Europa habla cada vez más de soberanía digital, pero una parte muy visible de su infraestructura pública sigue pasando por proveedores estadounidenses. No hablamos necesariamente de dónde está físicamente alojado un servidor, sino de algo igual de relevante para seguridad, compras y resiliencia: qué proveedor aparece en la primera capa que sirve la web principal de una empresa.
Un análisis de CipherCue sobre 19.450 entidades empresariales de siete mercados europeos muestra que los proveedores con sede en Estados Unidos sirven una parte muy relevante de las webs corporativas principales. En Reino Unido y Países Bajos son mayoría; en Italia, España y Francia forman el grupo más numeroso; y solo Alemania y Polonia muestran una presencia doméstica más fuerte. Cloudflare aparece como el mayor proveedor visible en todos los países estudiados, por delante de cualquier proveedor local, regional o estadounidense alternativo.
El dato no debe leerse como una prueba de que las webs estén alojadas físicamente en EEUU. CipherCue insiste en que no es un estudio de geolocalización IP, sino de atribución de proveedor. Para cada dominio principal y su www, resuelve registros DNS A/AAAA y cruza las IP con el sistema autónomo que las anuncia. En el caso de un CDN o proxy como Cloudflare, eso identifica quién está sirviendo la capa visible de internet, no necesariamente dónde está el servidor de origen.
Cloudflare domina la primera capa visible
La cifra más llamativa del informe es la presencia de Cloudflare. En los siete países analizados, la compañía es el proveedor de infraestructura internet-facing con mayor cuota. En Reino Unido aparece en el 31,6 % de las webs estudiadas; en Países Bajos, en el 36,8 %; en Italia y Francia, en el 28,2 %; en España, en el 23,1 %; en Alemania, en el 17,9 %; y en Polonia, en el 15,2 %.
Esto tiene una explicación técnica. Cloudflare ofrece mitigación DDoS, CDN, proxy inverso, seguridad perimetral, DNS y presencia edge global a una escala difícil de igualar por muchos proveedores europeos. El propio análisis de CipherCue evita una lectura simplista: no dice que las empresas europeas deban abandonar mañana a los proveedores estadounidenses ni que no existan razones técnicas para usarlos. El punto es otro: muchas conversaciones sobre soberanía digital empiezan demasiado tarde, cuando la dependencia ya está instalada en la capa pública de exposición.
| País | Entidades analizadas | Proveedores con sede en EEUU | Cloudflare | Amazon | Otros EEUU | Otros/regionales |
|---|---|---|---|---|---|---|
| Reino Unido | 918 | 620 (67,5 %) | 290 | 115 | 215 | 298 |
| Países Bajos | 2.241 | 1.201 (53,6 %) | 825 | 150 | 226 | 1.040 |
| Italia | 2.350 | 1.138 (48,4 %) | 663 | 227 | 248 | 1.212 |
| España | 1.427 | 637 (44,6 %) | 329 | 128 | 180 | 790 |
| Francia | 2.504 | 1.107 (44,2 %) | 706 | 173 | 228 | 1.397 |
| Alemania | 5.679 | 1.763 (31,0 %) | 1.017 | 390 | 356 | 3.916 |
| Polonia | 4.331 | 813 (18,8 %) | 660 | 69 | 84 | 3.518 |
España queda en una posición intermedia-alta. De las 1.427 entidades analizadas, 637 usan proveedores estadounidenses en la capa observada, un 44,6 %. Cloudflare concentra 329 casos, Amazon 128 y otros proveedores de EEUU 180. No es una mayoría absoluta, pero sí una dependencia suficientemente amplia como para entrar en cualquier inventario serio de riesgos tecnológicos.
Soberanía no significa solo región cloud
Durante años, muchas empresas han reducido la soberanía digital a una pregunta: “¿en qué región cloud están mis datos?”. La respuesta importa, pero es incompleta. La capa de exposición pública también cuenta. DNS, CDN, WAF, reverse proxy, balanceo, protección DDoS, certificados, logs, paneles de administración y control planes pueden introducir dependencias de proveedores, jurisdicciones y modelos de operación que no siempre aparecen en los mapas de infraestructura interna.
CipherCue lo formula con precisión: la geografía del paquete físico es solo una parte del problema. Para compras, regulación y continuidad, también importa qué proveedor está delante de la web pública y qué relación contractual, técnica y operativa mantiene la organización con él.
La Comisión Europea ha situado la soberanía tecnológica como una prioridad política. En junio de 2026 presentó un paquete de soberanía tecnológica centrado en semiconductores, inteligencia artificial, cloud y open source, con medidas para reforzar autonomía digital y resiliencia. Entre ellas, la futura Cloud and AI Development Act se plantea apoyar tecnologías cloud y de IA, facilitar el despliegue de centros de datos y crear un marco europeo para evaluar soberanía cloud y de IA.
Ese debate encaja con otras normas ya en marcha. DORA, en el sector financiero, se centra en resiliencia operativa digital, gestión de riesgos TIC, proveedores externos críticos y riesgos de concentración derivados de depender de un número limitado de proveedores. ENISA recuerda además que NIS2 amplía el foco a sectores esenciales e importantes, incluyendo infraestructura digital, servicios cloud, centros de datos, puntos de intercambio de internet y redes de distribución de contenido.
Alemania y Polonia muestran otra vía
El informe señala dos excepciones: Alemania y Polonia. Ambos mercados tienen una industria local de hosting e infraestructura más visible en los datos. En Alemania aparecen nombres como Hetzner, IONOS, STRATO o Mittwald; en Polonia, Home.pl, NetArt, ATMAN o Beyond. El resultado es que el peso de proveedores estadounidenses baja al 31,0 % en Alemania y al 18,8 % en Polonia.
Esto no significa que esos países no usen tecnología estadounidense en otras capas. El propio estudio no mide correo, identidad, EDR, SIEM, SaaS, endpoints ni herramientas internas. Pero sí sugiere que una base local fuerte cambia el reparto en la web pública.
Para Europa, esa diferencia es importante. La soberanía digital no se consigue solo con regulación. También necesita oferta competitiva, escala, soporte, precios razonables, presencia geográfica, buena experiencia técnica y confianza de los compradores. Si los proveedores locales no igualan determinados servicios de seguridad, rendimiento o facilidad de adopción, muchas empresas seguirán eligiendo a los grandes actores estadounidenses aunque políticamente prefieran otra cosa.
El inventario como primer paso
El dato de CipherCue no debería llevar a una reacción defensiva del tipo “hay que salir de todo lo estadounidense”. Sería poco realista y, en muchos casos, técnicamente contraproducente. La conclusión práctica es más sencilla: antes de hablar de soberanía hay que saber qué se usa.
Muchas organizaciones no tienen un inventario completo de quién sirve su web, qué DNS usan, qué CDN tienen delante, quién gestiona certificados, qué WAF filtra tráfico, dónde están los logs, qué proveedores pueden tocar configuración y qué dependencias existen en caso de incidente o conflicto contractual.
Ese inventario debería responder preguntas concretas:
| Capa | Pregunta mínima |
|---|---|
| DNS | ¿Quién resuelve y administra los dominios críticos? |
| CDN/WAF | ¿Qué proveedor está delante de la web y qué tráfico ve? |
| Origen | ¿Dónde está alojado realmente el servidor o aplicación? |
| Control plane | ¿Desde qué país y bajo qué entidad se administra el servicio? |
| Logs | ¿Dónde se almacenan y quién puede acceder a ellos? |
| Soporte | ¿Qué ocurre si el proveedor cambia condiciones o suspende servicio? |
| Salida | ¿Existe un plan realista de migración o reversión? |
Esa última pregunta suele ser la más incómoda. La dependencia no es solo usar un proveedor dominante. La dependencia aparece cuando no hay alternativa preparada, cuando cambiar supone semanas de urgencia, cuando el contrato se renueva sin margen o cuando el equipo técnico no ha probado una arquitectura de salida.
Europa no va a recuperar soberanía digital solo moviendo servidores. Tiene que construir proveedores fuertes, comprar con más criterio, exigir portabilidad, reforzar capacidades internas y medir dependencias desde la capa más visible hasta la más profunda. El estudio de CipherCue ayuda porque baja el debate a algo comprobable: quién aparece hoy delante de la web principal de miles de empresas europeas.
La respuesta, en muchos casos, sigue teniendo sede en Estados Unidos.
Preguntas frecuentes
¿El estudio dice que las webs europeas están alojadas físicamente en Estados Unidos?
No. CipherCue mide atribución de proveedor a partir de DNS y sistemas autónomos, no geolocalización física ni servidor de origen.
¿Por qué Cloudflare aparece tanto?
Porque muchas empresas lo usan como CDN, proxy, DNS, WAF o capa de protección DDoS. Eso lo coloca delante de la web aunque el servidor de origen esté en otro proveedor.
¿Qué dato destaca en España?
De 1.427 entidades españolas analizadas, 637 usan proveedores con sede en EEUU en la capa observada, un 44,6 %. Cloudflare aparece en 329 casos.
¿Esto significa que las empresas deben dejar de usar proveedores estadounidenses?
No necesariamente. El punto es conocer la dependencia, evaluar riesgos y tener alternativas o planes de salida cuando la capa sea crítica.
¿Por qué importa para la soberanía digital europea?
Porque la soberanía no depende solo de la región cloud. También importan DNS, CDN, WAF, control plane, soporte, jurisdicción, concentración y capacidad real de migración.