La arriesgada geografía de la nube

BRATISLAVA – Los ataques iraníes contra centros de datos en el Golfo Pérsico han revelado una vulnerabilidad que muchos querían ignorar. La infraestructura que sustenta la IA, la computación en la nube y otras industrias no es solo un activo cibernético o comercial, sino también un objetivo atractivo.

Irán dejó clara su postura en marzo, cuando drones Shahed atacaron dos centros de datos de Amazon Web Services (AWS) en los Emiratos Árabes Unidos y dañaron una tercera instalación en Bahréin, interrumpiendo servicios bancarios, de pagos y aplicaciones para consumidores. Posteriormente, la Guardia Revolucionaria Islámica de Irán publicó una lista de 29 objetivos adicionales que planeaba atacar en el Golfo Pérsico, incluyendo activos regionales pertenecientes a gigantes tecnológicos estadounidenses como Google, Microsoft, Oracle, NVIDIA, IBM y Palantir, algunos de cuyos servicios de IA el Departamento de Defensa de Estados Unidos ha utilizado contra Irán y Venezuela.

Esta es la primera vez que un país ataca de forma organizada la infraestructura de centros de datos comerciales. Europa, en particular, debería reflexionar sobre los supuestos en los que se basan las inversiones y el despliegue de infraestructuras digitales, ya que los ataques con drones iraníes contra centros de datos en Oriente Medio tienen implicaciones para su propia seguridad económica.

Para entender el porqué, primero hay que comprender cómo han cambiado las implementaciones de infraestructura de computación en la nube y en red. En el pasado, la computación en la nube dependía en gran medida de centros centralizados a gran escala, a menudo ubicados fuera del entorno inmediato del usuario; por ejemplo, un fabricante o intermediario financiero europeo enrutaba las cargas de trabajo a los centros de datos de AWS en el norte de Virginia. Pero ahora, dicha infraestructura se está acercando físicamente al usuario y a las empresas, servicios públicos, sistemas industriales y dispositivos individuales que dependen de ella, lo que la industria denomina “computación de borde”. Investigaciones recientes en Europa muestran que los nodos de borde de la UE crecieron de 498 en 2022 a 1836 en 2024, y se espera que el 75% de las empresas europeas integren soluciones de nube de borde en sus operaciones para 2030.

Esta localización refleja dos tendencias que se refuerzan mutuamente. La primera es la rápida expansión de las aplicaciones de IA que dependen de la computación intensiva y el procesamiento de datos en tiempo real. Muchas de ellas, como los sistemas de percepción y control de vehículos autónomos y los algoritmos de negociación de alta frecuencia, no toleran retrasos. Dado que incluso pequeños retrasos pueden degradar el rendimiento, la precisión o la calidad del servicio, estos sistemas dependen de un procesamiento de baja latencia cerca del lugar donde se generan y utilizan los datos.

La segunda tendencia es el creciente impulso hacia la localización de datos, la privacidad y el cumplimiento normativo, especialmente fuerte en Europa debido al Reglamento General de Protección de Datos (RGPD) y la Ley de IA de la UE. Las arquitecturas de nube, antes globalizadas, se están fragmentando en implementaciones limitadas a jurisdicciones específicas que deben operar dentro de los límites legales, cada una con sus propias infraestructuras de computación, almacenamiento y procesamiento.

Sin embargo, en la situación actual, la infraestructura de datos distribuida y estratificada que sustenta las funciones críticas de Europa —en comunicaciones, finanzas, sanidad, logística y operaciones industriales— supone una desventaja. Si usted es una importante empresa de telecomunicaciones que opera infraestructura soberana en la nube y en el borde de la red en varios Estados miembros, no puede redirigir las cargas de trabajo entre jurisdicciones con la misma libertad y rapidez que los grandes proveedores de servicios en la nube (principalmente con sede en EU). Sus datos de red —registros de tráfico, metadatos de abonados y registros de interconexión— están sujetos al RGPD, a la legislación nacional de telecomunicaciones y a las normas de seguridad y resiliencia de los sistemas de información y redes de la UE.

En los casos en que los sistemas de IA se implementan en redes, deben cumplir con los requisitos de gobernanza de la Ley de IA, lo que implica que las restricciones específicas de cada jurisdicción limitan la arquitectura subyacente. Además, estos sistemas suelen implementarse como instancias independientes, en lugar de como un conjunto integrado globalmente. En consecuencia, a los operadores europeos les resulta más difícil implementar el tipo de redireccionamiento dinámico que un proveedor de servicios en la nube a gran escala podría ejecutar en respuesta a una interrupción del servicio o una falla física.

Esta limitación cobra aún más importancia ahora que la geografía de la nube se ha convertido en un riesgo geopolítico. Los ataques a los centros de datos del Golfo demuestran que la exposición física debe considerarse no solo en las decisiones de ubicación, sino también en estrategias de resiliencia más amplias, modelos de redundancia y marcos regulatorios. Para las empresas europeas, el nuevo proceso de evaluación de riesgos podría comenzar con la identificación de vulnerabilidades físicas en la infraestructura tecnológica —incluida la infraestructura de terceros y la nube— y pruebas de estrés para determinar si las redundancias que existen en teoría funcionan realmente según lo previsto durante las interrupciones físicas.

A diferencia de Estados Unidos, Europa no cuenta con grandes empresas tecnológicas a las que proteger, ni con un único aparato de seguridad que las proteja, ni con una estructura de mando unificada que pueda brindar apoyo gubernamental a las infraestructuras digitales fragmentadas y de ámbito nacional. Aun así, la UE debe empezar a considerar la infraestructura digital como una cuestión de seguridad, y no solo como una cuestión regulatoria. Dado que un sistema aislado a nivel nacional, aunque cumpla con todas las normativas, puede constituir un único punto de fallo, Europa necesita urgentemente cerrar la brecha entre la gobernanza y el despliegue de la infraestructura digital crítica.

Para los responsables políticos, esto comienza por ser honestos sobre los riesgos de concentración que conllevan los despliegues confinados localmente y sin planes de contingencia. También implica coordinarse con la industria para poner a prueba las redundancias transfronterizas, invertir en mecanismos de coordinación de incidentes transfronterizos que puedan funcionar bajo presión y elevar los estándares mínimos de resiliencia en toda la UE para tener en cuenta la concentración física y la exposición geográfica.

Irán podría haber atacado los centros de datos del Golfo para encarecer la cooperación tecnológica entre Estados Unidos y los países del Golfo, para desestabilizar los mercados financieros dominados por Estados Unidos o para atacar la infraestructura de IA que sustenta cada vez más el poderío militar estadounidense. Pero sería un error que Europa considerara estas tácticas como un problema ajeno. La guerra ya ha transformado radicalmente el panorama para todos aquellos que dependen de la infraestructura digital. Es imprescindible comenzar a reforzar la infraestructura tecnológica europea ahora mismo.

La autora

Soňa Muzikárová, execonomista del Banco Central Europeo, exdiplomática de la OCDE y exasesora principal del viceministro de Asuntos Exteriores de la República Eslovaca, es investigadora sénior no residente del Atlantic Council.

Copyright: Project Syndicate, 1995 - 2026

www.project- syndicate.org