La Comisión Europea ha lanzado un paquete de soberanía tecnológica que apuesta por el código abierto y triplica la capacidad de centros de datos en el continente. Es una declaración de intenciones clara: Bruselas quiere cortar el cordón umbilical que la ata al ecosistema tecnológico de Estados Unidos, y lo hace sin pedir permiso a nadie en Washington.
Le avanzo el dato más relevante del plan: en un máximo de siete años, la UE quiere levantar hasta cinco AI Gigafactories, enormes instalaciones con 100.000 chips de última generación cada una. Detrás de la cifra se esconde una urgencia que no estaba en las agendas de hace apenas dos años. La desconfianza hacia la Casa Blanca se ha disparado desde que el presidente Trump sancionó al fiscal jefe de la Corte Penal Internacional, Karim Khan, y Microsoft le cortó el acceso al correo electrónico. Aquel movimiento, sumado a la reciente decisión de Apple de retirar la aplicación de mensajería rusa Max de la App Store, ha convencido a los Veintisiete de que la dependencia tecnológica de Washington es una vulnerabilidad estratégica de primer orden.
Francia ya ha movido ficha: este mismo año ha anunciado que sustituirá Microsoft Teams y Zoom por herramientas de código abierto y que migrará miles de puestos de Windows a Linux. Es un gesto simbólico pero con consecuencias operativas. En el ámbito de la inteligencia, cualquier tránsito masivo de sistemas propietarios a entornos de código abierto modifica la superficie de ataque y obliga a los servicios de señales –SIGINT en la jerga del oficio– a recalibrar sus capacidades de interceptación. No es un asunto menor para el CNI ni para el CCN-CERT.
Por qué Europa se quiere desenganchar de la tecnología estadounidense
La estrategia de código abierto que impulsa la Comisión es el corazón del paquete. Reformará las normas de contratación pública para que las administraciones europeas tengan obligación de considerar soluciones de código abierto antes que licencias propietarias, y destinará subvenciones a proyectos comunitarios. El objetivo, aunque no se formule con toda la crudeza, es desenganchar al continente del stack tecnológico que controlan las grandes corporaciones de Silicon Valley. Tengo claro que no es una simple cuestión de eficiencia presupuestaria: es una jugada de contrainteligencia económica.
El capítulo de los semiconductores es más modesto. Europa apenas fabrica el 10% de los chips del planeta, y las nuevas inversiones –bajo la etiqueta European Chips 2.0– aspiran a mejorar condiciones de inversión y acelerar permisos, pero sin ilusiones de autonomía real. Lo relevante es que Bruselas ha sabido dónde poner el dinero: en centros de datos y en infraestructura soberana que permita almacenar y procesar información sin depender de servidores estadounidenses. La limitación será la electricidad, y esa es una partida que el plan no resuelve con la claridad que exige la coyuntura.
Lo que ocurre es coherente con el clima geopolítico. Desde 2025, con un presidente de EE UU que ha coqueteado con la anexión de Groenlandia y ha amenazado con abandonar la OTAN, la confianza en Washington como proveedor de servicios críticos ha caído en picado. En este contexto, que un país como Francia dé el paso a Linux y que la UE triplique centros de datos no es una anécdota de despacho: es el inicio de un divorcio tecnológico con consecuencias para todos los servicios de inteligencia occidentales, incluido el CNI.
La soberanía digital no se conquista con leyes, sino con infraestructura a prueba de interferencias políticas externas.
Así intentó NSO Group burlar la prohibición judicial contra WhatsApp
Mientras Bruselas dibuja su independencia digital, el otro actor de esta historia es una vieja compañera de viaje de los servicios secretos: NSO Group. Meta ha anunciado esta misma semana que detectó una nueva campaña de la empresa israelí para espiar a usuarios de WhatsApp, desafiando la orden judicial permanente que un tribunal estadounidense emitió en 2025. En aquel proceso, NSO llegó a alegar que la prohibición «pondría en riesgo toda su actividad y la sacaría del negocio». Pues bien: ahora parece que las órdenes judiciales no te frenan si decides ignorarlas.
El tradecraft fue clásico aunque chapucero. Meta detectó cuentas de prueba creadas por NSO Group y grupos operativos que intentaban engañar a los usuarios con enlaces maliciosos hacia sitios externos, es decir, ingeniería social de libro. NSO olvidó una regla básica del oficio: si operas como proveedor de capacidades ofensivas para regímenes con mal expediente en derechos humanos, tienes que elegir entre vender solo a clientes aliados –como hace Paragon Solutions, que consulta con el gobierno de EE UU– o asumir que jamás podrás acceder al mercado estadounidense. NSO ha intentado ambas cosas a la vez y el resultado es un desastre legal.
La lectura confidencial es otra. David Friedman, exembajador de Trump en Israel, aceptó en noviembre de 2025 la presidencia ejecutiva de NSO Group. Esa puerta giratoria no ha logrado que la administración retire a la empresa de la lista de entidades sancionadas. Y el último incidente con WhatsApp, lejos de ayudar, refuerza la posición de quienes piden mantener el bloqueo. Meta ha sido explícita: «NSO continúa desafiando a los tribunales estadounidenses».
Fuentes consultadas por esta redacción que siguen de cerca el mercado del spyware confirman que NSO ha perdido casi todo su personal y sus contratos, pero su situación de semimuerte legal la vuelve más peligrosa. Un investigador especializado lo definió así: «es un cadáver reanimado, ahora más desesperado y dispuesto a participar en operaciones que ninguna otra empresa de vigilancia tocaría». Eso, para los servicios de contrainteligencia europeos, significa que Pegasus y sus derivados pueden aparecer en lugares donde antes no se los esperaba. Incluso en suelo español.
Dossier Moncloa: Ojos en la Sombra
El paquete de soberanía y el caso NSO no son dos noticias pegadas con celo; forman parte de una misma dinámica de reajuste del tablero global del espionaje. El vector de amenaza está cambiando de canal: ya no es solo HUMINT –agentes en el terreno– ni SIGINT –interceptación masiva–, sino el control de la infraestructura que sostiene la inteligencia del siglo XXI. Las nubes, los centros de datos, los sistemas operativos y las aplicaciones de mensajería se han convertido en el campo de batalla previo.
Históricamente, la dependencia de tecnología estadounidense ha sido una ventaja para la NSA y la CIA, que han podido, con autorización judicial o sin ella, acceder a datos almacenados por empresas bajo jurisdicción de EE UU. El caso Snowden lo dejó claro. Pero lo que Bruselas plantea es un cambio de arquitectura: si los datos de los ministerios europeos y de las empresas críticas se alojan en centros soberanos y corren bajo software auditado por comunidades abiertas, la capacidad de collection de Washington se reduce. Y con ella, la de cualquier servicio que dependa de las mismas puertas traseras.
Para el CNI, esto ofrece una oportunidad. Un ecosistema de código abierto fomentado por la UE puede proporcionar herramientas más seguras y auditables para las comunicaciones clasificadas españolas. De hecho, ya advertí en El quinto elemento que «en España hay 8.000 infraestructuras críticas y atacables a través de internet». Si el CCN-CERT y el CNI saben leer el momento, podrán impulsar estándares propios de cifrado y mensajería que reduzcan la exposición a exploits comerciales como los de NSO.
Precisamente el caso NSO recuerda que el spyware sigue siendo la herramienta favorita de los servicios de inteligencia que quieren vigilar periodistas, disidentes o políticos rivales sin dejar huella. El precedente más sonado en España fue el caso Pegasus de 2022, cuando se confirmó que los teléfonos del presidente del Gobierno y de varios ministros habían sido infectados. Tres años después, la situación no ha mejorado: un NSO Group acorralado por las sanciones se vuelve más impredecible, y la UE construye infraestructura soberana que, si no se blinda bien, será el nuevo objetivo de los grupos APT –amenazas persistentes avanzadas– patrocinados por estados.
La estimación de clasificación de la maniobra de NSO apunta a un material de nivel Secreto, al menos en lo que respecta a los detalles técnicos de la explotación que Meta no ha hecho públicos. Y la atribución no ofrece dudas: el auto judicial estadounidense de 2025 ya identifica a la compañía israelí, y la presente denuncia de Meta es un refuerzo. Menos claro es si algún cliente gubernamental de NSO estuvo detrás de la campaña. Eso, señor lector, sigue siendo materia de inteligencia.
La partida se jugará en los próximos cinco a siete años: es el plazo que Bruselas se da para triplicar centros de datos y levantar las AI Gigafactories. Para entonces, el CNI debería haberse posicionado en el nuevo ecosistema o depender, como hasta ahora, de acuerdos bilaterales con agencias que operan sobre infraestructura ajena. Le confieso que soy escéptico con la velocidad real del plan, pero reconozco que la dirección es la correcta. Como escribí en Desnudando a Google, «alguien tenía que decir que el rey Google va desnudo». Parece que la Corte Penal Internacional y el gobierno francés ya se han dado cuenta.
