Opinión | La falacia de la Soberanía Digital. Escribe Fernando Brum

Recibí notificaciones de las noticias más relevantes del Portal

Suscribite GRATIS a nuestro canal de WhatsApp y recibí las noticias en tu celular

Recibí notificaciones de las noticias más relevantes del Portal

Suscribite GRATIS a nuestro canal de WhatsApp y recibí las noticias en tu celular

Cada tanto, en Uruguay, alguien que no trabaja en tecnología descubre la palabra “soberanía digital” y se enamora. La fórmula es siempre la misma: nuestros datos en servidores nuestros, nuestro correo en gestores nuestros, y —en la versión más ambiciosa— nuestra propia inteligencia artificial. Suena a independencia, a dignidad, a no depender de los gigantes de afuera. Me recuerda al entusiasmo de hace treinta años con el “software libre”, cuando lo importante no era que el programa funcionara sino que uno pudiera, teóricamente, abrir el código y modificarlo. Prácticamente nadie lo modificaba. Pero la posibilidad consolaba.

Empecemos por lo concreto. El Estado uruguayo tiene su correo propio, los dominios .gub.uy, en servidores propios. El resultado real, el que cualquiera que haya trabajado con el Estado conoce, es que en muchas oficinas la gente usa su Gmail personal para trabajar, porque el correo oficial funciona mal, y ni hablemos del uso “oficial” del Whatsapp. Buena parte corre sobre instalaciones de Zimbra viejas, sin la capacidad de filtrar spam ni de defenderse de ataques con la solvencia que eso exige hoy. La soberanía, en los hechos, empujó a los funcionarios a una solución peor y menos controlada que la que se quería evitar. Tenemos el servidor propio. No tenemos quién lo mantenga bien.

El problema no son los técnicos. Como en todas partes, hay técnicos muy buenos y también de los otros. El problema es estructural: muchas dependencias no tienen el presupuesto que esa tarea exige. Operar infraestructura crítica al nivel de un Google o un Microsoft cuesta caro de verdad, y cuesta sobre todo en lo más difícil de financiar, que es la gente. Con sueldos que no compiten con los del sector privado, el Estado forma buenos técnicos y después los ve irse hacia donde les pagan mejor y los desafían más. No es un cuerpo de incompetentes: es un cuerpo crónicamente sin los recursos —presupuesto, salarios, equipos— que la responsabilidad asignada requiere. Pedirle a una estructura financiada para una cosa que opere a la altura de otra mucho más cara no es exigente: es ingenuo.

Esto no es una rareza nuestra. Es el patrón en muchos países, algunos parecidos a Uruguay y otros no, que intentaron el camino casero. India prohíbe Gmail para uso oficial desde hace una década y obliga a usar su servicio estatal; la prensa especializada india admite hoy que el problema no es tener el servicio —lo tienen— sino lograr que la gente lo use, porque Gmail “funciona mejor” y termina llenando los huecos hasta en la oficialidad. Filipinas, tras una racha de hackeos a sus agencias, salió a contratar una “nube soberana” privada cuyo argumento de venta era, textualmente, sacar los datos “del servidor dentro de la oficina del organismo”: es decir, reconocer que el equivalente a nuestro Zimbra obsoleto era el problema, no la solución. Brasil, con toda su retórica soberanista, terminó haciendo pruebas con Microsoft para alojar su nube “soberana”.

El caso que más debería hacernos pensar es Costa Rica, porque es el país más parecido a nosotros: chico, estable, bien visto, lejos de cualquier conflicto geopolítico. En 2022 el ransomware Conti paralizó al Estado costarricense. Cerca de treinta instituciones afectadas, la recaudación de impuestos y las aduanas frenadas, pérdidas estimadas en treinta millones de dólares diarios por el comercio exterior detenido, el Ministerio de Hacienda obligado a volver al papel. Semanas después, un segundo grupo golpeó a la seguridad social y dejó fuera de servicio el expediente digital de salud, con decenas de miles de citas médicas reprogramadas. ¿La causa? En los dos casos, lo mismo: credenciales robadas, sin segundo factor de autenticación, redes sin segmentar, parches sin aplicar. No los hackeó nadie por tener los datos afuera. Los hackearon por no poder cuidar bien los que tenían adentro.

Nosotros ya tuvimos nuestra propia señal de alarma. Cuando Pampa Leaks se llevó de la Dirección Nacional de Identificación Civil millones de nombres y las cédulas —todos los registrados hasta 2020, según el propio grupo—, no falló la soberanía: falló la capacidad de operar y defender lo que habíamos decidido tener en casa. Y el método no fue ningún prodigio de espionaje: una interfaz de consulta sin los límites ni las protecciones más elementales, una puerta que nadie había cerrado bien. El mismo grupo logró entrar al sistema de identidad digital de Antel UyID. Le pregunto al lector dónde tiene sus datos?, en la nube de Apple, en la de Google, en Azure, en AWS o en un servidor del Estado?. No es un tema de patriotismo, es análisis de riesgos.

Porque ese es el verdadero eje de la discusión, y no el que propone el discurso soberanista. La pregunta no es “datos adentro o datos afuera”. La pregunta es “operados con el presupuesto y el talento adecuados, o operados con un presupuesto inadecuado”. Un servidor no es más seguro por ser uruguayo. Es más seguro si alguien lo parchea, lo monitorea y lo defiende con disciplina, veinticuatro horas al día, todos los días del año. Y esa disciplina sostenida es exactamente lo que cuesta una fortuna y lo que un Estado chico no puede sostener en el tiempo. La industria lo sabe: la enorme mayoría de las brechas no ocurre por dónde está el dato, sino por errores de operación —configuraciones mal hechas, parches que no se aplicaron, accesos mal administrados—. Es decir, por lo que falla cuando no tenés los recursos para cuidar la casa.

El argumento serio a favor de la soberanía no es técnico, es jurídico: la ley estadounidense puede obligar a Google o a Microsoft a entregar datos aunque estén alojados en otro país. Es un riesgo real y hay que nombrarlo. Pero hay que ponerlo en perspectiva. Para la abrumadora mayoría de los datos que maneja el Estado uruguayo, la probabilidad de que una agencia de inteligencia extranjera se interese por ellos es ínfima. La probabilidad de que un grupo de ransomware los secuestre porque el sistema no se actualizó hace seis meses es altísima. Estamos blindándonos contra una amenaza teórica y exótica mientras dejamos la puerta de calle abierta a la amenaza real y cotidiana. La soberanía digital, como la imaginamos, nos protege del espía que no va a venir y nos expone al delincuente que ya está acá.

Lo mismo vale, y con más fuerza todavía, para la fantasía de la IA soberana. El proyecto regional existente, Latam-GPT, liderado por Chile y con participación uruguaya, es un esfuerzo respetable y bienintencionado. Pero seamos honestos con las cifras y con lo que es. El supercomputador que va a entrenarlo, instalado en la Universidad de Tarapacá, costó cuatro millones y medio de dólares; el financiamiento del proyecto en sí fue de poco más de medio millón. Su primera versión, paradójicamente, se entrenó sobre infraestructura de Amazon. Y, pese al nombre, no es un asistente con el que uno converse como con ChatGPT: es una gran base de datos regional. Cuatro millones y medio de dólares es, en el mundo de la IA de frontera, una cifra que se gasta en un fin de semana de entrenamiento. Es —vuelvo a una palabra que ya usé en artículos anteriores— homeopática.

Y la homeopatía tiene un problema que no es solo que no cura: es que entretiene. Da la sensación de estar haciendo algo. Permite el anuncio, la foto, el grupo de trabajo, la satisfacción de “estar en la conversación de la IA”. Mientras tanto, el dinero y el talento que se van en sostener esa ilusión de autosuficiencia son dinero y talento que no se ponen donde sí podrían mover la aguja: en formar gente, en usar inteligentemente las mejores herramientas que ya existen, en construir sobre los gigantes en lugar de fingir que competimos con ellos.

La pregunta es dura pero necesaria. ¿Vale la pena invertir en homeopatía? ¿Vale la pena gastar plata y, sobre todo, el escaso talento técnico que el Estado todavía retiene, en sostener una soberanía simbólica que no nos hace ni más seguros ni más capaces?