Los ataques iraníes a centros de datos en el Golfo han puesto de manifiesto una vulnerabilidad que muchos preferían ignorar. La infraestructura que sustenta la IA, la computación en la nube y otras industrias no es solo un activo cibernético o comercial, sino también un objetivo tentador.
Irán dejó esto muy claro el 1 de marzo, cuando drones Shahed atacaron dos centros de datos de Amazon Web Services (AWS) en los Emiratos Árabes Unidos y dañaron una tercera instalación en Bahréin, interrumpiendo los servicios en aplicaciones bancarias, de pagos y de consumo. El Cuerpo de la Guardia Revolucionaria Islámica de Irán a continuación publicó una lista de 29 objetivos adicionales que planeaba atacar en todo el Golfo, incluidos activos regionales pertenecientes a hiperescaladores estadounidenses como Google, Microsoft, Oracle, Nvidia, IBM y Palantir, algunos de cuyos servicios de IA ha utilizado el Departamento de Defensa de Estados Unidos contra Irán y Venezuela.
Esta es la primera vez que un país ataca de forma organizada la infraestructura de centros de datos comerciales. Europa, en particular, debería hacer una pausa y reflexionar sobre los supuestos que subyacen a las inversiones y despliegues de infraestructura digital, ya que los ataques con drones iraníes contra centros de datos en Oriente Medio tienen implicancias para su propia seguridad económica.
Para entender el porqué, primero hay que comprender cómo ya han cambiado los despliegues de infraestructura de computación en la nube y en red. En el pasado, la computación en la nube dependía principalmente en nodos centralizados a gran escala, que a menudo se encontraban fuera del entorno inmediato del usuario; por ejemplo, un fabricante o un intermediario financiero europeo enrutaba las cargas de trabajo a los centros de datos de AWS en el norte de Virginia.
Un cartel de Amazon en un centro de distribución de la empresa en San Francisco, California (EE. UU.). Foto EFEPero ahora, dicha infraestructura se está acercando físicamente al usuario y a las empresas, servicios públicos, sistemas industriales y los dispositivos individuales que dependen de ella -lo que la industria denomina “computación de borde”. Investigaciones europeas recientes muestran que los nodos de borde de la UE pasaron de 498 en 2022 a 1.836 en 2024, y se espera que el 75% de las empresas europeas integren soluciones de nube de borde en sus operaciones para 2030.
Esta localización refleja dos tendencias que se refuerzan mutuamente. La primera es la expansión acelerada de las aplicaciones de IA que dependen de la computación intensiva y del procesamiento de datos en tiempo real. Muchas de ellas -como los sistemas de percepción y control de vehículos autónomos y los algoritmos de negociación de alta frecuencia- no admiten retrasos. Dado que incluso pequeñas demoras pueden degradar el rendimiento, la precisión o la calidad del servicio, estos sistemas dependen de un procesamiento de baja latencia cerca del lugar donde se generan y utilizan los datos.
La segunda tendencia es el creciente impulso hacia la localización de datos, la privacidad y el cumplimiento regulatorio -que es especialmente fuerte en Europa, debido al Reglamento General de Protección de Datos (RGPD) y a la Ley de IA de la UE. Las arquitecturas de nube, antes globalizadas, se están fragmentando en implementaciones sujetas a jurisdicciones específicas que deben operar dentro de los límites legales, cada una con sus propias estructuras de computación, almacenamiento y procesamiento.
Sin embargo, tal y como están las cosas, la infraestructura de datos distribuida y estratificada que sustenta las funciones críticas de Europa -en comunicaciones, finanzas, sanidad, logística y operaciones industriales- supone una desventaja. Si usted es una empresa importante de telecomunicaciones que opera infraestructura de nube y de borde soberana en varios estados miembro, no puede redirigir las cargas de trabajo entre jurisdicciones con la misma libertad y rapidez que los grandes proveedores de servicios en la nube (en su mayoría con sede en Estados Unidos). Sus datos de red -registros de tráfico, metadatos de abonados y registros de interconexión- están sujetos al RGPD, a la legislación nacional de telecomunicaciones y a las normas sobre seguridad y resiliencia de los sistemas de información y redes de la UE.
En los casos en que los sistemas de IA se implementan en redes, deben cumplir con los requisitos de gobernanza de la Ley de IA, lo que implica que las restricciones específicas de cada jurisdicción limitan la arquitectura subyacente. Además, estos sistemas suelen implementarse como instancias independientes, y no como un conjunto integrado globalmente. Como resultado de ello, a los operadores europeos les resulta más difícil llevar a cabo el tipo de redireccionamiento dinámico que un proveedor de servicios en la nube a gran escala podría ejecutar en respuesta a una interrupción del servicio o una falla física.
El stand de Amazon Web Services Inc. (AWS) en la feria comercial Hannover Messe 2026 en Hannover, Alemania. Foto BloombergEsta limitación cobra aún más importancia ahora que la geografía de la nube se ha convertido en un riesgo geopolítico. Los ataques a los centros de datos del Golfo demuestran que la exposición física debe tenerse en cuenta no solo en las decisiones de ubicación, sino también en estrategias de resiliencia más amplias, modelos de redundancia y marcos regulatorios. Para las empresas europeas, el nuevo proceso de evaluación de riesgos podría comenzar con la identificación de vulnerabilidades físicas en la infraestructura tecnológica -incluida la infraestructura de terceros y de nube- y pruebas de estrés para determinar si las redundancias que existen en teoría funcionan realmente según lo previsto durante las interrupciones físicas.
A diferencia de Estados Unidos, Europa no cuenta con grandes proveedores de servicios en la nube a los que proteger, ni con un único aparato de seguridad que los proteja, ni con una estructura de mando unificada que pueda brindar apoyo gubernamental a las infraestructuras digitales fragmentadas y de ámbito nacional. Aun así, la UE debe empezar a tratar la infraestructura digital como una cuestión de seguridad, y no solo como una cuestión regulatoria. Dado que un sistema aislado a nivel nacional, aunque cumpla con todos los requisitos regulatorios, puede constituir un punto único de fallo, Europa necesita urgentemente cerrar la brecha entre la gobernanza y la implementación de la infraestructura digital crítica.
Para los responsables de las políticas, eso empieza por ser honestos sobre los riesgos de concentración que conllevan los despliegues confinados localmente y sin planes de contingencia. También implica una coordinación con la industria para someter a pruebas de estrés las redundancias transfronterizas, invertir en mecanismos de coordinación de incidentes transfronterizos que puedan funcionar bajo presión y elevar los estándares mínimos de resiliencia en toda la UE para tener en cuenta la concentración física y la exposición geográfica.
Es posible que Irán haya atacado los centros de datos del Golfo para encarecer la cooperación tecnológica entre Estados Unidos y el Golfo, desestabilizar a los mercados financieros dominados por Estados Unidos o atacar la infraestructura de IA que sustenta cada vez más el poderío militar estadounidense. Pero sería un error que Europa considerara esas tácticas como un problema ajeno. La guerra ya ha cambiado radicalmente el panorama para cualquiera que dependa de la infraestructura digital. Es imprescindible comenzar a reforzar ya mismo la arquitectura tecnológica europea.
Copyright: Project Syndicate, 2026. www.project-syndicate.org
*Soňa Muzikárová, ex economista del Banco Central Europeo, ex diplomática de la OCDE y ex asesora principal del viceministro de Asuntos Exteriores de la República Eslovaca, es investigadora principal no residente del Atlantic Council.
