«Nube soberana». Dos palabras que se pronuncian con solemnidad en las reuniones y que no significan nada hasta que se desentrañan. La mayoría de los directivos que las utilizan creen que están comprando el color de una bandera. Lo que compran es un contrato, sujeto a una normativa y gestionado por alguien. El resto es pura fachada.
Analicemos los términos. Sin culpar a nadie y sin dramatismos.
Lo que designa la palabra, ante todo
La palabra «cloud» no proviene de una metáfora poética. Proviene de un dibujo. Desde los años 70 y 80, los ingenieros de redes representan con una pequeña nube la parte de la infraestructura que no controlan: primero, la red de área amplia (WAN) del operador de telecomunicaciones; después, Internet en su totalidad. Una convención gráfica, nada más. Lo que uno controla, se dibuja con recuadros y cables. Lo que uno no controla, se dibuja como una nube. El término ha pasado del esquema al mercado, pero la idea original sigue siendo acertada: la nube es aquella parte de la informática que escapa a su control directo.
De ahí surge una serie de ideas preconcebidas que hay que desmontar. iCloud no es computación en la nube: es un servicio de sincronización de archivos entre dispositivos de Apple. Google Drive tampoco: es almacenamiento en línea. «Todo lo que no está en nuestros centros de datos» no es una definición. «Alojado en Francia» tampoco. Estas simplificaciones confunden un uso generalizado o una ubicación con un modelo de prestación de servicios concreto.
Este modelo lo estableció el NIST en 2011, en la publicación SP 800-145, y desde entonces sirve de referencia mundial. Cinco criterios acumulativos definen la computación en la nube: el autoservicio bajo demanda (el cliente aprovisiona sus recursos por sí mismo, sin intervención humana por parte del proveedor), el acceso a una red de banda ancha (los recursos están disponibles en la red a través de mecanismos estándar), la compartición de recursos (un mismo parque físico da servicio a varios clientes, que desconocen la ubicación exacta de sus datos), la elasticidad rápida (la capacidad aumenta y disminuye prácticamente en tiempo real) y el servicio medido (el uso se contabiliza y se factura según el consumo). Un servicio que no cumpla estos cinco requisitos no es «la nube» en sentido estricto: se trata de alojamiento dedicado o de gestión de sistemas.
Deloitte resume el cambio de paradigma de una fórmula: la nube es la transformación de la informática en un servicio público, siguiendo el modelo de la electricidad. Usted no produce su propia electricidad, la obtiene de la red y paga lo que marca su contador. La nube aplica esta lógica al cálculo y al almacenamiento. Es útil tener presente esta perspectiva: lo que usted adquiere no es una máquina, sino una conexión.
Una nube no es un lugar, es un contrato
Nos imaginamos la nube como un lugar, una nube, en algún sitio allá arriba. Es todo lo contrario a un lugar. Capacidad informática alquilada bajo demanda, facturada por uso y gestionada por un tercero. Tres niveles, desde el más básico hasta el más completo. La infraestructura (IaaS): alquilas máquinas y almacenamiento. La plataforma (PaaS): alquilas lo necesario para ejecutar tus aplicaciones sin tener que gestionar los servidores. El software (SaaS): alquilas la aplicación ya lista para usar, tu correo electrónico, tu CRM.
En cada nivel, delegas más. En cada nivel, otra persona tiene las llaves de tus datos. La pregunta relevante no es «¿dónde están mis datos?», sino «¿quién puede acceder a ellos y con qué derechos?».
Qué se entiende por «nube» cuando se habla de OVH y AWS
La tabla de Deloitte ofrece una referencia sencilla. Contratar servicios en la nube no es comprar un equipo, sino contratar una conexión. Usted no es propietario de la central eléctrica, sino que enchufa un cable y consume la electricidad que necesita. La factura se basa en el contador: usted paga lo que indica su consumo, ni más ni menos. La pregunta clave surge justo a continuación. ¿Todo lo que el mercado engloba bajo el término «nube» cumple realmente los cinco criterios de la definición del NIST, o se trata en ocasiones de algo distinto a lo que se le ha dado un nuevo nombre para seguir la moda?
AWS responde a esta pregunta de la forma más clara. Lanzado en 2006, el servicio ha construido una infraestructura mundial que cumple los cinco criterios punto por punto. Autoservicio total: una consola, API, Terraform… usted gestiona los recursos sin necesidad de hablar con nadie. Acceso universal a la red: el recurso se utiliza desde cualquier terminal conectado. Compartición a escala planetaria: decenas de regiones, millones de clientes sobre una base compartida. Elasticidad con precisión milimétrica: puede aumentar o reducir la carga sin previo aviso. Facturación por segundo: el contador registra cada segundo, cada consulta y cada gigabyte transferido. Sobre esta base, cientos de servicios gestionados, todos ellos interoperables, transforman la informática en un servicio tan transparente como la corriente de la red. Se trata de la industrialización del modelo de Deloitte llevada a gran escala.
OVH, que pasó a llamarse OVHcloud en 2021, cuenta una historia diferente. La empresa nació en 1999 como proveedor de servidores dedicados y creció vendiendo potencia bruta al mejor precio del mercado. El modelo funciona con servidores dedicados, compartidos y VPS: se alquila una máquina o una parte de ella, se mantiene y se paga una cuota mensual. Cuando el mercado dio el salto al modelo de conexión elástica, la empresa añadió la palabra «cloud» a su catálogo existente.
Sin embargo, parte de ese catálogo no cumple los cinco criterios. Un servidor dedicado carece de elasticidad: es una máquina fija que se alquila mensualmente, no un recurso que se amplía y se reduce según la demanda. Algunos VPS no se facturan por uso en tiempo real, sino mediante una tarifa plana. Algunos servicios no ofrecen el autoservicio completo que define el modelo. No se trata de un juicio de valor, sino de la definición del NIST aplicada al pie de la letra. Una buena parte de estas ofertas se enmarca en el alojamiento, no en la nube en sentido estricto.
El cambio de nombre a OVHcloud es un reflejo comercial de ello: se añade la palabra «cloud» a una oferta heterogénea para mantenerse al día con las tendencias actuales. OVH sigue siendo un actor importante en el mercado del alojamiento de bajo coste a gran escala, y este mercado tiene su propia legitimidad. Sin embargo, la confusión entre este alojamiento y la nube industrializada distorsiona la interpretación, ya que equipara dos productos que no funcionan según la misma lógica.
Esta diferencia no es en absoluto casual: refleja dos contextos industriales que no contaban con los mismos recursos. AWS se desarrolla en un país de trescientos treinta millones de habitantes, en un mercado interior homogéneo en el que una oferta, una vez implantada, se dirige de inmediato a una inmensa base de clientes. El capital de riesgo fluye allí sin límites, dispuesto a financiar años de pérdidas para construir una infraestructura global. Y el Estado federal actúa como principal cliente de referencia, desde los contratos del Pentágono hasta los de la CIA, lo que garantiza una salida comercial masiva y un respaldo de credibilidad. OVH crece en un entorno en el que no se da ninguna de estas tres condiciones: un mercado fragmentado por idiomas y legislaciones nacionales, un capital de riesgo escaso y reticente, y una contratación pública que no recurre de forma espontánea a un actor local emergente. No es una cuestión de talento ni de ambición, sino de medios estructurales. No se construye lo mismo con las mismas manos cuando el suelo bajo los pies no es el mismo.
Esta desigualdad inicial es en sí misma una dimensión de la soberanía digital, y la que con mayor frecuencia se olvida. Cuando se habla de la nube soberana en Francia o en Europa, las opciones disponibles están limitadas por lo que este contexto industrial ha permitido construir. Un país que no cuenta con un hiperescalador propio no puede mantener el mismo debate sobre la soberanía que un país que sí lo tiene: le falta el pilar fundamental. Por eso, contraponer a OVH y a AWS para extraer conclusiones sobre la soberanía da lugar a razonamientos sesgados. Ambos actores no crecen en el mismo terreno. Las cuestiones de dependencia, portabilidad y legislación aplicable no se plantean en los mismos términos según se trate de un proveedor de alojamiento surgido de una restricción presupuestaria o de un servicio industrial nacido de un proyecto de poder, respaldado por un capital, un mercado y un Estado que lo deseaban.
La consecuencia se aprecia en cuanto se comparan. Cuando se comparan OVH y AWS desde la perspectiva de la «soberanía en la nube», a menudo se comparan dos conceptos distintos. Las cuestiones de reversibilidad, dependencia y legislación aplicable no se plantean en los mismos términos, dependiendo de si se alquila un servidor dedicado o se contrata una conexión elástica. En un servidor dedicado, la reversibilidad se refiere sobre todo a la portabilidad de sus datos y de su configuración. En una conexión elástica, depende de su grado de dependencia de los servicios gestionados propietarios, lo cual es un problema totalmente distinto.
Es necesario saber primero de qué se está hablando antes de plantear la pregunta. Denominar correctamente el objeto —alojamiento o nube— no es un simple detalle de vocabulario: es la condición previa para plantear la pregunta adecuada sobre la soberanía, aquella que se corresponde con el producto que realmente se tiene entre manos.
La verdadera cuestión no es la bandera, sino la ley
Este es el punto que el marketing elude. Un servicio puede mostrar una bandera francesa, tener servidores en Francia y un equipo en París, y seguir estando sujeto a la legislación de otro país. La ley estadounidense CLOUD Act, aprobada en 2018, autoriza a las autoridades de Estados Unidos a exigir los datos en poder de una empresa sujeta a su jurisdicción, independientemente de dónde estén almacenados físicamente dichos datos. La ubicación no protege. La vinculación jurídica del operador, sí.
Una nube soberana en el sentido estricto es un servicio al que ninguna ley extranjera puede acceder. No es un logotipo. Es una característica que se puede verificar: a qué legislación está sujeto el operador, quién puede obligarle a cumplirla y qué ocurre el día en que se le corta el acceso.
El único indicador válido
En Francia, solo hay un indicador que da fe. La calificación SecNumCloud, expedida por la ANSSI. La CNIL lo dice sin rodeos: es, a día de hoy, el único indicador que reconoce para calificar una nube como soberana, porque se centra precisamente en la impermeabilidad frente a las leyes extraterritoriales. Una calificación, no una certificación: un visado de seguridad, respaldado por la doctrina estatal «Cloud au centre» y, posteriormente, por la ley SREN, cuyo artículo 31 exige que los proyectos en la nube del Estado cuenten con un servicio inmune a dichas leyes.
La calificación sigue siendo el indicador que reconoce la CNIL, pero por sí sola no garantiza la soberanía: es una condición necesaria, pero no suficiente. Hay dos razones para ello. En primer lugar, es posible que el ámbito de la certificación no abarque la totalidad de los servicios que se utilizan realmente: una oferta puede estar certificada en su capa de infraestructura (IaaS) sin estarlo en su capa de plataforma (PaaS), por lo que una organización que utilice ambas solo cubrirá una parte de su uso. En segundo lugar, la certificación no prejuzga ni la calidad operativa en el día a día ni la reversibilidad efectiva, que solo se comprueba ante una salida real del servicio. AWS dispone de una infraestructura en Francia, sin certificación SecNumCloud hasta la fecha en su oferta estándar: prueba de que la localización por sí sola no basta, y de que la certificación es precisamente lo que la presencia física en el territorio nunca garantiza.
El ecosistema se está estructurando rápidamente y avanza por caminos que sorprenden. Bleu, impulsado por Capgemini y Orange, aspira a obtener la calificación encapsulando las tecnologías de Microsoft Azure, aisladas de la infraestructura global del grupo. S3NS, una empresa conjunta de Thales y Google, obtuvo la suya en diciembre de 2025, siendo la primera en abarcar tanto la infraestructura como la plataforma de una sola vez. Ofertas basadas en la tecnología de los gigantes que, según se decía, se quería evitar, adaptadas para cumplir con la legislación. La realidad es más retorcida que los discursos. En marzo de 2026, la ANSSI y su homóloga alemana publicaron criterios comunes de soberanía, señal de que el ámbito europeo busca por fin una base, tras años de estancamiento en torno al esquema EUCS.
Desde el punto de vista estructural, S3NS y Bleu responden a la misma ecuación. Se trata de empresas conjuntas entre un actor francés y un hiperescalador estadounidense: Capgemini y Orange frente a Microsoft Azure en el caso de Bleu, y Thales frente a Google Cloud en el caso de S3NS. Su función se resume en una frase: gestionar una instancia aislada y certificada por SecNumCloud de la pila de su socio estadounidense. La estructura es francesa, el perímetro es hermético, pero el código, los algoritmos y los servicios siguen siendo los de Microsoft y Google.
De ahí surge la tensión fundamental. Cumplir con SecNumCloud resuelve el problema legal: los datos no salen del perímetro certificado, y se aplica la legislación francesa sin interferencia de ninguna ley extranjera. La dependencia tecnológica e industrial, sin embargo, sigue siendo total. Si Microsoft o Google interrumpen la tecnología subyacente, rescinden la colaboración o modifican sus condiciones, la soberanía jurídica no protege la continuidad operativa. No se trata de un defecto de diseño de estas ofertas: es una tensión estructural entre dos interpretaciones del término «soberanía» que se tiende a confundir.
La pregunta que se le plantea al directivo se formula, pues, con precisión. La soberanía jurídica y normativa —SecNumCloud y la inmunidad frente a las leyes extraterritoriales— responde a una categoría de riesgo muy real. La soberanía industrial —el control de la pila tecnológica y la posibilidad de cambiar de proveedor sin tener que reescribirlo todo— responde a otra categoría, igualmente real. Ninguna de las dos es sustitutiva de la otra. Un contrato de SecNumCloud reduce la exposición jurídica: no garantiza ni la reversibilidad ni la independencia tecnológica. Saber cuál de las dos se adquiere y cuál queda por construir, esa es la decisión.
Cómo se aborda esto hoy en día
El directivo no tiene por qué convertirse en jurista ni en ingeniero. Solo tiene que plantear cuatro preguntas y exigir respuestas por escrito. ¿A qué legislación se rige el contrato? ¿Qué datos se transmiten y adónde? ¿El servicio está cualificado y para qué ámbito exacto? ¿Qué ocurre si el proveedor desaparece o se le corta el servicio, lo que se conoce como reversibilidad?
La soberanía no es el color de un logotipo ni la nacionalidad de un accionista. Es un conjunto de características que se verifican línea por línea. Mientras se hable de banderas, se habla de comunicación. El día en que se hable de legislación aplicable, cualificación y reversibilidad, por fin se estará hablando del tema.
Fuentes
- ANSSI, certificación SecNumCloud y doctrina «Cloud au centre», cyber.gouv.fr
- CNIL, entrevista sobre la nube soberana, Le Journal des Entreprises, mayo de 2026
- Observatorio SecNumCloud, CyberTaskForce, diciembre de 2025
- OVHcloud, historial y resultados del ejercicio 2025
- CLOUD Act (Estados Unidos, 2018); Ley SREN, artículo 31