El mes de octubre de 2025 ha marcado un punto de inflexión para la nube global, en cuestión de días, el mundo digital se detuvo, no una, sino dos veces. Durante horas, servicios que usamos a diario dejaron de funcionar. No fueron ciberataques coordinados, sino algo más simple y paradójicamente más preocupante como son los fallos técnicos internos.
Primero fue Amazon Web Services (AWS) con un problema de DNS y poco después, le siguió Microsoft Azure con un error de configuración. Estos incidentes, sumados a la caída global de servicios provocada por el fallo de CrowdStrike en 2024, son alarmas que llevamos años ignorando. Todos estos incidentes exponen de la forma más cruda nuestra extrema dependencia sistémica de soluciones tecnológicas centralizadas.
Solemos pensar en la nube como un concepto etéreo, pero es una gran infraestructura física ubicada en gigantescos centros de datos propiedad de un puñado de empresas, en su mayoría, norteamericanas (Amazon, Microsoft y Google). Hemos entregado las llaves de nuestra economía digital, nuestros datos públicos y nuestra infraestructura crítica a «hiperescalares» extranjeros.
El riesgo de un «punto único de fallo» pasa a un marco estratégico que impacta sobre nuestra economía y seguridad. Esta dependencia crea un trío de riesgos inasumibles que, por un lado, expone nuestra soberanía de datos al espionaje, ya que legislaciones como la Ley cloud1 de EE.UU. permiten a gobiernos extranjeros acceder a información sensible sin que nuestras autoridades lo sepan.
«El problema no es que Europa no sepa crear tecnología o por falta de talento, el problema es que no se estimula la adquisición de soluciones soberanas«
A esto se suma el evidente riesgo geopolítico, donde, en un escenario de conflicto, el acceso a estas tecnologías vitales puede ser denegado o usado como medida de presión, «desenchufando» de facto nuestra infraestructura digital. Finalmente, esta situación genera una inmensa complejidad regulatoria, creando un campo minado legal para nuestras propias empresas al intentar reconciliar las regulaciones europeas y nacionales con las leyes de terceros países.
A esto nos referimos cuando hablamos de la necesidad que tiene Europa de trabajar en la «soberanía tecnológica», a su derecho a tener control sobre su propio destino digital.
Índice de temas
Autonomía estratégica
Se habla constantemente de «autonomía estratégica» y se han lanzado iniciativas como el proyecto GAIA-X para crear un ecosistema cloud europeo. Sin embargo, aquí reside nuestra gran contradicción, incluso estos proyectos acaban dominados por los gigantes extranjeros, demostrando que declaramos la necesidad de ser soberanos, pero no actuamos en consecuencia.
Queremos soberanía, pero en las licitaciones públicas y en los grandes contratos corporativos, seguimos premiando casi exclusivamente a las soluciones de estos mismos gigantes extranjeros, a menudo por una cuestión de comodidad o imponiendo criterios imposibles para las start-ups, ignorando el riesgo estratégico que esto supone.
«Las empresas europeas existen, innovan y compiten, sin embargo, luchan por el oxígeno en un mercado dominado por el marketing de grandes multinacionales y la inercia de comprar siempre lo conocido»
En Europa tenemos multitud de joyas de ciberseguridad punteras. Por poner solo algunos ejemplos, en Finlandia, Heimdal desarrolla protección avanzada; en Francia, Sekoia brilla en inteligencia de amenazas y Vade en la seguridad del email; en Alemania, Tines automatiza la respuesta a incidentes; en los Países Bajos, EclecticIQ es un referente en inteligencia; en Suiza, Proton redefine la comunicación segura; y en Italia, contamos con la innovación de Cyberguru, que permite evaluar y mejorar la vulnerabilidad humana mediante acciones de formación y concienciación.
España, a la vanguardia
En el caso de España, es igualmente formidable y reconocido globalmente Countercraft, líder mundial en «tecnología de engaño» (deception), la empresa AuthUSB innova en la protección hardware de puertos críticos, Kallisto AI aplica la inteligencia artificial a la ciberdefensa, ClickDefense ofrece nuevas soluciones de protección empresarial, Kenmei destaca en la automatización de la ciberseguridad, o Guardedbox, que ofrece soluciones de comunicación y almacenamiento seguro de ultra-alta seguridad, son solo algunos ejemplos.
En el entorno de las tecnologías duales de defensa (Defense-Tech) se están desarrollando actualmente en España multitud de proyectos innovadores. Como ejemplo, el proyecto SIDMETICS, de la empresa CISO.es, diseñado para monitorizar la seguridad física y lógica de nuestras infraestructuras críticas más vitales y olvidadas como son los cables submarinos por donde fluye el 99% de nuestros datos.
Esta inercia nace, en parte, de una aversión al riesgo en la contratación pública y grandes empresas, que a menudo prefieren la aparente «garantía» de una gran multinacional. Es una elección «segura» y si la elección falla, nadie culpará al gestor por haber optado por un líder mundial. Este proceder, aunque comprensible, penaliza la innovación local y perpetúa nuestra dependencia, perjudicando a startups innovadoras que podrían beneficiar directamente nuestra soberanía digital.
«Para revertir la inercia, la principal medida es reformar la contratación pública. En sectores críticos (Defensa, Sanidad, Interior), las licitaciones deben valorar la soberanía europea como un factor estratégico clave, no como un simple extra»
Esta penalización no solo ocurre en los despachos, se da también en los grandes foros de debate. Vemos cómo eventos de ciberseguridad clave en España, a menudo patrocinados por estas mismas multinacionales, ceden sus espacios de ponencia principales a los sponsors. Se corre el riesgo de que, si una investigación puntera no viene amparada por un gran patrocinio, «pierda interés» para los gestores del evento, despreciando innovación real a cambio de ponencias que, aunque superficiales, han «pagado» su espacio. Esto ahoga la visibilidad del talento local precisamente donde debería ser descubierto.
Iniciativas de apoyo regional
Por suerte, esta tendencia se intenta revertir desde dos frentes. Por un lado, mediante iniciativas de apoyo regional como por ejemplo el programa CAETRA del Instituto de Fomento de la Región de Murcia (INFO), así como otras iniciativas muy interesantes en diversas comunidades autónomas, que trabajan activamente para cambiar las tendencias y dar visibilidad a este talento tecnológico. Por otro, surgen actores privados especializados como DEVIRTUS (Defensa), que, con un profundo conocimiento del sector, forman y acompañan a las pequeñas empresas hacia su incursión en un mundo complejo y competitivo dominado por multinacionales.
Para revertir la inercia, la principal medida es reformar la contratación pública. En sectores críticos (Defensa, Sanidad, Interior), las licitaciones deben valorar la soberanía europea como un factor estratégico clave, no como un simple extra. Esto debe acompañarse de programas de «adopción temprana», donde el Estado actúe como cliente tractor, ofreciendo entornos de prueba (sandboxes) y entornos reales para validar las soluciones de nuestras start-ups.
Paralelamente, para mitigar el riesgo inmediato de apagones, debemos exigir por regulación que las infraestructuras críticas adopten arquitecturas multi-cloud o híbridas, eliminando por diseño los «puntos únicos de fallo» en un solo proveedor. La propia Comisión Europea ha comenzado a moverse en esta línea con su Reglamento de Ejecución del 17 de octubre de 2024, que determina por primera vez los umbrales de tiempo de indisponibilidad que definen un «incidente» en servicios cloud. Si bien este es un primer paso esencial para la rendición de cuentas, no soluciona el problema estratégico de fondo que supone su dependencia.
La sucesión de apagones de AWS y Azure este octubre no debe ser solo una anécdota para los titulares sino el punto de inflexión que fuerce nuestra respuesta. Una respuesta que no puede quedarse en discursos sobre la «autonomía estratégica», pues la soberanía digital no se logra con palabras, se construye con presupuestos. Requiere una voluntad política férrea para que la contratación pública y la inversión privada, superando la inercia, valoren la resiliencia y la soberanía por encima de la comodidad a corto plazo.
Esto no significa construir un muro digital ni prohibir tecnologías de fuera de la Unión Europea. Se trata de equilibrio, de diversificación estratégica y, fundamentalmente, de invertir en nosotros mismos. Si no apoyamos activamente nuestras propias soluciones estratégicas, el próximo «apagón» puede que no sea técnico, sino geopolítico, y nos encontrará completamente a oscuras.
