El 20 de mayo de 2013 Edward Snowden viajaba a Hong Kong tras solicitar una excedencia temporal a la National Security Agency (NSA), donde trabajaba como consultor. Desde allí filtraría los documentos que publicarían diarios como The Guardian o The Washington Post sobre los programas de vigilancia masiva de la opaca y hasta entonces desconocida NSA.
Nada volvió a ser igual desde entonces en términos de ciberseguridad. El espionaje impune que había practicado la administración estadounidense no se ceñía solo a sus ciudadanos. Empresas, aliados, organizaciones internacionales y todo aquello susceptible de ser escuchado estaba en el punto de mira. EEUU, junto con sus cuatro socios del club de los ‘Five Eyes’ (Reino Unido, Australia, Nueva Zelanda y Canadá), demostró que la seguridad y el espionaje se habían convertido en la nueva norma de las relaciones internacionales en el siglo XXI.
La desconfianza que generaron las revelaciones de Snowden se extiende desde el nivel macro –gubernamental y estatal– hasta lo más pequeño –nuestro correo o los servidores privados–. Las empresas que apuestan por los servicios en la nube, que según el Informe Penteo 2015 ‘Highway to Cloud’ son ya el 97% del total en España, tienen motivos para exigir seguridad y garantías sobre la suerte que puedan correr sus datos. La seguridad, es de hecho, el segundo condicionante para los CIO (tras el conocimiento y expertise técnico) para elegir a los proveedores de servicios en la nube.
La alternativa europea para el almacenamiento de datos se configura como la mejor opción en términos de seguridad. La legislación europea, mucho más garantista que la estadounidense, es una de las pocas boyas de salvamento a las que agarrarse en un panorama internacional dominado por actores como Estados Unidos, Rusia o China.
La seguridad cibernética es un problema global y transversal. No solo afecta a ciudadanos o gobiernos: las empresas son también objetivo de ataques terroristas o de espionaje industrial. Así lo demostró el ataque a Sony Pictures de noviembre de 2014, que llegó a ser mencionado por Obama en una rueda de prensa, o la reunión sobre ciberseguridad celebrada con todas las grandes tecnológicas en Silicon Valley el 13 de febrero de 2015, a la que también acudió el presidente Obama.
La alternativa europea, sin embargo, sigue posicionada como ganadora. Uno de los mejores ejemplos es el caso reciente de Microsoft, que anunció en noviembre del año pasado que almacenará todos los datos de sus clientes europeos en dos centros en Alemania pero supervisado por Deutsche Telekom –concretamente por su filial tecnológica T-Systems–. Los clientes alemanes y europeos habían mostrado una gran inquietud por la privacidad de sus datos tras las revelaciones de espionaje informático a gran escala en Estados Unidos. De esta forma, Microsoft garantiza que sus clientes tendrán sus datos a salvo y que podrán elegir el nivel de protección que prefieran.
Adicionalmente destacar que prácticamente todos los proveedores ofrecen a sus clientes la elección de la localización física de los servidores donde ejecutar las cargas de trabajo y almacenar la información, pero se debe exigir en los contratos la garantía de la integridad de datos y la no transferencia más allá de las fronteras de la legislación europea.
Estos casos muestran que el sello europeo de confianza es, en este sentido, irrenunciable para las compañías que operan en nuestro continente. Es, de hecho, una de las últimas tablas de salvación para que Europa no pierda el tren de la vanguardia tecnológica y la innovación a favor de países emergentes como China o India.
Pero Europa todavía tiene un largo camino por recorrer. El 7 de diciembre de 2015, el Parlamento Europeo y la presidencia luxemburguesa del Consejo llegaron a un acuerdo informal sobre normas comunes que refuercen la seguridad de las redes y de la información (SRI) en toda la Unión. La nueva directiva establecerá obligaciones en materia de ciberseguridad para los operadores de servicios esenciales y los proveedores de servicios digitales. Cada estado miembro deberá, además, designar a una o más autoridades nacionales y establecer una estrategia para tratar las cuestiones de ciberseguridad. Los plazos serán estrictos: 21 meses a partir de la entrada en vigor de la Directiva para adoptar las disposiciones nacionales necesarias. Tras este período, los estados dispondrán de 6 meses más para identificar a sus operadores de servicios esenciales.
Europa se juega mucho. Es un esfuerzo colectivo que debe situar al continente como el actor de confianza para las cuestiones esenciales de protección de datos, privacidad, ciberseguridad e innovación. El campo, en este momento, es del todo favorable. Europa goza de la imagen internacional adecuada, del talento necesario, de los actores clave y de los marcos legislativos más favorables, por lo menos en comparación con los de EEUU, Rusia, China u otros. Quizá el viejo continente tenga todavía mucho que decir al respecto. Siempre y cuando, y en palabras de Xavier Bettel –primer ministro de Luxemburgo y presidente rotatorio del Consejo Europeo– todos los agentes, públicos y privados, hagan los esfuerzos necesarios en cooperación en este ámbito.
