En julio de 2024, una actualizacion defectuosa de CrowdStrike afecto a 8,5 millones de dispositivos Windows en todo el mundo. Aerolineas dejaron de volar. Hospitales reprogramaron cirugias. Bancos cerraron sucursales. No fue un ciberataque. Fue una actualizacion rutinaria de un unico proveedor de seguridad que tenia acceso privilegiado al kernel de millones de equipos.
Ese evento deberia haber sido una senal de alarma para todos los directorios del mundo. Lo que demostro es que la concentracion tecnologica no es solo un tema de eficiencia operativa: es un riesgo estrategico que puede paralizar organizaciones enteras en cuestion de horas.
El mapa de la concentracion
Como documentamos en nuestra investigacion sobre concentracion tecnologica y dependencia global, el nivel de concentracion en el ecosistema tecnologico actual es extraordinario:
- Nube publica: Tres proveedores (AWS, Azure, Google Cloud) concentran mas del 65% del mercado global de infraestructura cloud. En America Latina, la dependencia es aun mayor porque la oferta local de alternativas es limitada.
- Sistemas operativos de escritorio: Windows tiene mas del 72% del mercado corporativo en LATAM. Una falla en ese ecosistema afecta a tres de cada cuatro estaciones de trabajo.
- Seguridad endpoint: El incidente de CrowdStrike mostro que cuando un unico agente de seguridad tiene acceso a nivel de kernel en millones de dispositivos, la cadena de confianza se convierte en un punto unico de falla.
- Semiconductores: TSMC fabrica mas del 50% de los chips avanzados del mundo. Una interrupcion en Taiwan afecta la cadena de suministro tecnologico global.
Por que es un riesgo estrategico y no solo operativo
La diferencia entre un riesgo operativo y uno estrategico es que el segundo puede afectar la viabilidad del negocio. La concentracion tecnologica cruza esa linea por tres razones:
- Riesgo de disponibilidad masiva: Cuando tu infraestructura critica depende de un unico proveedor, su falla es tu falla. No hay plan B que se active en minutos si tu nube primaria se cae y no tenes una estrategia multi-cloud operativa.
- Riesgo regulatorio y geopolitico: Las tensiones entre Estados Unidos y China estan redefiniendo las cadenas de suministro tecnologico. Las restricciones de exportacion de chips, las prohibiciones de software y las exigencias de localizacion de datos estan creando un mapa tecnologico fragmentado donde la neutralidad no es una opcion viable.
- Riesgo de soberania de datos: Cuando tus datos criticos estan en servidores de un proveedor extranjero, sujetos a la jurisdiccion de otro pais (CLOUD Act, por ejemplo), tu organizacion esta expuesta a decisiones que no controla y que pueden contradecir la regulacion local.
Lo que los directorios deberian estar discutiendo
En las evaluaciones de gestion de riesgos GRC que facilito, hay cinco preguntas que todo directorio deberia tener en su agenda:
- ¿Cual es nuestro indice de concentracion por proveedor critico? ¿Cuantos de nuestros servicios esenciales dependen de un unico proveedor? ¿Que porcentaje de nuestra infraestructura esta en una sola nube?
- ¿Tenemos una estrategia de salida documentada y probada? No un plan teorico. Un procedimiento operativo que haya sido testeado al menos una vez, con tiempos de migracion estimados y costos reales.
- ¿Evaluamos el riesgo geopolitico de nuestros proveedores? ¿Donde estan sus data centers? ¿Bajo que jurisdiccion operan? ¿Que pasa si una regulacion extranjera nos obliga a cambiar de proveedor en 90 dias?
- ¿Nuestros contratos incluyen clausulas de portabilidad y continuidad? ¿Podemos extraer nuestros datos en formatos estandar? ¿El proveedor esta obligado a mantener servicio durante un periodo de transicion?
- ¿Incluimos la concentracion tecnologica en nuestro mapa de riesgos estrategicos? Si la respuesta es no, el mapa esta incompleto.
No es paranoia, es gobernanza
Diversificar no significa rechazar a los grandes proveedores. Significa tener conciencia del riesgo que implica la dependencia y tomar decisiones informadas. Algunas organizaciones van a aceptar ese riesgo conscientemente porque el costo de diversificar es mayor que el beneficio. Esta bien, siempre que sea una decision del directorio documentada y no una omision por desconocimiento.
Lo que no esta bien es que un directorio no sepa que el 85% de su infraestructura critica depende de un unico proveedor que opera bajo una jurisdiccion que puede cambiar las reglas del juego sin aviso previo.
Un punto de partida
El primer paso no es comprar mas tecnologia. Es mapear la dependencia existente. Un analisis de concentracion tecnologica como parte del diagnostico de riesgos organizacionales te muestra donde estan los puntos unicos de falla y te permite tomar decisiones con datos, no con supuestos.
Si tu directorio no tiene esta conversacion, alguien deberia ponerla en la agenda. Los riesgos que no se miden no se gestionan. Y la concentracion tecnologica es un riesgo que se esta midiendo en muy pocas organizaciones de la region.