Europa ha empezado a reconocer que su seguridad no puede depender de proveedores externos. Durante años, el viejo continente se había sentido cómodo delegando su defensa, también aquella relacionada con el ámbito digital, en el paraguas OTAN liderado por EEUU y de Israel, una de las grandes potencias internacionales en este campo. Sin embargo, la invasión rusa de Ucrania y el regreso de Donald Trump a la Casa Blanca, con la promesa de reducir el apoyo militar a sus socios europeos, puso los riesgos de esta política frente al espejo.
En respuesta, el bloque lazó un plan de rearme que aspira a movilizar hasta 800.000 millones de euros en los próximos años para reforzar sus capacidades militares, flexibilizar las reglas fiscales que limitan el gasto en defensa y fomentar adquisiciones conjuntas de armamento. Sin embargo, el genocidio perpetrado por Israel en Gaza y la repulsa internacional a contratar del país, cuyos sistemas se han probado y perfeccionado sobre los palestinos, ha añadido una capa más al debate.
Dentro de ese paquete, hay creciente preocupación —y también exigencia por parte del sector privado y algunas instituciones europeas— de que no solo se trate de comprar más blindados, drones o misiles, sino de asegurar la soberanía tecnológica: es decir, que Europa desarrolle tanto el software y los sistemas de ciberdefensa que operan esos aparatos, como los mecanismos que protejan sus redes, datos y comunicaciones.
“Estados Unidos, con la alianza de los Cinco Ojos (con Reino Unido, Canadá, Australia y Nueva Zelanda), junto a Israel, que prácticamente es una parte más de ese bloque, tienen una capacidad ciber, ofensiva y defensiva, incuestionable. Es un hecho que tienen una tecnología muy buena y que está por todas partes. En España hay mucha tecnología americana e israelí, lo mismo que en la Unión Europea”, explica Pepe Rosell, experto en ciberseguridad.
“La Unión Europea ha declinado durante muchos años estar en ese mercado, para bien o para mal nos hemos dedicado a otras cosas, y mientras hemos estado consumiendo tecnología de los aliados”, prosigue Rosell, director ejecutivo de S2grupo, una de las firmas españolas que son la excepción a esa regla. Con sede central en Valencia, ofrece servicios de seguridad, ciberinteligencia y ciberdefensa en 35 países.
“El problema es que en temas de seguridad no se puede hablar de amistades, hay que hablar de intereses”, avisa el especialista: “Los intereses van cambiando en función del contexto geopolítico global. Si los intereses coinciden te puede ir de maravilla, pero si los intereses no coinciden, pues de pena”.
“Efectos catastróficos”
Europa es profundamente dependiente de las importaciones de tecnología digital. Análisis como el Informe Draghi ha subrayado cómo el continente no solo llegó tarde a la revolución digital inicial liderada por Internet, sino que sigue siendo débil en tecnologías como la computación en la nube o la inteligencia artificial. En este campo, la UE depende de países extranjeros para más del 80% de sus productos, servicios, infraestructura y propiedad intelectual digitales, recoge el Informe.
“La seguridad que proporcionaba el paraguas de los Estados Unidos liberó los presupuestos de defensa para destinarlos a otras prioridades. En un mundo con una geopolítica estable, no teníamos motivos para preocuparnos por la creciente dependencia de países que esperábamos que siguieran siendo nuestros amigos”, refleja el texto: “Pero los cimientos sobre los que construimos se están tambaleando”.
Las amenazas a la cadena de suministro ocupan un lugar crítico en la UE, debido a su importante potencial para provocar efectos catastróficos
La tecnología estadounidense está presente en todos los niveles del ecosistema digital europeo, desde los sistemas operativos hasta la nube o la defensa. Israel, en cambio, destaca en los ámbitos más sensibles: la ciberseguridad, la vigilancia y la tecnología militar. Sus herramientas, de las que el software de espionaje Pegasus es la más conocida, se han convertido en piezas críticas de la infraestructura de seguridad europea.
La Agencia de la UE para la Ciberseguridad (ENISA) también ha puesto negro sobre blanco las implicaciones de esa dependencia. “Las amenazas a la cadena de suministro ocupan un lugar crítico en la UE, debido a su amplio alcance, su dificultad de detección y el importante potencial que tienen para provocar efectos catastróficos en cadena”, advierte el organismo en su último análisis general sobre la ciberseguridad de la Unión.
Las dependencias excesivas de actores no pertenecientes a la UE en áreas críticas como la ciberseguridad amenazan con socavar la competitividad, la resiliencia democrática y la seguridad de Europa
Entre esos riesgos, destaca “la dependencia cada vez mayor de los servicios informáticos externalizados, que crean complejidades en la cadena de suministro y retos en materia de ciberseguridad, especialmente para las pymes”.
Uno de los últimos en llegar a esa conclusión ha sido el Parlamento Europeo. En un reciente informe, la institución destaca su preocupación “por las dependencias excesivas de actores no pertenecientes a la UE en áreas críticas como la infraestructura en la nube, los semiconductores, la IA y la ciberseguridad”. Áreas en las que “la concentración del mercado y el control extranjero amenazan con socavar la competitividad, la resiliencia democrática y la seguridad de Europa”.
Soluciones europeas
Como recalca la ENISA, la soberanía tecnológica no solo se juega en las infraestructuras críticas, sino también en el terreno de las pequeñas y medianas empresas. “Es un mundo a veces está un poco abandonado”, dice Diego León, de la firma de ciberseguridad Flameera. “Pero es fundamental que los servicios de seguridad continua sean accesibles para ellas, porque son mucho más eficientes que hacer una auditoría una vez al año”.
León coincide en que las empresas estadounidenses e israelíes son la referencia, pero destaca que cada vez son más habituales las asociaciones entre compañías europeas. En este sentido, señala un reciente acuerdo de colaboración con Aikido, una startup belga que busca integrar múltiples funciones relacionadas con seguridad en una sola plataforma. El objetivo es reducir el ruido de falsos positivos y facilitar que desarrolladores y pymes puedan aplicar buenas prácticas de ciberseguridad sin necesidad de equipos especializados.
“Sus dos principales rivales son una empresa estadounidense y otra israelí”, destaca el experto, “pero nosotros intentamos promover siempre las soluciones europeas”. “Lo ideal además es que las soluciones que empleen las pymes estén pensadas para su contexto”, y no solo que “intenten cuadrar” servicios pensados para organizaciones más grandes, ya que no todas son “la Ibex de turno que se puede permitir el último producto del mercado”.
España ha puesto en marcha un plan para dejar de depender tecnológicamente de Israel, pero el proceso aún está lejos de estar terminado. El Ministerio de Defensa ha cancelado contratos de armamento, pero sigue habiendo importaciones que provienen de licencias ya concedidas o acuerdos antiguos, además de adjudicaciones en curso pendientes que todavía podrían incluir componentes israelíes.
Bélgica, Países Bajos, Reino Unido, Italia o Alemania han tomado decisiones similares sobre las importaciones y exportaciones de armamento y material de doble uso (tecnologías con aplicación civil y militar) respecto a Israel.
Entre pragmatismo y soberanía
En un reciente reportaje de este medio, uno de los fundadores de la startup Aikido lamentaba que, durante muchos años, los poderes públicos y administraciones europeos no hayan priorizado los productos digitales europeos. “Los gobiernos contratan empresas extranjeras solo porque el precio es un poco mejor”, afeó, pidiéndoles que fueran un poco “más chovinistas”.
“En el esquema de la IA y la nube, también hay un componente muy grande de seguridad, de soberanía. No deberíamos ser ingenuos y pensar 'oh, estamos con Estados Unidos, así que todo irá bien'. Creo que deberíamos invertir en más soberanía en general”, añadía.
La industria digital del continente ha empezado a aplicar esa norma en sus operaciones. En septiembre, ASML —la empresa neerlandesa que hace las únicas máquinas capaces de producir chips superavanzados para la IA— acordó invertir 1.300 millones de euros en Mistral, una startup francesa de inteligencia artificial. El acuerdo llamó a la esperanza de muchos en el continente porque ASML podría haber pactado con cualquier empresa del sector, pero eligió Mistral porque otorgó un peso relevante a la soberanía tecnológica en la operación.
“Los americanos no tienen interés en que nos unamos, en que una empresa francesa trabaje con una empresa holandesa, por ejemplo, porque eso significa que es un verdadero espacio económico unificado y que, por lo tanto, tenemos una oportunidad en la guerra de la escala”, dijo Arthur Mensch, cofundador de Mistral, poco después del acuerdo.
No es el único síntoma de que el continente ha empezado a reaccionar. Esta semana, Países Bajos ha intervenido su segundo fabricante de chips más importante, Nexperia, tras detectar el riesgo de fuga de conocimientos y capacidades tecnológicas clave. La compañía había sido adquirida en 2019 por el grupo chino Wingtech, pero un tribunal de Ámsterdam ha destituido a su director y el Ejecutivo neerlandés se hará cargo de su gestión durante el próximo año.