CrowdStrike es el último ejemplo del "efecto Bruselas"
Jennifer Huddleston dice que al menos parte de la culpa del catastrófico impacto de CrowdStrike la tienen las normativas europeas que obligan a Microsoft a estructurar ciertas funciones por motivos de cumplimiento, lo que abre posibles responsabilidades en materia de seguridad.
En julio de 2024, millones de personas y empresas vieron sus vidas perturbadas por un apagón informático mundial causado por una actualización defectuosa del software publicado por la empresa de ciberseguridad CrowdStrike. La actualización defectuosa causó una calamidad que afectó a todo, desde Starbucks y McDonald's hasta la Bolsa de Londres y las aerolíneas.
Al menos parte de la culpa del catastrófico impacto de CrowdStrike la tienen las normativas europeas que obligan a Microsoft a estructurar determinadas funciones por motivos de cumplimiento, lo que abre posibles responsabilidades en materia de seguridad.
Aunque el incidente de CrowdStrike puede ser el ejemplo más oportuno y significativo, es sólo una de las muchas formas en que la normativa europea está afectando cada vez más a los consumidores estadounidenses y ofreciéndoles productos menos innovadores y menos seguros.
¿A qué se debe? Empecemos por la situación de CrowdStrike. Un acuerdo de 2009 con los reguladores europeos exigía que Microsoft diera a otros servicios de seguridad el mismo nivel de acceso a su sistema Windows que el que tiene ella misma. El resultado es que cuando se produce un fallo en un sistema de seguridad -como la actualización defectuosa de CrowdStrike-, puede tener efectos mucho más devastadores en todo el sistema operativo y, por tanto, un impacto global más amplio.
La Comisión Europea ha rebatido las afirmaciones de que dicho acuerdo ha obligado a Microsoft a adoptar esta postura, afirmando que "Microsoft es libre de decidir su modelo de negocio". Sin embargo, la normativa europea está eliminando la capacidad de las empresas tecnológicas estadounidenses para controlar sus propios modelos de negocio.
La Ley de Mercados Digitales (DMA), una normativa de la Unión Europea (UE) a partir de 2022, designa a cinco empresas estadounidenses entre sus "guardianes" e impone importantes restricciones a los tipos de servicios que estas empresas pueden ofrecer, cómo presentan sus productos y, en algunos casos, exige un acceso adicional a través de obligaciones de interoperabilidad. Como señala Shane Tews, de AEI, en virtud de la DMA, Apple, que no se vio afectada por los problemas de CrowdStrike debido a su ecosistema cerrado, podría verse obligada a crear el mismo tipo de vulnerabilidades de seguridad dando acceso adicional a terceros proveedores.
La DMA ya ha provocado que las empresas retiren varios servicios y funciones del mercado europeo -servicios y funciones que los estadounidenses pueden seguir utilizando- debido a sus requisitos de cumplimiento. Estos van desde la pérdida de la función de control parental "Ask to buy" en la App Store de Apple hasta cambios significativos en la interfaz de servicios como Google Maps. Estos cambios no solo perjudican a los consumidores europeos al limitar su acceso a los productos, sino que estas normativas imponen dificultades a las pequeñas empresas a las que pretenden proteger, ya sea eliminando su visibilidad en los motores de búsqueda o suprimiendo funciones que pueden ayudar a generar confianza en los consumidores.
Pero como demuestra el problema de CrowdStrike, el impacto de la normativa europea ya no se limita a Europa. Como ocurre con muchos requisitos de cumplimiento normativo, puede que no sea tecnológica o económicamente viable ofrecer simplemente un producto diferente en Europa. Como resultado, a menudo vemos un "efecto Bruselas", en el que la política de la UE se convierte en la norma mundial de la política tecnológica. Puede que el consumidor medio no se dé cuenta de ello en su vida cotidiana, pero lleva años experimentándolo a pequeña y gran escala.
En Europa, las frustrantes ventanas emergentes de cookies son un ejemplo de inconveniente obligado por los requisitos de cumplimiento de la normativa de privacidad de datos, al igual que la ausencia de determinados servicios o vías de información como Los Angeles Times. Otros ejemplos son los recientes cambios en los cables de carga de los productos Apple con el iPhone 15, provocados no por mejoras en la tecnología, sino por la necesidad de cumplir la normativa de la UE.
¿Qué características en todo el mundo y qué vulnerabilidades deben soportar los consumidores para apaciguar a los burócratas de Bruselas? Es probable que los miles de vacaciones interrumpidas y las pérdidas empresariales de CrowdStrike sean sólo un ejemplo de cómo la regulación nos ha dado peores experiencias tecnológicas y de consumo, no mejores.
En particular, la regulación europea es su principal contribución a la política tecnológica mundial. Como dice Ben Thompson en su popular blog Stratechery, "[E]l problema de liderar el mundo en regulación: sólo se puede regular lo que se construye, y la UE no construye nada pertinente a la tecnología".
Resulta preocupante que algunos reguladores estadounidenses, como la Comisión Federal de Comercio, colaboren activamente con los burócratas de la UE para regular a las empresas de Estados Unidos mediante este tipo de políticas, en lugar de reconocer que este enfoque obstaculiza la innovación, la economía y a los consumidores estadounidenses. Cada vez hay más ejemplos -incluido el de CrowdStrike- que demuestran que este planteamiento conllevará importantes perjuicios para los consumidores de todo el mundo que no pueden ignorarse.
LA AUTORA. Jennifer Huddleston. Sus investigaciones se enfocan en la intersección de las tecnologías emergentes y el Derecho con un particular interés en las interacciones entre la tecnología y el estado administrativo. Este artículo fue publicado originalmente en Cato At Liberty (Estados Unidos)