La comisaria de Competencia, Margrethe Vestager. EUROPA PRESS
¿Soberanía digital europea? Su trascendencia y sus incertidumbres
Gran parte de la programación del software que todos utilizamos, incluidos los productos de las grandes empresas tecnológicas, no sabemos dónde se ha generado, por quién, ni con qué objetivo. Nuestra seguridad requiere garantizar la transparencia.
Mucho se ha hablado de la compleja situación geopolítica, de la independencia tecnológica e incluso de la soberanía digital. Sin embargo, el software ha quedado fuera del debate público. Hoy en día vivimos en sociedades digitales cuya dependencia de terceros a nivel de tecnología es cada vez mayor, mientras que la capacidad de decisión de las personas, las empresas y los Estados es cada vez menor.
No tenemos control del software que mueve nuestra sociedad, ya sea a nivel privado o público. El último análisis de Eurostack saca los colores a Europa y a España en particular.
Nos encontramos en una situación de dependencia de terceros a diferentes niveles, incluyendo servicios en la nube, donde se gestionan los datos personales de cualquiera de nosotros, y la inteligencia artificial, que expone datos y aconseja con sesgos.
No olvidemos en todo este contexto que el software tiene sesgos que pueden haber sido añadidos de forma involuntaria o intencionada.
Necesitamos volver a tomar el control del software que rige nuestro día a día. De nuevo referenciando Eurostack, parece que solo Estados Unidos y China están preparados para ser realmente independientes en un momento dado, con lo que su capacidad de decisión y afrontar cambios es mayor a la del resto.
Esa dependencia tecnológica es la que está generando una nueva ola de legislación en servicios digitales en Europa para poder, esta vez, defenderse a tiempo y regular servicios de terceros que puedan usarse dentro de Europa bajo unas reglas claras.
Aun así, los cambios geopolíticos están forzando acuerdos que siguen mermando esa capacidad de decisión, mientras que la factura en servicios digitales sigue aumentando año a año. ¿Cuál debe ser la respuesta de Europa?
Macbook
Tenemos la potencia económica, la (in)dependencia política, el tejido industrial y el talento necesario para llevar a cabo un proceso de generación de autonomía y soberanía digital propia.
Comencemos por los espacios más críticos para un Estado, como es la Defensa Nacional, y entremos también en los espacios del día a día de las personas como, por ejemplo, el software que gestiona nuestros datos en la administración pública.
Hay una serie de preguntas que siempre debemos hacernos como ciudadanos y que debemos hacer a las administraciones públicas y entidades privadas que gestionan todos nuestros datos personales, incluyendo salud, datos fiscales, profesionales, etcétera.
¿Quién gestiona estos datos?
¿Cómo los gestiona?
¿Se está haciendo un uso eficiente de nuestros impuestos?
La respuesta de Europa a este fenómeno de rápida evolución tecnológica y digital que estamos viviendo ha de ir alineada con la necesidad de modelos de desarrollo de software compatibles con la transparencia de saber qué se desarrolla, quién lo desarrolla y cuándo se ha desarrollado. Incluyendo siempre la posibilidad de poder participar en ese proceso si hiciera falta e incluso tomar el control en un momento dado.
Debemos exigir transparencia para tener visibilidad y entender qué deciden los algoritmos y, si es necesario, poder mejorarlos y modificarlos. Y tenemos que ser capaces de reutilizar ese software.
Si esto lo llevamos al ejemplo de un tanque, partimos de que se conoce absolutamente todo sobre cualquiera de los componentes físicos del mismo, incluida su lista de materiales y las empresas e individuos que se usaron para su construcción.
¿Por qué no ocurre lo mismo con el software que maneja esos sistemas en defensa?
¿Por qué no conocemos la lista de elementos de software que introducen terceros en nuestros sistemas críticos?
El número de ciberataques que de manera continua reciben los Estados y los sistemas que gestionan los servicios públicos es abrumador y va en aumento.
Todos estamos al tanto de ciberataques que ponen en riesgo importantes servicios para la ciudadanía. Parte del problema se produce porque los sistemas son demasiado complejos y el listado de componentes y dependencias digitales es demasiado grande para conocerlos y gestionarlos eficazmente.
"Tenemos la potencia económica, la independencia política, el tejido industrial y el talento necesario para llevar a cabo un proceso de generación de autonomía y soberanía digital propia"
Esto incluye la imposibilidad de actuar adecuadamente al no existir la debida transparencia en la gestión de esa información. El tamaño medio de las dependencias digitales en grandes empresas suele estar alrededor de los cien mil componentes o dependencias de terceros.
Sin embargo, en la mayor parte de los procesos de licitación de las administraciones públicas lo que se recibe de los proveedores es o un servicio en la nube o un ejecutable.
No tenemos capacidad de modificar, ni mejorar, ni siquiera de examinar ese código para ver si existen problemas de seguridad. La parte positiva de esta discusión es que hay cierto espacio para la esperanza.
Según diversos estudios, cualquier aplicación moderna contiene software que viene de terceras partes. Y específicamente el software libre copa más del 80 % de esas aplicaciones modernas.
Este tipo de desarrollo —maduro ya en la industria en áreas como la nube, inteligencia artificial, sistemas operativos o criptografía— es aún incipiente en otras industrias.
Sirva como ejemplo Mercedes Benz, que anunció que sus sistemas de entretenimiento en los coches contienen hasta 3.000 componentes diferentes que son software libre.
Este modelo de desarrollo tiene sus ventajas, pero también sus inconvenientes. Entre las ventajas destaca que todo el desarrollo se hace en abierto y cualquier administración pública, empresa o entidad puede analizar quién está detrás del mismo.
Esto incluye análisis de qué porcentaje del código se ha llevado a cabo por empresas estadounidenses, europeas, chinas o japonesas. Es decir, qué dependencia tecnológica tiene un Estado de desarrolladores extranjeros. Y, si fuera el caso, cuál sería el coste de no colaborar de ese modo.
El que todo se realice en abierto permite llevar a cabo otro tipo de análisis, incluyendo vulnerabilidades en el código fuente, que permiten securizar mejor la cadena de suministros digitales, o generar modelos de riesgos que permitan entender mejor posibles comportamientos no esperados, incluso auditorías de código para buscar problemas de seguridad.
Además, este modelo de desarrollo no es nuevo. Lleva existiendo más de 30 años, dando servicio y funcionando perfectamente en el entorno industrial actual.
De hecho, sin el software libre, la mayor parte de los servicios de cualquier gran empresa, incluidos los grandes proveedores americanos, simplemente no existirían o serían mucho más caros.El software libre aplana la curva del coste de innovación y adopción de tecnología.
Por otro lado, desde el punto de vista del desarrollo, la adopción de software libre sin una estrategia clara —por el simple hecho de que está disponible, puede ser modificado, redistribuido y hasta comercializado— es un error.
A nivel de administración pública y otras entidades críticas, se debería exigir a sus proveedores un análisis pormenorizado de su cadena de producción digital y que dichos proyectos estén mantenidos, actualizados y, si no es el caso, que tengan una gestión de riesgos acorde al mismo.
"Sin el software libre, la mayor parte de los servicios de cualquier gran empresa, incluidos los grandes proveedores americanos, simplemente no existirían o serían mucho más caros"
Y recordemos que la mayor parte de la cadena de dependencias digitales es software libre, lo que significa que se puede analizar quién ha hecho qué, dónde y cuándo. Y esto incluye información sobre qué empresas, Estados e individuos han sido partícipes en su desarrollo.
Por todo ello, es totalmente necesario que nuestras administraciones públicas pidan más rigor a sus proveedores y que exijan esa transparencia completa.
Si además buscamos cierta independencia tecnológica como Estado, será necesario que existan otras opciones a nivel de software y evitar caer en monopolios.
La libertad de poder elegir proveedor y tecnología es básica en muchos ámbitos de nuestro día a día, pero en este caso estamos atados de pies y manos.
Y el hecho de ir a tecnologías libres no significa que no se siga contratando a las mismas empresas, si es que ofrecen un servicio de calidad, pero sí implica que la capacidad de decisión será mucho mayor.
Es de hecho necesario que se avance y eduque allá donde sea posible a los equipos de gestión y dirección sobre las diferentes opciones existentes y que liciten con la intención de tener más opciones encima de la mesa.
Alternativas libres en el mercado con su ecosistema comercial existen. De hecho, no hay una ley que obligue a las administraciones públicas a escoger proveedores con ciertas características.
Hoy en día las soluciones libres proporcionan importantes ventajas competitivas e independencia. Con todo esto, seremos capaces de aumentar la resiliencia digital de nuestros servicios públicos y privados, a través de la transparencia, el uso de tecnologías adecuadas y siendo capaces de tener más independencia tecnológica.
"La libertad de poder elegir proveedor y tecnología es básica en muchos ámbitos de nuestro día a día, pero en este caso estamos atados de pies y manos"
Este modelo de trabajo no solo abarca al software, también podemos hablar de colaboración, atracción de talento, ciencia abierta y modelos que permitan una compartición del conocimiento más rápida gracias a la colaboración dentro de Europa y con nuestros vecinos.
La Unión Europea ya ha tomado cartas en el asunto, incluyendo la generación de diversos marcos legales para mejorar la ciberseguridad de nuestros dispositivos (Cyber Resilience Act), el uso adecuado de la inteligencia artificial (AI Act) o la futura reforma de las reglas de licitación pública.
A España se irán trasladando dichos marcos legales como, por ejemplo, la CRA, que se espera entre de manera efectiva a finales de 2027. Esto traerá más transparencia, por ley, al listado de dependencias digitales.
Otro ejemplo destacado del avance y la sensibilidad con esta materia es el Digital Resilience Forum. Un evento que tendrá lugar en el Círculo de Bellas Artes, en Madrid, el 29 de octubre de este año.
Diversos gobiernos, incluyendo Alemania, Reino Unido, Irlanda, Holanda o entidades supranacionales como la unidad de tecnologías emergentes de las Naciones Unidas, tratarán el tema de la resiliencia digital y la independencia tecnológica, buscando a la vez bases para colaborar en el futuro.
El software libre y la necesidad de securizar la cadena de producción digital ha llegado incluso a la geopolítica. Son ya varios los artículos publicados por el Real Instituto Elcano sobre la independencia tecnológica de la Unión Europea y el rol que el software libre tiene en el mismo, cuyo autor, por cierto, será partícipe también en el Digital Resilience Forum.
La iniciativa OSPO4Good de Naciones Unidas —el acrónimo OSPO significa oficina de software libre— y las diferentes iniciativas para crear dichas oficinas a lo largo de Europa, inexistentes de momento en España, plantean un primer paso para ser capaces de lidiar con estos problemas y tener talento específicamente enfocado a este tema.
Mucho se ha hablado de la existencia o no del famoso botón del F-35 para apagar los sistemas en un momento dado, o la dependencia en temas de inteligencia artificial para Europa, así como en otras tecnologías. Pues bien, todo eso es software. Y además software sobre el que no tenemos ningún control porque desconocemos lo que hay detrás.
Transparencia y colaboración serán básicas dentro de Europa y, por supuesto, con otros Estados terceros. No podemos reinventar la rueda una y otra vez. Usemos la tecnología existente, pero tengamos suficiente independencia y capacidad de decisión para escoger nuestro propio camino.
***Juan Lobato es senador y técnico de Hacienda del Estado.
***Daniel Izquierdo Cortázar es CEO en Bitergia y organizador del Digital Resilience Forum.
