio en la política de ese proveedor o una sanción internacional puede llevarla al colapso, incluso si la empresa no ha hecho nada mal. La soberanía digital, por tanto, es una póliza de seguro para la resiliencia empresarial.
En una reciente publicación, menciona casos como los de Amsterdam Trade Bank o UniSuper, que sufrieron las consecuencias de la falta de autonomía digital. ¿Podría explicarnos qué aprendemos de estos ejemplos y cómo podrían haberse evitado con una infraestructura soberana?
Estos casos son una llamada de atención muy clara. El Amsterdam Trade Bank (ATB) es el ejemplo perfecto de lo que comentaba. Era una entidad holandesa financieramente estable y que cumplía con toda la legislación europea. Sin embargo, las sanciones impuestas a su matriz rusa provocaron que sus proveedores de servicios en la nube, para cumplir con esas mismas sanciones, cortaron abruptamente servicios esenciales como el correo y las operaciones bancarias.
El banco colapsó no por insolvencia, sino por falta de autonomía operativa. Su dependencia total de la nube lo dejó indefenso.
“La clave es tener claro el perfil de riesgo, evitar el vendor lock-in y la dependencia de un solo proveedor de infraestructura”
El caso de UniSuper en Australia, cuya cuenta fue borrada accidentalmente por su proveedor de nube, es un claro ejemplo de la necesidad de diversificar el riesgo tecnológico. Afortunadamente, su previsión al contar con una copia de seguridad en una infraestructura de un tercero fue lo que les permitió recuperarse del incidente.
¿Cómo se podría haber evitado? Con una estrategia de múltiples nubes o de nube híbrida abierta. En el caso de ATB, si sus cargas de trabajo se hubieran ejecutado sobre una plataforma de código abierto, que facilite la portabilidad, podrían haber migrado rápidamente sus operaciones a una infraestructura local sin verse abocados al cierre.
La clave es tener claro el perfil de riesgo, evitar el vendor lock-in y la dependencia de un solo proveedor de infraestructura y tener una estrategia de salida controlada. Una soberanía digital, basada en código abierto y un enfoque híbrido, proporciona esa flexibilidad y resiliencia.
Uno de los pilares del compromiso de Red Hat es el código abierto verificable. ¿Cómo contribuye el software de código abierto a reforzar la transparencia y la confianza en la nube soberana?
El código abierto es la piedra angular de la soberanía digital por una razón fundamental: la transparencia. A diferencia del software propietario, que funciona como una «caja negra», el código abierto permite a gobiernos, empresas y a la comunidad global inspeccionar, auditar y modificar el software. Esto genera una confianza que es imposible de alcanzar con soluciones cerradas.
En Red Hat, seguimos una política de «upstream first», lo que significa que los cambios y mejoras que desarrollamos se envían primero a la comunidad de código abierto para su escrutinio. Esto no solo mejora la calidad, la soberanía digital y la seguridad del software, gracias a la revisión de millones de desarrolladores en todo el mundo, sino que también garantiza una cadena de suministro de software transparente y auditable.
Para una soberanía digital, esto es crucial. Permite verificar que no hay puertas traseras, mitigar riesgos en la cadena de suministro y adaptar el software a necesidades locales específicas.
Con iniciativas como Sigstore, además, entregamos software firmado criptográficamente con procedencia verificada, cumpliendo con normativas como la Ley de Ciberresiliencia (CRA) de la Unión Europea.
Hablando de flexibilidad con la nube híbrida abierta, ¿cómo ayuda este modelo a las organizaciones a mantener el control total de sus operaciones y datos sin renunciar a la innovación?
El modelo de nube híbrida abierta es la materialización de nuestro lema: «Tu nube, tus reglas». Su principal ventaja es que ofrece control y elección. Permite a las organizaciones desplegar cualquier aplicación y cualquier carga de trabajo en el entorno que mejor se adapte a sus necesidades, ya sea en sus propios centros de datos, en una nube pública de un hyperscaler o en una nube soberana de un proveedor local.
La clave es la consistencia y la soberanía digital. Con una plataforma como Red Hat OpenShift, la experiencia operativa y las herramientas son las mismas independientemente de la infraestructura subyacente.
Esto elimina el vendor lock-in y proporciona una portabilidad real y una reducción real de costes operacionales. Si por razones regulatorias, de coste o geopolíticas una empresa necesita mover una carga de trabajo de un proveedor de nube a otro, o traerla de vuelta a su centro de datos, puede hacerlo de forma rápida y automatizada, sin tener que rediseñar sus aplicaciones o tener que adoptar nuevos procedimientos de operaciones.
Esta flexibilidad permite a las empresas colocar las cargas de trabajo críticas y los datos sensibles en entornos soberanos controlados, mientras que pueden seguir utilizando las nubes públicas para cargas menos críticas o para acceder a la innovación más puntera, como los últimos modelos de IA. No es una propuesta de todo o nada, sino de ubicación inteligente de las cargas de trabajo y de control.
“Puedes tener tus datos en Europa, cumpliendo con el RGPD, pero si la tecnología que los gestiona es de un proveedor no europeo, sigues expuesto a leyes extraterritoriales”
El control del cliente sobre los datos es otro de los principios fundamentales. En un contexto donde las normativas como el RGPD marcan el camino, ¿qué papel juega la soberanía tecnológica para garantizar el cumplimiento y la autonomía real?
El RGPD se centra en la soberanía digital de los datos, es decir, en garantizar que se procesen y almacenen de acuerdo con las leyes europeas. Es un pilar fundamental, pero es solo una parte del puzzle. La soberanía tecnológica va un paso más allá: se asegura de que también tengas control sobre la infraestructura, la tecnología, los procesos y las operaciones que gestionan esos datos.
Puedes tener tus datos en Europa, cumpliendo con el RGPD, pero si la tecnología que los gestiona es de un proveedor no europeo, sigues expuesto a leyes extraterritoriales.
La soberanía digital, habilitada por el código abierto y la nube híbrida, permite a las organizaciones no solo cumplir con la residencia de datos, sino también garantizar que el acceso, la gestión y la seguridad de esa infraestructura estén bajo su control o el de un socio local de confianza.
Uno de los mayores riesgos actuales para las empresas es el vendor lock-in o dependencia de un proveedor. ¿Cómo se puede mitigar este problema y qué papel juega Red Hat en ofrecer un ecosistema verdaderamente abierto?
El vendor lock-in es una de las mayores amenazas para la soberanía digital. Se mitiga fundamentalmente de dos maneras: adoptando estándares abiertos y utilizando plataformas portables.
Red Hat es un firme defensor de ambas. Nuestra estrategia de nube híbrida abierta se basa en tecnologías de código abierto. Al construir sobre estándares abiertos, garantizamos que las aplicaciones y los datos no queden «atrapados» en el ecosistema de un único proveedor.
Por ejemplo, una aplicación que está Red Hat OpenShift puede ejecutarse en cualquier nube pública, en la infraestructura de un proveedor local, o en el centro de datos propio de la empresa, sin necesidad de cambios. Esto da a las organizaciones una libertad total para elegir y cambiar de proveedor según sus necesidades.
“La transición debe abordarse de forma estratégica y progresiva”
Desde un punto de vista operativo, ¿qué pasos concretos debería dar una organización para avanzar hacia un modelo de soberanía digital sin comprometer la eficiencia o la seguridad?
La transición hacia la soberanía digital debe abordarse de forma estratégica y progresiva. Lo primero es analizar qué datos y cargas de trabajo son realmente críticos y requieren mayores garantías, ya que no todo debe migrarse a una nube soberana.
También es fundamental evitar depender de un único proveedor, adoptando arquitecturas híbridas o multinube que reduzcan los riesgos. Apostar por plataformas basadas en código abierto facilita mover aplicaciones entre entornos y evita quedar atrapado por un proveedor.
Por último, conviene definir desde el inicio una estrategia de salida de la soberanía digital que permita trasladar datos y servicios si cambian las condiciones, las políticas del proveedor o surgen factores geopolíticos que puedan afectar a la continuidad del servicio.
En su opinión, ¿están las empresas europeas preparadas para adoptar una estrategia de nube soberana? ¿Qué barreras culturales o tecnológicas siguen existiendo?
Depende. Aunque la necesidad de una verdadera resiliencia digital es palpable, la realidad es que actualmente pocas empresas tienen implementadas estrategias de soberanía digital que les permita la total resiliencia en este nuevo contexto. Esta carencia quedó demostrada hace dos semanas con el impacto del fallo de AWS en Estados Unidos, que evidenció la vulnerabilidad de depender de un único proveedor.
Sin embargo, las organizaciones están acelerando la revisión de sus estrategias de uso, así como la adopción de proveedores y de la nube en particular. Están incorporando muchos de los parámetros que hemos comentado anteriormente sobre soberanía digital, como el poder migrar de forma transparente entre diferentes nubes o la implementación de tecnologías de protección de datos frente al operador de la nube.
“Tecnologías como el Confidential Computing, permite procesar datos en un entorno completamente cifrado”
Este último punto cobra especial relevancia tras la reciente admisión bajo juramento en un tribunal francés sobre los riesgos inherentes a la custodia de datos por parte de los proveedores de nube.
En respuesta, tecnologías como el «Confidential Computing», que permite procesar datos en un entorno completamente cifrado incluso mientras están en uso, haciéndolos inaccesibles para el propio proveedor de la nube, están ganando terreno como soluciones para mitigar estos riesgos.
Este panorama de cambio se verá reforzado por la inminente llegada de nueva legislación y regulación, como la Ley de Ciberresiliencia, que establecerá estándares más estrictos para la resiliencia digital.
Mirando al futuro, ¿cómo imagina la evolución de la soberanía tecnológica en los próximos cinco años y qué papel tendrá Red Hat en este proceso de transformación?
En los próximos cinco años, la soberanía digital dejará de ser un debate para convertirse en un estándar de facto para la infraestructura crítica. Veremos una mayor estandarización de los requisitos a nivel europeo, pero con una ejecución que seguirá dependiendo de soluciones locales y regionales.
La gran próxima frontera será la IA soberana. A medida que las empresas desplieguen modelos de IA para procesos críticos, la necesidad de entrenarlos y ejecutarlos en entornos controlados y soberanos será absoluta. No se puede permitir que los datos de entrenamiento de una IA para un banco o un sistema de salud residan en una infraestructura fuera de su control jurisdiccional.
El papel de Red Hat será el de habilitador fundamental de esta transformación. Continuaremos proporcionando la plataforma agnóstica que permite a las empresas ejecutar cualquier aplicación, y cualquier modelo de IA, en cualquier infraestructura, con total control y flexibilidad.
Seguiremos ampliando nuestro ecosistema de partners para ofrecer más opciones en soberanía digital y continuaremos impulsando la innovación desde el código abierto. Nuestra visión se resume en nuestro lema: Tu nube, tus reglas.
