La soberanía digital está pasando actualmente de ser un término de moda en el ámbito político a convertirse en una cuestión práctica para las empresas. La creciente presión regulatoria, las tensiones geopolíticas cada vez mayores y, en ocasiones, incluso el temor al espionaje industrial les está obligando a replantearse sus estrategias de datos. Durante mucho tiempo, la nube pública se consideró el paradigma de la escalabilidad y el crecimiento. Pero ahora, las empresas europeas se enfrentan a cada vez más retos y buscan formas soberanas de trabajar con los grandes hiperescaladores o con alternativas europeas. Está claro que volver a entornos de TI puramente locales y completamente aislados no es realista ni desde el punto de vista económico ni tecnológico.
Por lo tanto, la soberanía digital debería definirse menos como una cuestión de ubicación y más como una cuestión de control, transparencia y confianza. En esencia, la soberanía digital significa la capacidad de decidir por uno mismo qué ocurre con los propios datos. Las empresas deben poder saber dónde se procesan sus datos, quién tiene acceso a ellos y qué mecanismos técnicos impiden que terceros no autorizados puedan acceder a ellos. Este control debe mantenerse incluso cuando se utilizan infraestructuras modernas que operan a escala mundial.
Uso pragmático y seguro de la nube
En la práctica, pronto se hace evidente que la soberanía digital no es sinónimo de rechazar categóricamente a los proveedores internacionales de servicios en la nube. Los hiperescaladores como Microsoft y Amazon Web Services se han convertido en parte integral de las arquitecturas de TI actuales, ya sea por su escalabilidad, sus capacidades de integración o su papel de liderazgo en los servicios de IA. Las autoridades reguladoras y de supervisión también reconocen cada vez más esta realidad. Por ejemplo, la Oficina Federal Alemana de Seguridad de la Información pone ahora mayor énfasis en la cooperación controlada con los proveedores globales.
Por lo tanto, la cuestión fundamental ya no es «nube o no nube», sino más bien: ¿en qué condiciones se puede diseñar el uso de la nube de forma soberana? La respuesta radica menos en la infraestructura en sí misma que en los mecanismos de seguridad que se le superponen.
El cifrado es una herramienta clave en este sentido. Garantiza que los datos permanezcan protegidos incluso cuando se encuentran fuera del control físico propio. Sin embargo, no solo es crucial que los datos estén cifrados, sino también quién tiene el control sobre las claves criptográficas. Quien controla las claves también controla los datos sin cifrar.
Aquí es donde entran en juego los sistemas de gestión de claves y los módulos de seguridad de hardware, que actúan como una «raíz de confianza» criptográfica. Agrupan el material de claves, las identidades y los mecanismos de acceso en una ubicación claramente definida y controlada. Dicha raíz de confianza genera transparencia, reduce la complejidad y facilita el cumplimiento de los requisitos normativos, independientemente de si se trata de la NIS2, de requisitos específicos del sector o de futuras normativas como la Ley de IA.
Soberanía multicapa en lugar del principio de máxima seguridad
Otro aspecto clave es que no todos los datos tienen la misma importancia y, por lo tanto, no todos merecen la misma protección. Por ello, la soberanía digital debería seguir un modelo de múltiples niveles. Los datos no críticos relacionados con la comunicación o la colaboración no tienen por qué cumplir los mismos requisitos de protección que los secretos comerciales sensibles o la información clasificada. Es fundamental que las empresas tomen decisiones conscientes sobre qué datos desean confiar a qué plataformas, o a cuáles se les permite confiar, y dónde se establecen límites claros.
Los modelos de implementación para la seguridad soberana son, en consecuencia, muy diversos. Además de los enfoques clásicos in situ, están surgiendo cada vez más modelos híbridos y conceptos de «confianza como servicio». La soberanía clave permanece en manos del cliente o de un proveedor europeo de confianza, mientras que el procesamiento real de los datos tiene lugar en la nube, que bien puede ser una nube pública. Técnicas como el cifrado del lado del cliente, por ejemplo, el cifrado de doble clave, garantizan que ni siquiera los operadores de la nube puedan acceder a los datos en texto plano. Dado que se trata de procedimientos técnicos, ninguna legislación (futura) en el mundo puede cambiar este hecho. Por lo tanto, los gobiernos podrían, como mucho, obligar a la divulgación de datos cifrados que no pueden utilizar, siempre que los algoritmos se mantengan. Sin embargo, aquí entra en juego otro componente.
Nuevas tecnologías, nuevos riesgos
Los ordenadores cuánticos suponen una amenaza a largo plazo para los métodos criptográficos establecidos. Gracias a su superior potencia de cálculo, podrían «descifrar» en tiempo real los algoritmos estándar actuales, como el RSA. Aún no hemos llegado a ese punto, pero el escenario de «almacenar ahora, descifrar más tarde» está cobrando importancia: los atacantes almacenan datos cifrados con la esperanza de poder descifrarlos en el futuro. Por lo tanto, en el futuro habrá que utilizar métodos de cifrado capaces de resistir los ataques de los ordenadores cuánticos. Los algoritmos correspondientes ya se han estandarizado, y las empresas deberían cooperar con socios que puedan implementarlos en sistemas criptográficos según sea necesario. Esto les hará «criptoágiles».
La inteligencia artificial también está cambiando los requisitos de la soberanía digital. Los modelos de IA se están convirtiendo en activos dignos de protección, y su ejecución debe ser segura y trazable. Al mismo tiempo, existe una necesidad creciente de que las decisiones tomadas por los sistemas de IA sean verificables, por ejemplo, mediante registros seguros, marcas de tiempo y pruebas protegidas criptográficamente. Sin una infraestructura de claves e identidades fiable, estos requisitos son difíciles de implementar.
Conclusión
Hoy en día, la soberanía digital es menos una cuestión geográfica que arquitectónica. No basta con basarse únicamente en la ubicación de los datos. La clave está en separar sistemáticamente el procesamiento de datos y el control de claves. La criptografía, el cifrado y la gestión profesional de claves constituyen la base sobre la que se pueden construir estrategias de TI modernas y soberanas. Las empresas que aplican estos principios de forma sistemática no tienen que elegir entre innovación y seguridad. Más bien, crean las bases para el uso controlado de tecnologías como la nube y la IA, y conservan la soberanía sobre sus datos incluso en un mundo interconectado.
Nils Gerhardt es director de tecnología (CTO) de Utimaco.
















