Como empresa suiza e independiente en la nube y denunciante en el asunto de “Public Clouds Confédération”, frecuentemente se nos plantean inquietudes relacionadas con la confidencialidad, la seguridad y la soberanía de los datos. Para responder de un modo imparcial, hemos recurrido a Solange Ghernaouti, catedrática y doctora y experta internacional en ciberseguridad de la Universidad de Lausana, directora del grupo Advisory & Research de ciberseguridad de Suiza, Présidenta de la fundación SGH – Instituto de investigación Cybermonde y miembro de la Academia suiza de ciencias técnicas, para plantearle las preguntas que recibimos habitualmente a través de nuestro equipo de soporte y nuestras redes sociales.

La soberanía de los datos y el monopolio de los gigantes de la web cada vez reciben más atención de los medios. ¿Por qué ese interés creciente por estas cuestiones relativamente técnicas?

Creo que, en Suiza, ese interés se vio renovado por la decisión de la Confederación de elegir, en la primavera de 2021, a cinco proveedores no europeos para su “Public Clouds Confédération”. Como confirmaba el comunicado de 10 de noviembre de 2021 de la Cancillería federal, “El mercado se adjudicó a las cuatro empresas estadounidenses Amazon Web Services EMEA Sàrl, IBM Suisse SA, Microsoft Suisse Sàrl y Oracle Software (Suisse) Sàrl y a laempresa china Alibaba.com (Europe) Limited” [1].

Además, esas mismas multinacionales suelen aparecer en las noticias en relación con incidentes de ciberseguridad originados, y a veces también sufridos, por ellas. La consecuencia son ciberataques que afectan a todos sus clientes, incluidas autoridades públicas. Para citar solo algunos ejemplos, recordemos los fallos en productos de Microsoft [2] o la vulnerabilidad Log4Shell [3]. Esta última puede utilizarse para llevar a cabo ataques mediante programas de extorsión. “Sin embargo, un buen número de empresas ha reaccionado públicamente, como Amazon Web Services, Google Cloud o incluso IBM, reconociendo que algunos de los servicios que ofrecen a los usuarios están afectados por esa vulnerabilidad y comprometiéndose a hacer todo lo posible para aplicar un ‘parche’ de corrección”. [4]

Ya no es posible ignorar las multas impuestas por la Unión Europea o algunos países europeos a los gigantes digitales (Google, Facebook, Amazon, etc.) [5], lo que debería llevarnos a cuestionar sus prácticas en relación con nuestras necesidades de protección de datos.

Sin duda, la existencia real de incidentes asociados a defectos de diseño, gestión y utilización o a la seguridad de los entornos digitales hace imprescindible que el público en general y los dirigentes políticos y económicos se planteen los efectos negativos generados por lo digital cuando los riesgos no están controlados.

También creo que, a escala colectiva, hemos llegado a un cierto nivel de madurez digital y ya comprendemos que la transformación digital de la sociedad no es solo una cuestión técnica, según lo analizamos el filósofo René Berger y yo misma en el estudio de 2011 “Technocivilisation, pour une philosophie du numérique” (Tecnocivilización: por una filosofía de lo digital). [6]

Las dimensiones políticas, económicas, sociales y jurídicas de la transición digital son importantes. Ahora sabemos que las tecnologías digitales modifican profundamente nuestros comportamientos, nuestros hábitos, nuestras formas de comunicarnos y de trabajar, de aprender e incluso de divertirnos. Y eso afecta a nuestra relación con el mundo y con los demás, tanto a nivel local como internacional. Todas nuestras posibilidades de “crear sociedad” se ven afectadas por lo digital.

¿Cuáles son los retos de la soberanía digital?

Para un país, recurrir a estructuras digitales basadas en plataformas informáticas extranjeras en la nube (Cloud) pone en entredicho su capacidad de garantizar su soberanía digital y su independencia en relación con las empresas y los Estados de esas empresas. Al estar bajo el control de compañías procedentes de superpotencias, la ausencia de dominio de infraestructuras digitales esenciales para el buen funcionamiento de un país, de su estabilidad y de su economía, produce una dependencia y, de hecho, la pérdida de control de sus territorios digitales.

La asimetría del poder entre las empresas que suministran servicios “Cloud” y quienes los utilizan es tan grande que termina por dar lugar a un sometimiento a las normas impuestas por las empresas más fuertes. Esto podría entenderse como un tutelaje digital. La situación, de hecho, contribuye a facilitar acciones de inteligencia económica, pero también de espionaje y de supervisión digital. Y eso debilita la capacidad de un país de actuar en los ámbitos económico, político, diplomático, militar y cultural, al tiempo que refuerza el poder de las empresas dominantes, que “se alimentan” de las actividades digitales de sus clientes. Efectivamente, estas empresas saben cómo aprovechar la captación de datos y metadatos autorizada por el funcionamiento del entorno digital y por el contexto contractual de aceptación de las condiciones generales de uso de sus servicios. Su desarrollo, su poder y sus capacidades financieras demuestran que los gigantes de la red han entendido cómo aprovechar sus modelos de negocio basados en la utilización de los datos para conseguir ventajas competitivas y situarse en una posición de hegemonía y crecimiento permanente que les permite ampliar su oferta de servicios (incluidos los basados en inteligencia artificial).

Puede que ya sea hora de salir de la espiral “Sigo dando poder a las empresas hegemónicas porque me dejo persuadir de que no puedo hacer otra cosa, les confío mis datos (sin tener la seguridad de que no los utilizarán sin que yo lo sepa para otros fines o que no serán pirateados), sigo consumiendo más servicios suyos y cada vez dependo más de ellas”.

Es un círculo vicioso que debe romperse si queremos que la economía se desarrolle y que las competencias locales se abran paso, que se creen nuevas prácticas y se adopten hábitos digitales responsables.

¿Es un problema elegir empresas como Microsoft, Google o Amazon AWS, que son mundialmente reconocidas?

El mayor problema no es que sean reconocidas en todo el mundo, sino el hecho de que se trata de empresas hegemónicas no europeas[7]. Las multinacionales de lo digital poseen una envergadura y una posición monopolística únicas. Tienen la capacidad de ejercer presiones sobre los precios en un mercado que ellas controlan, de hacer patrocinios o de bajar los precios para obtener licitaciones, pero también de subirlos una vez captado el cliente, como ocurre con los programas Office 365 de Microsoft utilizados por la mayoría de entidades del sector público y las empresas) [8]. Además, pueden proponer una amplia gama de servicios y ofertas integradas en ecosistemas cerrados, lo que añade otro argumento de persuasión.

Todo ello podría hacer pensar que las ofertas “Cloud” parecen muy competitivas. Sin embargo, con frecuencia existen costes indirectos ocultos. Ese es el caso, particularmente, de los costes de migración o de servicios de seguridad complementarios, que más tarde se hacen imprescindibles pero que no se anuncian ni se incluyen en la oferta inicial, aunque encarecen la factura considerablemente a largo plazo.

Una vez cautivos de una solución Cloud, la dependencia puede generar problemas de perennidad y de costes, porque los proveedores pueden modificar las condiciones de uso cuando lo desean y aumentar sus tarifas. ¿Cómo estar seguros a largo plazo de la estabilidad del entorno, de la disponibilidad de los datos y de su tratamiento? La vuelta atrás o la migración a otras plataformas suelen ser complicadas, si no imposibles. Las elecciones “cloud”, de hecho, no son reversibles por cuestiones de coste y de dificultades técnicas excesivas. De facto, eso disuade o impide el paso a empresas competidoras. Frecuentemente es imposible o requiere gastos adicionales exorbitantes saber qué ocurre o cómo se tratan los datos comunicados a una plataforma. Cuando es prácticamente imposible realizar controles y auditorías independientes, ¿cómo confiar en la integridad y la confidencialidad de los datos y su tratamiento?

Los gigantes tecnológicos construyen centros de datos en Suiza y en Europea. ¿Basta eso para asegurar el control de los datos a las empresas y las entidades públicas?

El problema crítico es el del marco jurídico de los países extranjeros de esas multinacionales. Y eso es especialmente cierto debido a la existencia de leyes extraterritoriales que permiten a sus autoridades a acceder a datos recogidos en todo el mundo, incluidos los de servidores alojados en Suiza. La nacionalidad del proveedor de servicios y el desarrollador de los programas informáticos que tratan los datos es aún más importante que la la ubicación geográfica de los servidores. El argumento con el que se intentar justificar el hecho de que los servidores se encuentren en Suiza suele ser de carácter publicitario y de marketing. Induce una sensación de seguridad infundada. Leyes extraterritoriales tales como la Ley de vigilancia de inteligencia extranjera (FISA) (1978), la Ley PATRIOT (Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act) (2001) o la Ley Cloud (2018) estadounidenses se aplican a los proveedores de programas informáticos (Microsoft, Amazon, Oracle, Google, etc.) que almacenan y tratan los datos alojados en Suiza. Ser un socio o un intermediario suizo o europeo de plataformas estadounidenses o chinas no basta, por lo tanto, para que exista soberanía cibernética.

En Europa, el proyecto Gaia-X [9] reúne a empresas internacionales procedentes de distintos ámbitos, instituciones de investigación, asociaciones, administraciones públicas y el mundo político para definir y generar una infraestructura digital global (una nube de nubes interconectadas según los estándares definidos por el consorcio (estándar Gaia-X) compatible con la noción de soberanía europea. Este proyecto presenta numerosos desafíos y, aunque avanza, sigue siendo muy criticado. El peso de los “hyperscalers” chinos y estadounidenses (Huawei, Alibaba, Amazon y Microsoft) en las decisiones del consejo de administración es preocupante, hasta el punto de que Scaleway, uno de los 22 miembros fundadores, anunció en noviembre de 2021 que se retiraba del proyecto.

“Se ha creado un desequilibrio estructural (…) en el contexto de los trabajos de GAIA-X. La consecuencia es que existe el riesgo de que determinados enfoques sirvan a los intereses de empresas ya dominantes, en lugar de reflejar las necesidades, expectativas y desafíos de los distintos proveedores de tecnologías europeos. Comprobamos que las mismas causas producen los mismos efectos en varias organizaciones similares. Los intereses de las grandes empresas se protegen habitualmente en detrimento de organizaciones menos importantes cuyos enfoques, innovadores pero alternativos, quedan con frecuencia marginados”. Yann Lechelle, CEO de Scaleway [10]

Hablemos también de las etiquetas “Cloud de confianza” [11]. En realidad, no garantizan la soberanía digital cuando se aplican a proveedores extranjeros. Efectivamente, la conformidad con una etiqueta no equivale a controlar completamente la infraestructura. Aunque se lleve a cabo el cifrado de los datos, la etiqueta no protege frente a las capacidades de descifrado de quienes controlan las infraestructuras ni de sus autoridades estatales. El riesgo jurídico, igual que el riesgo tecnológico, no está controlado.

Las referencias a etiquetas o certificaciones no garantizan la calidad de la responsabilidad digital de las entidades que las proponen ni el nivel real de seguridad y confianza de los productos que las llevan. En este sentido, el estudio Ethos de enero de 2022 sobre responsabilidad digital de las empresas digitales en Suiza [12] es interesante en la medida en que pone de relieve el bajo nivel de transparencia de las empresas en términos de responsabilidad digital, un ámbito que también afecta al dominio de la protección de datos. La pseudotransparencia del proceso de certificación y adjudicación de las etiquetas pone freno a la confianza que puede asignarse a esas etiquetas. ¿Quién define las normas de seguridad con las que deben ser conformes los productos? ¿Quién certifica la independencia y la fiabilidad de las empresas que otorgan las etiquetas? ¿Quién controla al controlador? ¿Qué nivel de confianza puede concederse al certificador, al controlador? El problema de la confianza se ha desplazado, pero no se ha resuelto.

En el mejor de los casos, una etiqueta puede tranquilizar de un modo parecido al de un seguro que es bueno tener, pero que no impide que se produzca un siniestro ni garantiza que este estará efectivamente cubierto por las condiciones y cláusulas particulares inherentes.

La autorregulación es práctica habitual. No es raro en este ámbito, igual que en otros, que las mismas empresas que definen las reglas del juego más beneficiosas para sus intereses sean las que las validan (con la bendición de algunos miembros de la comunidad científica y política) y las promueven.

¿Cómo explicar que la Confederación y numerosas autoridades públicas de Europa opten por infraestructuras en la nube no europeas?

Esas empresas hegemónicas bien conocidas cuentan con un lobbying [13] y un marketing muy eficaces.

Para algunos, elegir sus soluciones también es un medio de “cubrirse” en caso de fallo (“elegimos las empresas más importantes”). ¿Cómo no dejarse seducir por los cantos de sirena de la facilidad (“todo el mundo las elige”) y de una oferta integrada, a priori menos costosa a corto plazo? Otros pueden considerar, erróneamente, que externalizar su informática a las plataformas de los gigantes de lo digital (su especialidad) significa al mismo tiempo externalizar sus responsabilidades.

También está la cuestión del precio, a menudo imbatible en el momento de una licitación. Justificar la elección de una “cloud” china o estadounidense por el precio es un sinsentido. A largo plazo, el precio que habrá que pagar por someterse a esas empresas y por depender de sus soluciones (cerradas) será dejar de tener elección y hacer frente a los pagos de los precios impuestos. Cuando hay dependencia, hay poco margen de negociación.

¿Cuáles son las consecuencias? ¿Cómo es posible?

Es sorprendente que no se tenga suficientemente en cuenta la realidad económica y política de esas multinacionales cuyos objetivos son generar ingresos yexplotar los datos. ¿Es que la defensa de sus intereses es compatible con la defensa de los intereses de Suiza o de Europa?

¿Pueden los responsables de tomar decisiones políticas y las autoridades públicas tener realmente en cuenta las implicaciones geopolíticas, económicas y sociales (actuales y futuras) antes de hacer elecciones digitales vinculantes, incluso irreversibles?

¿Puede ser que algunos responsables de la toma de decisiones no comprendan los retos estratégicos de la soberanía digital? ¿Puede ser que aún no hayan asimilado que lo digital desestabiliza las prerrogativas de un Estado y pone en jaque su poder público?

¿Puede ser que no aún no se hayan hecho conscientes de sus responsabilidades, o que aún no hayan comprendido que su papel también es dar ejemplo a las empresas eligiendo opciones y soluciones compatibles con los intereses suizos y europeos?

Afortunadamente, un buen número de iniciativas parlamentarias demuestra lo contrario y habla de una creciente toma de conciencia. El Parlamento suizo, por ejemplo, parece estar cada vez más preocupado por las cuestiones de la soberanía y la ciberseguridad [14]. Esperemos que las respuestas que se den estén a la altura de los retos de Suiza.

Para un país, elegir a empresas extranjeras para asegurar la disponibilidad de su informática digital equivale a reforzar su propia inferioridad cibernética y a consolidar la supremacía cibernética de las multinacionales proveedoras de tecnología, a las que nuestro sistema educativo proporciona mano de obra de calidad. Recurrir a infraestructuras y programas informáticos locales operados por proveedores suizos o europeos también permite sacar partido de la formación financiada con dinero público, desarrollar y proteger y dar valor, en Suiza y en Europa, al saber hacer y las competencias. Eso contribuye a preservar los puestos de trabajo y la empleabilidad y a evitar la fuga de cerebros. Además, con frecuencia esas multinacionales se benefician directa e indirectamente de respaldo financiero público y una fiscalidad ventajosa.

¿Qué habría que hacer en interés de las empresas locales y los ciudadanos?

Si, en Suiza y en Europa, se decidiera optar por programas informáticos y una oferta de servicios en la nube que sea local e independiente de GAMAM y Cía, será necesario elegir empresas que vayan por ese camino. Aquellas que hayan integrado en su estrategia de negocio la voluntad de desarrollar alternativas fiables. Si queremos que existan y que puedan seguir desarrollándose, es necesario permitirles trabajar, y elegir, si es posible, todas sus soluciones o algunas de ellas.

Cuando en una licitación pública se excluye de hecho a las empresas locales, es evidente que ya no quedan sino las soluciones llave en mano de GAMAM y Cía, que por otra parte son seductoras porque están inmediatamente disponibles, son “user friendly” y cuentan con el apoyo del lobbying y de un marketing internacional.

Es primordial que las licitaciones, especialmente las formuladas por Estados e instituciones públicas, sean coherentes desde el punto de vista de la soberanía y que las necesidades especificadas sean justas.

Por lo tanto, en el momento de presentarse la licitación, no deben establecerse condiciones que solo puedan cumplir las multinacionales estadounidenses o chinas (o esas condiciones deben limitarse a partes concretas y justificadas). Es necesario garantizar la proporcionalidad entre las exigencias establecidas y las necesidades que deben cubrirse realmente, pero para ello han de definirse bien las necesidades. En el caso de la “Public Clouds Confédération” en Suiza y Gaia-X, ¿acaso se ha hecho eso? ¿Quién lo ha validado?

Hace falta una voluntad política clara y asumida de desarrollar y sostener la soberanía cibernética. Es especialmente importante que el sector público dé ejemplo evitando recurrir a GAMAM sobre todo en los ámbitos de la salud, la educación o la defensa, entre otros.

Además, el sector público puede apoyar iniciativas dirigidas al sector privado y a particulares para sensibilizar sobre los temas de la soberanía digital y dar a conocer las alternativas locales o europeas. Las asociaciones público-privadas pueden ser interesantes, siempre que los efectos positivos se distribuyan equitativamente entre el sector privado y el sector público. De hecho, en este tipo de colaboraciones, no es infrecuente que el sector público asuma todos los riesgos y el privado recoja todos los beneficios.

La financiación pública, particularmente en los ámbitos de la educación, la investigación y el desarrollo económico local (por ejemplo, la financiación de las “start-up”) también debería reservarse, principal y expresamente, a empresas que se comprometan a desarrollar la soberanía digital del país. Deberían existir alicientes y controles eficaces para garantizar el buen uso del dinero público. En otros casos, podrían existir contrapartidas; por ejemplo, restituir el dinero público en el caso de la adquisición de una start-up por una multinacional no europea o cuando su valor y su rentabilidad estén ampliamente aseguradas.

Es absolutamente necesario hacer un esfuerzo político, ya que solo a partir de una decisión política firme será posible trabajar con todas las partes afectadas para crear un ecosistema local y soberano con todos los participantes en la economía.

En materia de nube, es el enfoque de seguridad y soberanía el que debe orientar la inversión, no la economía. Mediante inversiones adecuadas, las empresas y los talentos existentes en Suiza y en Europa serían perfectamente capaces de desarrollar rápidamente soluciones informáticas competitivas y fiables. El deseo de reunir a las partes involucradas en torno a una hoja de ruta y respaldar el ecosistema digital local es una decisión política y estratégica.

En el momento actual, la soberanía tecnológica condiciona todas las demás formas de soberanía. Si el Estado no está capacitado para controlar su soberanía digital y la de sus datos, ¿cómo puede estarlo el ciudadano?

Por último, mencionamos también la cuestión de los derechos humanos que está en la base de la evolución digital y de la inteligencia artificial (derecho a la vida privada, a la protección de los datos personales, a la integridad digital, a la reputación en Internet, al acceso a lo digital, a la desconexión, a no estar sujetos a seguimiento informatizado, etc.). La soberanía es también la capacidad de hacer cumplir las leyes en un espacio determinado. Solo una soberanía digital puede contribuir a definir las leyes y hacer que se respeten en el ámbito digital.

Más información

Referencias

[1] https://www.bk.admin.ch/bk/fr/home/documentation/communiques.msg-id-85828.html

[2] Información disponible, por ejemplo, en el sitio web del centro nacional de la ciberseguridad (NCSC) sobre “Fallos de seguridad de Microsoft Exchange Server”: https://www.ncsc.admin.ch/ncsc/fr/home/aktuell/im-fokus/exchange-server.html

[3] En diciembre de 2021, el editor Apache indica que existe un fallo de seguridad relacionado con el componente de programa de registro Log4J (ampliamente utilizado por numerosas aplicaciones escritas con el lenguaje Java/J2EE) que permite a un atacante tomar el control a distancia de los sistemas.

[4] https://www.lemonde.fr/pixels/article/2021/12/14/la-faille-log4shell-laisse-entrevoir-quelques-semaines-agitees-previennent-les-experts-en-securite-informatique_6106028_4408996.html

[5] Véase el sitio web de la Comisión nacional (francesa) de la informática y las libertades (CNIL).

[6] René Berger, Solange Ghernaouti “Technocivilisation, pour une philosophie du numérique”. Focus Science, Presses polytechniques et universitaires romandes (2011).

[7] Particularmente, las empresas GAMAM (Google, Apple, Meta (Facebook), Amazon, Microsoft (EE. UU.)) y las empresas BATX (Baidu, Alibaba, Tencent, Xiaomi (China)).

[8] https://www.ictjournal.ch/news/2021-08-23/microsoft-va-augmenter-les-prix-doffice-365-pour-les-entreprises & https://www.lemondeinformatique.fr/actualites/lire-microsoft-prevoit-d-augmenter-discretement-le-prix-d-office-365-84269.html

[9] https://www.data-infrastructure.eu/GAIAX/Navigation/EN/Home/home.html

[10] https://blog.scaleway.com/fr/une-veritable-offre-multi-cloud-en-reponse-aux-promesses-non-tenues/ 

[11] Norma SecNumCloud de la ANSSI (Agence nationale de la sécurité des systèmes d’information) y etiqueta ESCloud, por ejemplo. https://www.ssi.gouv.fr/actualite/secnumcloud-evolue-et-passe-a-lheure-du-rgpd/https://www.ssi.gouv.fr/actualite/escloud-un-label-franco-allemand-pour-les-services-informatique-en-nuage-de-confiance/

[12] https://ethosfund.ch/fr/news/ethos-publie-sa-premiere-etude-sur-la-responsabilite-numerique-des-entreprises-suisses

Informe “The lobby network: big tech’s of influence in the EU” Corporate Europe Observatory y LobbyControl e.V. Bruselas y Colonia (agosto de 2021). https://corporateeurope.org/sites/default/files/2021-08/The%20lobby%20network%20-%20Big%20Tech%27s%20web%20of%20influence%20in%20the%20EU.pdf

[13] Cómo las empresas Gafam invierten millones en lobbying para influir en Bruselas 31/08/2021. https://www.france24.com/fr/éco-tech/20210831-comment-les-gafam-dépensent-des-millions-en-lobbying-pour-influencer-bruxelles

Con carácter general, observar los logotipos de los patrocinadores de eventos, encuentros, conferencias, publicaciones, etc. permite hacerse una idea de quiénes son los beneficiarios de los intereses defendidos. ¿Cómo no preguntárselo, como lo hace la revista Usine Digitale en un artículo de 2 de diciembre de 2021 titulado “Alibaba, patrocinador del COI para los Juegos Olímpicos de 2024, suscita inquietudes en cuanto a la protección de datos”? https://www.usine-digitale.fr/article/alibaba-sponsor-du-cio-pour-les-jo-2024-suscite-des-inquietudes-sur-la-protection-des-donnees.N1165642

[14] Por citar solo unos ejemplos: