Noticias de última hora

"¿Nube soberana o lavado soberano? Un Caballo de Troya a las puertas digitales de Europa.

AWS, Microsoft, Google... todas han lanzado recientemente "nubes soberanas". Pero lo cierto es que todas las empresas estadounidenses están sujetas a la legislación estadounidense sobre intercambio de datos. Exploremos si es seguro utilizar nubes estadounidenses o si se trata solo de un "lavado de cara soberano".

Sovereign clouds or sovereign washing? A Trojan Horse at Europe's digital gates.

La ambición europea de soberanía digital es más urgente que nunca. Pero en lugar de apostar por servicios verdaderamente europeos y centrados en la privacidad, muchas empresas europeas e incluso autoridades locales y de la UE siguen confiando en la tecnología estadounidense, y podrían considerar las flamantes y relucientes ofertas de "nube soberana" como una solución útil. Pero, ¿y si la "nube soberana" es menos segura de lo que las empresas estadounidenses quieren hacernos creer? Analicemos en profundidad la "nube soberana de Microsoft", la "nube soberana de Google" y la anunciada "soberanía digital europea de Amazon Web Services" y si es seguro utilizarlas como autoridad o empresa europea.

“Lavado soberano”: el cuento de hadas de las grandes tecnológicas estadounidenses

En los últimos meses, todas las grandes empresas tecnológicas estadounidenses han lanzado “nubes soberanas”, ya sea la “Nube Soberana de Microsoft”, la “Nube Soberana de Google” o la “Soberanía Digital Europea de Amazon Web Services”: todas prometen a las organizaciones de la UE proteger sus datos y cumplir las estrictas normas europeas de protección de datos.

Su mensaje suena realmente convincente: “Almacenaremos sus datos en Europa, cumpliremos sus normas y traeremos puestos de trabajo e infraestructuras”, pero cuando suena demasiado bien para ser verdad, suele serlo. De hecho, la “nube soberana” no es más que un Caballo de Troya: aunque parezca buena por fuera, su objetivo es que las empresas y autoridades de la UE confíen sus datos a servicios estadounidenses.

Pero la verdad es: esto no es soberanía. Esto es marketing. Esto es lavado soberano.

Ilusión de soberanía digital

Empecemos por lo obvio: que tus datos se almacenen en Europa no significa que estén protegidos por la legislación europea. Los proveedores estadounidenses de servicios en la nube, incluso cuando operan desde centros de datos europeos, están sujetos a la jurisdicción estadounidense, especialmente a través de leyes como la CLOUD Act y la FISA 702.

Esto significa que, en virtud de la legislación estadounidense, empresas como Microsoft, Amazon y Google pueden verse obligadas a proporcionar a las autoridades estadounidenses acceso a los datos de empresas y autoridades europeas, incluso si los datos se almacenan dentro de la UE y fuera de Estados Unidos.

Sí, pueden crear una entidad jurídica europea independiente o asociarse con una empresa local en aras de una supuesta “soberanía”. Pero mientras la tecnología, el código fuente, las actualizaciones de los servicios o los mecanismos de control sigan en manos estadounidenses, Europa no tendrá verdadera soberanía sobre sus datos o su infraestructura digital.

Ha habido muchos intentos de permitir que las organizaciones de la UE utilicen las ofertas de nube de EE.UU. de una manera legalmente compatible, pero debido a las leyes de vigilancia de EE.UU., ninguno de estos intentos ha tenido éxito hasta la fecha. Por ejemplo, la sentencia Schrems II del Tribunal de Justicia de las Comunidades Europeas anuló el acuerdo Privacy Shield entre EE.UU. y la UE precisamente porque las leyes de vigilancia estadounidenses son incompatibles con los derechos de protección de datos de la UE garantizados por el GDPR europeo. Las “ofertas de nube soberana” no son más que otro intento de legalizar las nubes estadounidenses en la UE.

Pero siempre que se transfieran -o puedan transferirse- datos personales a un tercer país como Estados Unidos, debe garantizarse un nivel de protección adecuado. Desde la perspectiva de la UE, esto es problemático debido a la Ley de Nubes y a ciertos riesgos políticos, que socavan el nivel requerido de protección de datos.

Incluso la Comisión Europea teme que su uso de Microsoft infrinja la legislación de protección de datos de la UE. La Comisión busca ahora proveedores europeos de nube para sustituir a Microsoft Azure.

El control prometido por los proveedores de nube estadounidenses es una ilusión peligrosa.

Activa la privacidad con un solo clic.

Ni siquiera las salvaguardias técnicas más sólidas ofrecen una protección real. Ya sea a través del acceso directo o mediante la cooperación obligada de empresas asociadas, Microsoft, Google y Amazon pueden verse obligados a entregar datos de empresas y autoridades europeas.

El “guardián de datos” de Microsoft puede crear la apariencia de transparencia, pero una vez que se ha producido el acceso, incluso los registros más a prueba de manipulaciones son inútiles: Se limitan a documentar un hecho, por ejemplo la entrega de datos a las autoridades estadounidenses, que no puede deshacerse.

Microsoft, que es quien más tiene que perder en este movimiento europeo por una mayor soberanía digital, también está haciendo las promesas más atrevidas. Una de ellas es que desafiará legalmente las peticiones estadounidenses de entrega de datos. Pero, ¿qué significa esto realmente? De hecho, es más simbólico que práctico. Estas acciones legales no impiden realmente que se entreguen los datos, porque incluso cuando se impugna una solicitud, Microsoft primero tiene que cumplirla, por lo que los datos ya se han entregado. El daño ya está hecho. En la mayoría de los casos, una impugnación legal es absolutamente inútil.

Lavado soberano

Estas soluciones supuestamente soberanas no son signos de independencia técnica, sino más bien estrategias de comunicación perfectamente orquestadas. Están diseñadas para crear confianza donde, en realidad, no existe ningún control. Las empresas estadounidenses no ofrecen una verdadera soberanía digital, lo que están haciendo aquí es sólo un inteligente reenvasado de un problema sin resolver, y es muy similar al lavado de privacidad.

Y al igual que las afirmaciones de “privacidad” de las empresas tecnológicas estadounidenses, la estrategia con el lavado de soberanía es exactamente la misma:

  1. Mercado duro - Marcar la nube estadounidense como “conforme a Europa”.
  2. Crear dependencia: hacer que las empresas y autoridades europeas dependan de su oferta de nube mediante integraciones y código cerrado.
  3. Presionar con fuerza: inundar Bruselas con grupos de presión, influir y gastar más que la competencia europea en todos los esfuerzos de presión.
  4. Saltarse los impuestos: los beneficios vuelven a las sedes de EE.UU. y, con estrategias de optimización fiscal, las empresas estadounidenses pagan muy pocos impuestos en la UE.

Es inteligente. Pero no interesa a Europa.

Ubicación, ubicación, ubicación

Lo que es cierto para los compradores de viviendas también lo es para la soberanía digital: todo es cuestión de ubicación.

Aunque los proveedores estadounidenses de servicios en la nube siguen dominando el mercado europeo, las empresas tecnológicas estadounidenses no pueden garantizar las promesas que hacen sobre soberanía digital. Puede que las ofertas estadounidenses lleven ahora una bandera europea en la manga, pero la etiqueta de soberanía no es más que una etiqueta: las empresas que ofrecen estas supuestas “nubes soberanas” siguen estando sujetas a las leyes y poderes de vigilancia de Estados Unidos, y esto no se puede borrar. Así que, sí, la Ley CLOUD y la FISA 702 siguen siendo aplicables, aunque el servidor esté en Fráncfort, Bruselas o París.

Si Europa se toma en serio la soberanía digital, debe superar la ilusión de que ese control es posible con los servicios estadounidenses. La verdadera soberanía sólo puede construirse sobre infraestructuras proporcionadas por empresas europeas, no sujetas a la jurisdicción estadounidense.

La soberanía no viene de nombres de productos nuevos y brillantes como estas “nubes soberanas”. Viene del pleno control jurídico y técnico. Todo lo demás no es más que un lavado de cara soberano.

Haga la elección correcta: Elija Europa.

Ilustración de un teléfono con el logotipo de Tuta en su pantalla, junto al teléfono hay un escudo ampliado con una marca de verificación en él que simboliza el alto nivel de seguridad debido al cifrado de Tuta.