Países Bajos bloquea la compra de un proveedor digital clave por parte de EE. UU.

 (politico.eu)
1 puntos por GN⁺ 2 시간 전 | 1 comentarios | Compartir por WhatsApp
  • El gobierno de Países Bajos bloqueó la adquisición de Solvinity por parte de Kyndryl, con sede en Estados Unidos, para responder a la preocupación por el control extranjero de infraestructura clave de verificación de identidad en línea
  • Solvinity opera la plataforma de la app DigiD, y DigiD se usa para la autenticación de identidad en línea al agendar citas médicas, comprar vivienda y usar organismos públicos
  • La autoridad encargada de revisar inversiones determinó que la compra podría generar un riesgo potencial para el interés público, y el gobierno aceptó el lunes la recomendación de bloquearla
  • Países Bajos subrayó que, aunque reconoce el valor económico de las empresas tecnológicas extranjeras, aplica un sistema independiente de revisión de inversiones sin importar la nacionalidad del inversionista
  • La decisión llega antes de la publicación del paquete de soberanía tecnológica de la UE, en medio del debate sobre la dependencia europea de tecnología extranjera en nube, microchips e IA

Bloqueo de la compra de Solvinity

  • El gobierno de Países Bajos bloqueó el intento de la empresa estadounidense Kyndryl de adquirir al proveedor neerlandés de TI Solvinity
  • Solvinity opera la plataforma de la app neerlandesa DigiD
  • La app DigiD se usa para la autenticación de identidad en línea de los ciudadanos neerlandeses, y se utiliza para agendar citas médicas, comprar vivienda y acceder a organismos públicos
  • Kyndryl anunció en noviembre su plan para adquirir Solvinity, lo que aumentó la preocupación de que una herramienta clave de identidad en línea pudiera quedar bajo control extranjero

Revisión de inversiones y riesgo para el interés público

  • La secretaria de Estado neerlandesa para la Economía Digital, Willemijn Aerdts, informó en una carta al parlamento publicada el martes que la autoridad nacional encargada de la revisión de inversiones recomendó al gobierno bloquear la compra
  • La operación fue considerada una transacción que podría generar un riesgo potencial para el interés público
  • El gobierno de Países Bajos aceptó esta recomendación el lunes y decidió bloquear la adquisición
  • Países Bajos enfatizó que valora la presencia de empresas tecnológicas extranjeras, especialmente las con sede en Estados Unidos, y su aporte a la economía neerlandesa y a su infraestructura digital
  • Al mismo tiempo, mantiene un sistema independiente de revisión de inversiones para proteger el interés público, aplicado por igual sin importar el país de origen del inversionista

Debate europeo sobre dependencia tecnológica

  • En toda Europa crece la preocupación por la dependencia de la tecnología estadounidense
  • Esta decisión llega una semana antes de la publicación del paquete de soberanía tecnológica de la European Commission
  • Este paquete es un conjunto de propuestas para reducir la dependencia europea de tecnología extranjera en las áreas de nube, microchips e IA

Postura de Kyndryl

  • Kyndryl respondió en un comunicado que estaba “muy decepcionada” por la decisión
  • Kyndryl criticó que “la politización de este proceso ocultó los beneficios claros e importantes que esta operación habría aportado a los clientes de Solvinity y a los ciudadanos neerlandeses”

Lecturas relacionadas

1 comentarios

 
GN⁺ 2 시간 전
Comentarios en Hacker News

  • Por fin se hizo

    Todo el país llevaba semanas pidiendo esto y el gobierno se quedó completamente en silencio. Hace unas semanas, todo el parlamento, con solo un partido en contra, aprobó una moción para aceptar la terminación del contrato con Solvinity, pero el gobierno en cambio extendió el contrato y al final solo quedaba bloquear la adquisición en sí, y tampoco había mucha confianza en que el gobierno fuera a hacerlo

    La razón clave es que Solvinity aloja DigiD, el sistema neerlandés de identidad electrónica. DigiD gestiona la autenticación para todos los sistemas del gobierno y sistemas sensibles como los de salud. Debido a una ley de EE. UU. según la cual el gobierno estadounidense debe poder acceder a los datos que posean empresas estadounidenses, sin importar dónde estén alojados, está claro que este sistema no debe terminar en manos de EE. UU.

    Claro, Microsoft, Amazon y otras empresas estadounidenses todavía tienen muchos datos sensibles en sus manos. No sé cuándo van a ocuparse de eso

    • Es un poco más complicado que eso

      Logius es quien realmente posee y administra el stack de DigiD, y Solvinity solo fue contratada por su experiencia. Hasta donde yo sé, Solvinity no puede acceder a los datos

      No lo encuentro ahora, pero un insider dejó un comentario largo en Tweakers explicando que Logius casi no tiene conocimiento de cómo funciona actualmente el stack y que tiene muchos elementos hechos a medida. Es el clásico vendor lock-in. El gobierno, o más precisamente Logius, ahora quiere salir de Solvinity, pero parece ser un proceso que probablemente lleve más de 5 años

      Esto también parece algo que el “círculo rápido” de la UE debería hacer en conjunto. Algo basado en el stack de Estonia, adoptado y desarrollado de forma conjunta por Suecia, Dinamarca, Finlandia y los Países Bajos. Hacer extensibles los elementos personalizados que cada país necesite, y cada pocos años revisar qué extensiones personalizadas pueden generalizarse y modularizarse, daría un producto mucho mejor. Soñar no cuesta nada :)

    • En algunas funciones, DigiD en sí requiere una app de iOS o Android. Eso implica tener una relación contractual con Apple o Google, y ellos también deciden si puedes instalarla y usarla

      Entiendo que esta vía no permite acceso adicional a datos sensibles, pero aun así les da a estas empresas el poder de bloquear a personas específicas el acceso a la app de DigiD

      Para la mayoría de las funciones no hace falta la app, pero para algunas tareas relacionadas con salud solo se puede usar la app y no hay alternativa

    • Para decir “por fin”, ya va un paso tarde. En dos años se acordarán de que lo vieron primero aquí

      Si la empresa apela, es muy probable que esta decisión sea revertida tanto en tribunales neerlandeses como europeos. Más todavía después de que Mark Rutte Daddy haga una llamada. El único objetivo de esta medida es que el gobierno neerlandés se cubra las espaldas, y va dirigida al público interno. Seguro ya tienen escondido por ahí un análisis jurídico interno que dice exactamente eso. Y después dirán “quisimos hacerlo, pero los tribunales no nos dejaron”.

      Todo el aparato diplomático y funcionarial neerlandés, incluido el Ministerio de Asuntos Exteriores de los Países Bajos, usa ampliamente infraestructura de Microsoft para trabajo diario, servicios en la nube y correo electrónico. Y también ha habido filtraciones

      “Microsoft Accused Of Sharing Dutch Officials’ Data with U.S. Government” - https://www.yahoo.com/news/politics/articles/microsoft-accus...

      La empresa que apele también usará esto como argumento jurídico central. Dirá que esta decisión fue politizada, que carece de base suficiente y que el riesgo podía resolverse con salvaguardas técnicas y legales vinculantes, por lo que no era proporcional. Y pondrá como ejemplo el uso extensivo de Microsoft por parte de la cancillería :-)

      Al final, esto no es más que otra hipocresía estilo polder del gobierno neerlandés

    • Con lo que sabemos ahora, este curso de acción parece bastante lógico. Solo que no sabemos qué más está pasando por detrás

      Seguramente hubo negociaciones, como formas de mantener los datos segregados, y dejar un bloqueo total como último recurso

      Aun así, el resultado en sí es bueno

    • Si se trata de “una ley de EE. UU. según la cual el gobierno estadounidense debe poder acceder a los datos que posean empresas estadounidenses”, ¿de qué ley estamos hablando exactamente?

  • “La politización de este proceso ha eclipsado los beneficios claros e importantes que esta operación habría traído a los clientes de Solvinity y a los ciudadanos neerlandeses”

    Esto sí que es descaro. Proteger la privacidad y los intereses de los ciudadanos es el trabajo de los políticos. Aunque quizá hoy en día eso suene raro bajo los estándares de EE. UU.

  • Por eso es más importante la privacidad garantizada por la arquitectura que la privacidad garantizada por políticas. Los Países Bajos confiaron en la política de “Solvinity no puede acceder a los datos”, pero la arquitectura de todos modos lo hacía posible

    La verdadera solución es un sistema soberano criptográfico donde, sin importar lo que diga la ley estadounidense, ni siquiera el proveedor pueda acceder matemáticamente a los datos del usuario. No “prometemos no mirar”, sino “literalmente no podemos verlo”

    Estoy construyendo algo pequeño en esa dirección. La identidad es una frase semilla BIP-39 y los mensajes viajan por una red mesh con cifrado de extremo a extremo a nivel de protocolo, no a nivel de aplicación. El objetivo es que ni siquiera yo, como desarrollador, pueda leer los mensajes de los usuarios. Aún está en etapa temprana, pero el problema que describen aquí es exactamente por lo que algo así debería existir

    • ¿“La identidad es una frase semilla BIP-39”?

      ¿Otra vez un único factor de autenticación basado en conocimiento que se convierte en la identidad?

      Hay una razón por la que esa idea no existe

    • O simplemente hospeden los datos dentro de nuestro país con una empresa incorporada legalmente en nuestro país. O sea, una nube soberana

  • Como ciudadano neerlandés, no entiendo por qué no podemos alojar nosotros mismos una solución de identidad de código abierto que atienda a 20 millones de usuarios y procese 30 mil solicitudes por hora. ¿Qué tan difícil puede ser?

    • Como ciudadano estadounidense que apoya que el gobierno neerlandés haga exactamente eso, yo también me lo pregunto

      https://openwallet.foundation/staff/

    • Uno se pregunta qué tan difícil puede ser contratar ingenieros competentes para trabajar en bancos o en el gobierno

    • ¿30 mil solicitudes por hora? Hasta un VPS de 5 euros podría manejarlo fácilmente

  • Nunca había oído hablar de ‘Kyndryl’

    https://en.wikipedia.org/wiki/Kyndryl

    “Kyndryl, lanzada oficialmente a finales de 2021, fue creada a partir de la escisión de la división de servicios de infraestructura de IBM”

“Kyndryl operaba en 63 países en noviembre de 2021”

  • Ojalá más medios lo escribieran bien. Kyndryl es la antigua IBM y tiene 73,000 empleados en todo el mundo. Cuando salió esta noticia por primera vez, como nadie la conocía, sonaba como una empresa pequeña de hosting al azar, pero en realidad es enorme.

  • Nadie pierde su trabajo por contratar a Kyndryl.

  • Si es una infraestructura tan importante para los Países Bajos, ¿por qué está en manos privadas para empezar?

    • DigiD en sí es propiedad del gobierno, pero la infraestructura la gestiona una empresa privada, Solvinity. No es muy distinto de que el gobierno de EE. UU. opere la mitad del stack en AWS.

    • Porque hay muy poca gente con capacidad en TI que quiera trabajar bajo la escala salarial del gobierno. En la mayoría de los casos, en el sector privado o corporativo pueden ganar más.

      Por eso la mayoría de los proyectos de TI en los Países Bajos terminan en empresas privadas, y cosas como DigiD o las plataformas de seguridad y mensajería oficial permiten que las empresas de hosting cobren tarifas absurdas. ¿Sabías que enviar un solo mensaje por Berichtenbox cuesta 25 centavos? Cuando el gobierno manda cada año el mensaje de “ya es hora de declarar impuestos”, tiene que pagar millones de euros. A menos que haya un contrato con descuento por volumen.

    • Porque firmas muy poderosas de capital de riesgo e inversión privada quieren que el gobierno siga siendo débil frente al capital. Bienvenido al mundo occidental.

    • Por la privatización.

  • Es algo bueno, pero especialmente viendo al actual gobierno de EE. UU., no parece que vaya a ser la última vez. A ASML también solo se le permitió adquirir la empresa estadounidense Cymer en 2013 bajo estrictos acuerdos de intercambio tecnológico y controles de exportación. Cymer sí tenía tecnología valiosa de fuentes de luz EUV.

    Que los Países Bajos bloqueen una adquisición estadounidense por preocupaciones de control tecnológico sin duda va a irritar a Washington.

    • Esto no es una empresa que desarrolla tecnología propia ni nada por el estilo, sino una empresa que maneja parte de la infraestructura más importante de nuestro gobierno. Es fácil imaginar preocupaciones de privacidad. Es un caso completamente distinto.

    • Si hubiera sido en 2013, es muy probable que la misma operación hubiera sido aprobada. La relación entre EE. UU. y los Países Bajos en 2013, bajo Obama, y la relación actual bajo el segundo mandato de Trump son completamente distintas. Hoy no convence hablar de reciprocidad basándose en algo que ocurrió en la era Obama, porque todos sabemos que Trump se opone a casi todo lo que hizo Obama.

    • Ese es un gran detalle que complica todavía más el panorama. La tecnología de litografía de ASML se benefició enormemente de investigación del Departamento de Energía de EE. UU.

      “En 1997, ASML empezó a estudiar un cambio al uso de ultravioleta extremo. Dos años después se unió a un consorcio que incluía a Intel y a otras dos empresas estadounidenses de semiconductores para aprovechar la investigación básica realizada por el Departamento de Energía de EE. UU. Como el Cooperative Research and Development Agreement (CRADA) que regía ese consorcio funcionaba con fondos del gobierno estadounidense, las licencias debían ser aprobadas por el Congreso”.

    • ASML incorporó a Cymer porque Cymer no era capaz de producir la tecnología que necesitaba, y para obtener de verdad el resultado requerido tuvo que volcar recursos e ingenieros en el proyecto del proveedor. Cymer apenas podía fabricar una fuente de luz EUV de 10W y ASML necesitaba una de 250W, así que compró la empresa para poder ejecutar lo que quería. ASML también tenía otros proveedores de fuentes de luz a los que podía recurrir.

      Literalmente la compró porque no podían hacer lo que se necesitaba. Pero muchos estadounidenses, con ese excepcionalismo estadounidense tan característico, quieren reescribir la historia del mundo como si ASML fuera una entidad mágica que en realidad escondía tecnología estadounidense bajo el abrigo. Como si de alguna manera todo le debiera algo a Estados Unidos.

      El gobierno de EE. UU. obligó a todas las empresas estadounidenses a no poder trabajar con jueces o personal de la CPI, supuestamente para defender a Israel, el amo de EE. UU. Solo por esto, las empresas estadounidenses ya deberían ser expulsadas de todos los países extranjeros. La idea de dar a una empresa con domicilio en EE. UU. el control tecnológico sobre infraestructura nacional es una locura, casi al nivel de traición. Cualquiera que impulse eso debería ser investigado a fondo. Del mismo modo, el hecho de que el Reino Unido siga adoptando basura de Palantir es prueba clarísima de que ese país está totalmente roto y necesita una gran reestructuración del servicio civil.

      Y todo eso sin contar el constante pataleo, los niveles grotescos de corrupción y el hecho de amenazar abiertamente a sus aliados.

      Claro que va a “irritar”, pero EE. UU. ya llevó esto demasiado lejos. A estas alturas a nadie le importa por qué berrinche anden haciendo esa pandilla de pedófilos, idiotas y delincuentes oportunistas de ese país estúpido. A estas alturas habría que sacar a EE. UU. de la OTAN, cerrar todas las bases y que cada quien se arme con armas nucleares.

  • Es una buena noticia. Habría sido desastroso que una parte tan central de nuestra sociedad dependiera de los caprichos de otro país, y más aún de uno inestable y abiertamente hostil.

  • Vamos a ver con más frecuencia esta tendencia de bloquear la propiedad estadounidense. Por buena que sea la relación, ningún gobierno debe ni puede ceder a un comprador extranjero el acceso a los datos de su propio gobierno y de sus ciudadanos.

    Aparte, esto muestra con más claridad el alcance del control estadounidense. Lo está perdiendo. EE. UU. se percibe como una amenaza, y está empezando una práctica coercitiva de adueñarse de los datos y luego usarlos como herramienta de control.

    • Pareces asumir que los datos ciudadanos serían transferidos, ¿hay alguna prueba de eso?

  • Si los Países Bajos tienen un acuerdo de intercambio de inteligencia con Five Eyes o Fourteen Eyes, todos esos datos aún podrían ser utilizados por EE. UU. y otros aliados. Claro, con suerte el gobierno neerlandés actuaría como portero.

    • No es solo cuestión de datos. Por ejemplo, el riesgo es que, como parte de un ataque preventivo contra Groenlandia, EE. UU. pudiera apagar de facto cosas como la recaudación de impuestos o la atención hospitalaria de los Países Bajos.

      Claro, la probabilidad es baja. Pero con el clima actual la gente está nerviosa, y es mejor no asumir riesgos innecesarios. El gobierno actual ya empezó una estrategia de largo plazo para repatriar más infraestructura crítica de software, así que vender al extranjero el software del proveedor central de identidad va directamente contra la política actual.

    • El punto central no era tanto la privacidad, sino más bien “no entreguemos una de nuestras piezas de infraestructura más importantes a un país potencialmente hostil”. DigiD es la plataforma de autenticación de usuarios de casi todos los sitios web gubernamentales neerlandeses. Un gobierno extranjero podría presionar a personas neerlandesas para que obedezcan restringiéndoles el acceso.

    • Justamente ese papel de portero es lo que hace la diferencia aquí. La cuestión es si vas a entregar todos los datos a otro país y luego pedir que te devuelvan fragmentos cuando los necesites, o si vas a alojarlos tú mismo y compartir solo las partes pertinentes para una investigación de ese país. No debería existir una estructura en la que ese país pueda bloquear cada intento de alguien de usar DigiD.

    • Si la frase es “si los Países Bajos tienen un acuerdo de intercambio de inteligencia con Fourteen Eyes”, entonces es una suposición bastante segura, porque los Países Bajos sí son miembros de Fourteen Eyes.

    • No es un tema de privacidad, sino de control.