1. Dependencia silenciosa: Cómo surgió y por qué es peligrosa

Quien desbloquea el smartphone por la mañana abre en ese instante un sistema operativo de California o Shenzhen.
Quien luego lee un correo electrónico en el ordenador de la empresa lo hace a través de servidores ubicados en un centro de datos en Irlanda o Virginia.
Quien al mediodía celebra una videoconferencia envía su voz y su rostro por fibra óptica que conecta con nodos de red gestionados por empresas estadounidenses.
Quien por la tarde procesa una solicitud de pago encamina la operación a través de sistemas de compensación cuyos reglamentos se definieron en EE. UU.

Todo esto no es casualidad. Es el resultado de tres décadas de expansión tecnológica en las que empresas estadounidenses y, cada vez más, chinas han construido de forma consistente plataformas, estándares e infraestructuras que hoy resultan tan evidentes como la electricidad de un enchufe. Y ahí radica el problema: lo que se da por sentado deja de cuestionarse.
Este artículo intenta romper esa aparente normalidad. Describe hasta qué punto llega la dependencia, a través de qué capas se extiende, qué riesgos conlleva y qué implicaría recuperar al menos una parte del control.

2. Capa de hardware: ¿Quién construye la base?

Toda infraestructura digital comienza con silicio. Chips, procesadores, memoria, tarjetas de red: todo ello es la base física de cualquier software, de cualquier nube, de cualquier modelo de IA. Y esta base está tan concentrada que abre la puerta a riesgos estratégicos.

Chips para centros de datos e IA

NVIDIA se ha convertido en los últimos años en el componente de infraestructura decisivo para el entrenamiento de IA. Los aceleradores H100 y H200, así como la arquitectura Blackwell, son de facto insustituibles en el entrenamiento de modelos a gran escala. Lo crucial no es solo el hardware en sí, sino el ecosistema de software CUDA, que se ha incrustado durante años en las prácticas de desarrollo, de modo que cambiar a plataformas alternativas exigiría un esfuerzo enorme. Quien opera hardware de NVIDIA está en general ligado a CUDA. Un ejemplo clásico de dependencia tecnológica (lock-in) que va mucho más allá del propio chip.

Intel, AMD y Qualcomm completan este panorama: los procesadores de servidor de las familias Xeon y EPYC dominan los centros de datos empresariales en todo el mundo. La plataforma Snapdragon de Qualcomm está incluida en miles de millones de dispositivos móviles. Todas estas empresas son estadounidenses, están sujetas a la legislación de EE. UU. sobre exportaciones y pueden verse cortadas de las cadenas de suministro globales por decisiones políticas, como sufrió dolorosamente HUAWEI.

China reacciona a esto. La filial HiSilicon de Huawei desarrolla sus propios aceleradores de IA con los chips Ascend, los procesadores Kunpeng están destinados al mercado de servidores. Cambricon, una empresa de Pekín, produce sus propios conjuntos de chips MLU para aprendizaje automático. Estos desarrollos son geopolíticamente significativos, pero técnicamente todavía arrastran rezagos considerables, sobre todo porque carecen de la tecnología de fabricación.

Dependencia en la fabricación

Diseñar chips y fabricarlos son actividades muy distintas. El monopolio mundial de la fabricación está en manos de pocos actores, y el cuello de botella es estrecho.
TSMC en Taiwán fabrica gran parte de los chips más potentes del mundo: desde los procesadores M de Apple hasta las GPU de NVIDIA y los chips de vehículos modernos. Los procesos de fabricación N2 y N3 de TSMC no tienen alternativa comparable. Samsung en Corea del Sur compite a ese nivel, pero sus dependencias geopolíticas también son significativas.
La empresa neerlandesa ASML fabrica las únicas máquinas con las que es posible la litografía de chips en el rango sub-5 nanómetros. La litografía EUV es exclusiva de ASML en todo el mundo. Sin estas máquinas, la fabricación de semiconductores de última generación es sencillamente imposible. Que ASML, bajo la presión del gobierno de EE. UU., limitara la exportación de estas máquinas a China ilustra hasta qué punto tecnología, comercio y geopolítica están entrelazados.

China intenta montar sus propias capacidades de fabricación con SMIC y YMTC. SMIC ha demostrado procesos similares a 7 nanómetros, pero sigue bloqueado en el acceso a máquinas EUV. YMTC produce memorias 3D-NAND mediante un proceso propio llamado Xtacking. Estos avances son notables, pero no cambian el hecho de que China aún está a años, posiblemente décadas, de establecer una fabricación de semiconductores totalmente autónoma.
Para las empresas europeas esta situación significa que el hardware en el que se basa cualquier actividad empresarial depende en una medida tan alta de actores extranjeros que, en caso de emergencia – conflictos comerciales, sanciones, crisis geopolíticas – difícilmente podría superarse.

3. Capa de sistemas operativos: ¿Qué reglas rigen?

Sobre el hardware corre el software. Y en la base de todo software están los sistemas operativos. Aquí también la dependencia de empresas estadounidenses está estructuralmente arraigada.
Microsoft controla con Windows y Windows Server gran parte de la infraestructura empresarial mundial. Apple domina con iOS y macOS en el segmento premium de dispositivos finales. Google construyó con Android el sistema operativo móvil para el mercado masivo global. Estas tres plataformas determinan no solo qué software se ejecuta, sino también qué datos se recogen, qué telemetría se envía al fabricante y qué políticas de aplicaciones se aplican.
Esto no es un peligro abstracto. Windows envía datos de diagnóstico y telemetría a servidores de Microsoft. Los dispositivos iOS sincronizan ubicación, comportamiento de uso y actividades de aplicaciones con servicios de Apple, a menos que se modifiquen las opciones predeterminadas. Los dispositivos Android sin Google Play Services, como muchos de Huawei tras las sanciones de EE. UU., pierden acceso a gran parte del ecosistema de aplicaciones.

Red Hat y Canonical ofrecen con RHEL y Ubuntu alternativas basadas en Linux que están muy extendidas en infraestructuras de servidor. Los sistemas operativos de código abierto han logrado una verdadera difusión en este ámbito, aunque en el mundo de escritorio y móvil ha sido casi imposible.
La respuesta china es HarmonyOS de Huawei, que ya existe en una versión llamada HarmonyOS NEXT que funciona en gran medida sin la capa de compatibilidad de Android. OpenHarmony es la variante de código abierto empleada cada vez más en la infraestructura de autoridades e industria chinas. EulerOS y el proyecto comunitario openEuler se dirigen al ámbito de servidores. Si estos sistemas llegarán a ser una alternativa seria para actores no chinos en el medio plazo está por verse.

4. Capa de nube: dónde residen realmente los datos

La computación en la nube es la columna vertebral de la TI empresarial moderna. Pocas organizaciones mantienen aún toda su infraestructura por completo. Las ventajas son reales: escalabilidad, disponibilidad global, bajos costes iniciales, ciclos de innovación rápidos. En cambio, los riesgos se subestiman sistemáticamente.

Los hyperscalers y su poder de mercado

Amazon Web Services, Microsoft Azure y Google Cloud controlan juntos gran parte del mercado global de la nube. Esta concentración tiene consecuencias:

  • AWS ofrece con EC2, S3, Lambda, EKS y CloudFormation una plataforma tan integral que las empresas que empiezan a construir su infraestructura sobre servicios propietarios de AWS enfrentan un esfuerzo enorme para salir de ella. Los costes de egreso – tarifas por la extracción masiva de datos de la nube – pueden ascender a millones con grandes volúmenes de datos. Este mecanismo funciona como un cerrojo financiero a la propia dependencia.
  • Microsoft Azure tiene una posición especial en entornos empresariales gracias a la integración estrecha con Microsoft 365, Entra ID y Active Directory. Quien usa Teams, SharePoint y OneDrive ya tiene su gestión de identidad anclada en Azure. Si luego recurre a servicios de Azure para IA, análisis de datos y Kubernetes, la dependencia total de un único proveedor estadounidense está consumada.
  • Google Cloud, con servicios como Compute Engine, GKE y Vertex AI, completa el panorama. La integración de datos publicitarios de Google con análisis en la nube crea aquí una forma propia de entrelazamiento de intereses.

La dimensión europea

Para las empresas europeas se añade un problema legal. El US CLOUD Act permite a las autoridades estadounidenses en ciertas circunstancias acceder a datos gestionados por empresas de EE. UU., independientemente de dónde estén físicamente almacenados. Un servidor en Fráncfort operado por Microsoft Azure Alemania es potencialmente accesible para autoridades de EE. UU. si el propietario de esos datos es una empresa estadounidense.
Esto entra en conflicto directo con el RGPD, que exige la protección de los datos personales de ciudadanos europeos. Este tira y afloja legal no se ha resuelto hasta hoy.

Para empresas con secretos reservados por ley, despachos de abogados, bancos, organizaciones sanitarias o compañías de defensa este asunto es crucial. La cuestión de si los datos realmente están donde se cree y si solo los autorizados pueden acceder a ellos no es un detalle técnico, sino una cuestión de capacidad de acción.

Alternativas de nube chinas

Alibaba Cloud, Huawei Cloud y Tencent Cloud son proveedores relevantes en China y cada vez más en Asia y África. Alibaba Cloud ofrece con ECS, OSS y PolarDB una suite completa de nube.
Huawei Cloud apuesta por GaussDB como solución de base de datos y ModelArts para cargas de trabajo de IA. Tencent Cloud combina servicios en la nube con la infraestructura de WeChat.
Para empresas occidentales estos proveedores son problemáticos por la misma razón que los estadounidenses para los chinos: sus servicios están sujetos a la legislación china, que otorga a las autoridades amplios derechos de acceso. La ley de ciberseguridad china obliga a las empresas a entregar datos a petición. La lógica geopolítica es simétrica y los perfiles de riesgo concretos varían según ubicación e industria.

5. Capa de software: hilos invisibles

Sobre los sistemas operativos y la infraestructura en la nube se superponen más dependencias: en forma de ecosistemas de software, herramientas de desarrollo, mercados y plataformas de comunicación.

Ecosistemas de desarrollo

GitHub, propiedad de Microsoft desde 2018, es la plataforma dominante mundial para la gestión de código fuente. Gran parte del código abierto relevante reside en los servidores de Microsoft. GitHub Actions permite integrar canalizaciones CI/CD automatizadas directamente en el proceso de desarrollo. Quien usa GitHub depende de la disponibilidad de una empresa estadounidense.
Docker Hub es el registro de contenedores más utilizado del mundo. npm, Maven Central y PyPI – los registros de paquetes para JavaScript, Java y Python – están en infraestructura de empresas estadounidenses. Una aplicación de software moderna suele descargar decenas de dependencias desde servidores ubicados en centros de datos de EE. UU. durante el proceso de compilación.
GitLab, JFrog Artifactory y Sonatype Nexus ofrecen alternativas que se pueden alojar internamente, lo que reduce la dependencia pero no la elimina, ya que el software a menudo incorpora componentes de esos mismos registros.

China ha creado con Gitee una alternativa propia a GitHub. La plataforma CodeArts de Huawei se dirige al mercado empresarial. Estas alternativas se usan en el mercado chino, pero aún no tienen relevancia internacional.

Plataformas de comunicación

Microsoft Teams ha unificado en muchas empresas correo electrónico, telefonía y comunicación de proyectos en una sola plataforma. Slack, ahora parte de Salesforce, está muy extendido en empresas tecnológicas. Teams y Zoom dominan las videoconferencias. Todas estas herramientas almacenan datos de comunicación en servidores estadounidenses, están sujetas a la legislación de EE. UU. y pueden servir como fuente de datos para autoridades en situaciones extremas.
En el ámbito chino, WeChat de Tencent es la plataforma universal de comunicación que en China unifica mensajería, pagos, compras e identificación. WeCom es la variante empresarial. Toutiao de ByteDance y otras plataformas completan el panorama de una infraestructura china que genera para sus usuarios una dependencia tan total como las plataformas occidentales lo hacen para los suyos.

6. Capa de IA: la nueva frontera de la dependencia digital

La inteligencia artificial ha creado en los últimos años una nueva dimensión de dependencia cuya magnitud no se comprende completamente.

IA ligada a la nube como problema de soberanía

Microsoft ha integrado con el “Azure OpenAI Service” los modelos de lenguaje de OpenAI en su infraestructura en la nube. Quien utiliza GPT-4 o modelos posteriores a través de la interfaz de Microsoft envía sus prompts y con ello potencialmente secretos empresariales, datos de desarrollo de productos y datos de clientes a servidores donde rige la legislación de EE. UU.
Amazon Bedrock ofrece diversos modelos de lenguaje como servicio API, incluidos modelos de Anthropic y Meta. Google Vertex AI combina modelos propios y de terceros. El punto es siempre el mismo: quien usa servicios de IA en la nube cede el control. No solo de la infraestructura, sino potencialmente de la propiedad intelectual que se envía como entrada a estos sistemas.
Muchos contratos de los hyperscalers excluyen explícitamente que los datos de los usuarios se usen para entrenar modelos, pero no está claro si estas promesas se cumplen realmente, si impiden cambios futuros y si resistirían una solicitud de autoridades.

Ambiciones de IA de China

Baidu, Tencent y Alibaba invierten masivamente en sus propios modelos de lenguaje. ERNIE de Baidu, Hunyuan de Tencent y Qwen de Alibaba compiten de pleno a pleno con OpenAI y Anthropic. Huawei invierte en chips Ascend diseñados específicamente para cargas de trabajo de IA.
La dimensión geopolítica es significativa: China está creando una infraestructura de IA completa que no dependa de chips, software y plataformas de entrenamiento estadounidenses. Si lo logrará por completo es dudoso, pero el intento es serio.

Modelos locales como alternativa

Para empresas que no quieran enviar datos corporativos a servicios de nube externos hay una opción: modelos de lenguaje operados localmente. Llama de Meta, Mistral de Francia y un número creciente de modelos de código abierto (open-weights) pueden funcionar en hardware propio. La calidad de estos modelos ha mejorado considerablemente en los últimos años.
Ejecutar localmente significa que los datos no salen de la propia red. Ningún proveedor puede bloquear el servicio. Ningún aumento de precio pone en peligro la planificación. La desventaja es que la infraestructura, la competencia operativa y la inversión en hardware son mucho mayores que con una simple llamada API en la nube.

7. Infraestructura de red: la capa invisible

Debajo de sistemas operativos, nube y software yace la infraestructura de red como routers, switches y equipamiento de comunicaciones móviles. Aquí también las dependencias son profundas.
Cisco domina con líneas de productos como Catalyst, Nexus y ASR las redes empresariales y de operadoras en todo el mundo. Juniper Networks, Arista y otros ofrecen alternativas, pero la estructura básica de la infraestructura de Internet está fuertemente marcada por fabricantes estadounidenses.
Huawei fue hasta hace pocos años el proveedor líder mundial de equipamiento de redes móviles. Su exclusión de muchos mercados occidentales ha fortalecido a Nokia y Ericsson. No obstante, Huawei sigue operando partes sustanciales de la infraestructura 5G en amplias regiones de Asia, África y Latinoamérica.
El proceso por el cual se tomaron estas decisiones fue explícitamente geopolítico: el temor a que componentes de red de un fabricante chino pudieran incluir puertas traseras para autoridades de China fue el argumento central. Si estos temores están justificados no ha quedado probado de manera concluyente al público.

8. Infraestructura financiera y mercados digitales

La dependencia digital no se limita a la infraestructura de TI en sentido estricto.

Redes de pagos

Visa y Mastercard dominan las transacciones globales. Su poder de mercado abarca desde la tecnología de la transacción hasta las reglas sobre quién puede usar esas redes. Las sanciones contra Rusia en 2022 demostraron lo rápido que un país puede quedar desconectado del sistema de pagos global si Visa y Mastercard lo excluyen.
PayPal, Stripe y Braintree controlan gran parte del segmento de pagos en línea. Todas son empresas estadounidenses sujetas a la legislación y a los regímenes de sanciones de EE. UU.

Ant Group con Alipay y Tencent con WeChat Pay han construido en China y cada vez más en Asia un ecosistema de pagos alternativo. Los planes de expansión internacional de Ant Group fueron frenados por presión regulatoria de Pekín, lo que muestra que también el Estado chino ejerce control sobre estas infraestructuras.

Mercados digitales

Amazon Marketplace se ha convertido en la plataforma insustituible para muchos vendedores. La dependencia es estructural: quien vende en Amazon acepta sus reglas, su estructura de comisiones y su capacidad de competir directamente con sus propios productos.
El App Store de Apple y Google Play controlan conjuntamente el mercado global de aplicaciones móviles. Ambas cobran comisiones de hasta el 30 % en compras dentro de la aplicación. Ambas pueden eliminar aplicaciones del mercado. Ambas definen qué sistemas de pago están permitidos dentro de las aplicaciones. Para empresas cuyo modelo de negocio se basa en apps esta dependencia es fundamental.
En el ámbito chino, Alibaba con Taobao, Tmall, AliExpress y 1688 domina la infraestructura comercial. PDD Holdings con Temu ha empezado a expandirse agresivamente en mercados occidentales. En Europa y EE. UU. se ha debatido sobre privacidad de datos y posibles accesos estatales a los datos de estas plataformas.

9. Estándares, protocolos y el control de Internet

Un nivel menos visible pero fundamental de la dependencia radica en el control de los estándares de Internet.

ICANN, la Internet Corporation for Assigned Names and Numbers, gestiona el sistema raíz DNS y la asignación de dominios de nivel superior. ICANN es una organización sin ánimo de lucro estadounidense que históricamente estuvo bajo una fuerte influencia del gobierno de EE. UU. Aunque su estructura de gobernanza se ha internacionalizado, su sede y arraigo institucional en EE. UU. siguen siendo significativos.
La IETF, Internet Engineering Task Force, desarrolla los estándares técnicos de Internet: HTTP, TLS, BGP, DNS, QUIC. Estos estándares son abiertos, los desarrollan voluntarios de todo el mundo y están disponibles para cualquiera. Sin embargo, en este proceso las empresas y universidades estadounidenses están sobrerrepresentadas de manera estructural.
Cloudflare controla con su servicio DNS, su CDN y sus servicios de seguridad una porción considerable del tráfico web global. Si Cloudflare decide dejar de proteger ciertos contenidos o servicios, como ocurrió en algunos casos en 2022, las consecuencias globales son inmediatas.

10. Identidad digital e infraestructura pública

La dependencia llega hasta infraestructuras públicas.
Microsoft Government Cloud, AWS GovCloud y Google Public Sector son ofertas especiales para organismos públicos. Están certificados para requisitos de seguridad gubernamentales y los usan muchos gobiernos en todo el mundo. Esto significa que partes de infraestructuras estatales críticas funcionan en servidores de empresas estadounidenses.
Palantir, una empresa estadounidense de análisis de datos con estrechos vínculos con servicios de inteligencia, está profundamente integrada en infraestructuras de defensa y organismos públicos de varios países. Las plataformas Gotham, Foundry y AIP se emplean en apoyo a la toma de decisiones en áreas tradicionalmente consideradas núcleo de la función estatal.
Microsoft Entra ID (antes Azure Active Directory) es para muchas organizaciones el sistema central de identidad. Si este servicio falla, la autenticación deja de funcionar y con ello el acceso a casi todos los sistemas de TI. La dependencia de un único proveedor estadounidense para la función básica de identidad digital es un riesgo de concentración significativo.

11. Las siete dimensiones del riesgo

De las dependencias descritas derivan dimensiones de riesgo concretas que son relevantes para los responsables en empresas y organismos.

  1. Accesos legales y solicitudes silenciosas de autoridades:
    El US CLOUD Act y leyes comparables en China permiten a las autoridades estatales acceder a datos gestionados por empresas de estos países en ciertas circunstancias. Las gag orders (órdenes de silencio) pueden obligar al proveedor de la nube a no informar a la empresa de que se han entregado datos. El titular de los datos quizá nunca se entere.

  2. Cortes motivados políticamente:
    Una empresa que opera completamente en una nube estadounidense puede verse presionada en un conflicto geopolítico para interrumpir ciertos servicios o dejar de atender a determinados clientes. Esto no es hipotético: durante la guerra en Ucrania muchas empresas tecnológicas occidentales interrumpieron servicios en Rusia, a veces de forma voluntaria y otras bajo presión política.

  3. Lock-in económico y costes de cambio:
    Las llamadas “esposas de oro” describen el mecanismo por el cual las empresas quedan atrapadas: créditos gratuitos iniciales, instancias reservadas baratas, SDK propietarios y servicios que luego resultan difíciles de sustituir. Los costes de salida de un hyperscaler como transferencia de datos, migración y reingeniería pueden superar con creces el coste de la dependencia.

  4. Ubicación de datos y fuga de metadatos:
    No solo el contenido de los archivos, sino también metadatos como nombres de archivo, autores, sellos de tiempo, interlocutores y direcciones IP fluyen hacia centros de datos globales. Estos metadatos pueden usarse para espionaje industrial, análisis de la competencia y actividades de inteligencia, aun cuando los contenidos estén cifrados.

  5. Interrupciones de suministro por sanciones:
    La historia reciente demuestra que las sanciones se usan como instrumento de política económica. En 2019 Huawei fue bloqueada del acceso a tecnología estadounidense. Bancos rusos fueron aislados del sistema SWIFT. Para empresas que dependan de tecnología de un país políticamente expuesto este riesgo es real.

  6. Espionaje industrial a través de integración de la cadena de suministro:
    Los procesos dentro de la cadena de suministro a menudo no son completamente trazables. Proveedores de servicios posteriores, herramientas de soporte y componentes de software de terceros pueden contener vías de ataque potenciales. Las manipulaciones de hardware en tránsito, conocidas como supply-chain attacks, están documentadas. La complejidad de las cadenas de suministro de TI modernas hace prácticamente imposible un control total.

  7. IA y propiedad intelectual:
    Quien use servicios de IA para generar código, redactar textos o analizar datos de productos arriesga la fuga de propiedad intelectual. Incluso si el proveedor no utiliza los datos para entrenar modelos, los datos salen de la red de la empresa. Se procesan en infraestructura ajena. El riesgo de una brecha está estructuralmente presente, por ejemplo, por vulnerabilidades de seguridad, errores de configuración o abuso interno.

12. Caminos hacia la soberanía digital

La soberanía no significa desarrollar toda la tecnología internamente. Eso sería ilusorio. Se trata de la capacidad de acción estratégica: poder cambiar en caso de emergencia, mantener procesos críticos y conservar el control de datos sensibles.

Independencia arquitectónica

El primer paso hacia la soberanía es de carácter arquitectónico. Aplicaciones que usen estándares neutrales respecto al proveedor son más fáciles de trasladar. Kubernetes sin extensiones propietarias, Terraform en lugar de herramientas IaC específicas de un proveedor, APIs de almacenamiento compatibles con S3 en lugar de servicios propietarios. Todo esto crea una capa de abstracción que permite cambiar sin rehacer completamente los sistemas.
Los Software Bills of Materials (SBOMs) ofrecen visibilidad sobre los componentes realmente utilizados y su procedencia. Sin esta transparencia no es posible evaluar el riesgo.

Soberanía de datos

No todos los datos tienen el mismo nivel de protección. Una clasificación clara de datos es previa a un enfoque diferenciado. Los datos de alta sensibilidad como patentes, secretos de clientes, datos de investigación y financieros deben residir en entornos estrictamente controlados, idealmente con gestión propia de claves. El Confidential Computing, donde los datos permanecen cifrados incluso durante el procesamiento en memoria, ofrece una forma técnica de proteger datos en infraestructura ajena.

Preparación financiera
Salir de un hyperscaler genera costes. Quien no tenga un presupuesto para ello no podrá cambiar aunque lo desee. Costes de egreso, esfuerzos de migración, reingeniería de integraciones propietarias: todo debe contemplarse en una estimación realista. El EU Data Act refuerza los derechos de portabilidad de datos y puede ayudar a limitar los costes asociados, aunque solo si existen las condiciones técnicas para una exportación efectiva.

Alternativas locales y europeas

El panorama de nube europeo ha crecido en los últimos años. Hetzner, IONOS, StackIT, Deutsche Telekom y otros proveedores ofrecen infraestructura bajo la legislación europea. La iniciativa GAIA-X pretende establecer un espacio de datos común europeo, aunque su implementación práctica se ha quedado por detrás de los anuncios.
Para aplicaciones de IA los modelos operados localmente son una opción cada vez más realista. La calidad de los modelos de open-weights ha mejorado mucho en poco tiempo. Para muchos casos de uso ofrecen rendimiento suficiente con control total de los datos.

Resiliencia digital

La soberanía es también una cuestión de resistencia. ¿Qué ocurre si falla un servicio crítico en la nube? ¿Si un proveedor de identidad no está disponible? ¿Si un proveedor rescinde el contrato o se ve afectado por sanciones?
Documentación offline de procesos de emergencia, autenticación local para copias de seguridad, almacenamiento de datos distribuido geográficamente y pruebas periódicas de escenarios de fallo no son conceptos teóricos, sino requisitos prácticos de la directiva NIS2 y del Digital Operational Resilience Act (DORA).

13. La dimensión política: la soberanía como tarea estratégica

Lo que parece un problema técnico es en realidad una tarea política y estratégica. La dependencia digital de EE. UU. y China no surgió por casualidad, sino tras décadas en las que Europa no logró construir y escalar plataformas tecnológicas propias en la medida necesaria.
La UE ha creado con el RGPD, el Data Act, el AI Act y el Cybersecurity Act un marco regulatorio que define requisitos. Este marco es necesario, pero no suficiente. La regulación por sí sola no genera infraestructura soberana. Se necesitan inversiones, desarrollo de competencias y, sobre todo, la decisión política de considerar ciertas dependencias como riesgo estratégico y actuar en consecuencia.
El European Chips Act busca fortalecer la fabricación de semiconductores en Europa. Las inversiones en la creación de centros de datos, computación cuántica e investigación básica en IA se coordinan a nivel europeo. Si esto bastará para reducir las dependencias estructurales en plazos relevantes está por verse.

14. Conclusión: decisiones conscientes en lugar de dependencia inconsciente

La dependencia digital de EE. UU. y China en la mayoría de los casos no es fruto de una decisión deliberada. Es el resultado de innumerables pequeñas decisiones que parecían razonables, como elegir al proveedor de nube más barato, la herramienta más popular o el camino más sencillo.
El problema surge cuando esas decisiones generan en conjunto una infraestructura que ya no se puede controlar. Cuando los datos se almacenan en lugares cuyas implicaciones legales no se comprenden por completo. Cuando los sistemas se fundamentan tan profundamente en servicios propietarios que cambiar resulta prácticamente imposible. Cuando los modelos de IA se entrenan con datos corporativos sin que nadie revise realmente las condiciones contractuales.
La alternativa no es el nacionalismo tecnológico ni el regreso al papel y al lápiz. La alternativa es la consciencia: saber dónde están los datos, qué marcos legales aplican, qué alternativas existen y qué costes conllevaría un cambio. Sobre esa base es posible tomar decisiones conscientes, no de la noche a la mañana, pero con una dirección clara.
La soberanía digital no es un estado que se alcanza y luego se marca como completado. Es una práctica continua que combina pensamiento técnico, legal y estratégico. Quien la tome en serio no lo hace a pesar de la digitalización, sino para hacerla sostenible a largo plazo.