Ayer abriste un bug. Un problema de márgenes en el renderizador de documentos, quince líneas de contexto, dos capturas. Lo firmaste con tu nombre real. Su perfil de GitHub lo muestra; el proyecto, una iniciativa europea de soberanía, te pareció exactamente el tipo de trabajo que merece una firma.

Esta mañana tu tarjeta de crédito deja de funcionar.

La secuencia no está, hoy por hoy, documentada. Es la forma de una secuencia que los últimos dieciocho meses han vuelto progresivamente más plausible. El 5 de mayo de 2025, la cuenta de Microsoft 365 de Karim Khan, fiscal jefe de la Corte Penal Internacional, dejó de funcionar después de que la administración Trump lo designara personalmente bajo la Orden Ejecutiva 14203. En mayo de 2026, Microsoft entregó los datos personales y las comunicaciones de funcionarios públicos neerlandeses — reguladores que aplican la Ley de Servicios Digitales de la UE — a una citación del Congreso de EE. UU. En ambos casos, las personas afectadas habían elegido años antes a un proveedor con sede en EE. UU. sobre la base de una contratación institucional razonable en su momento. La consecuencia política era una propiedad de la cadena de suministro que no habían auditado.

Hoy una alianza de empresas europeas lanza una alternativa a Microsoft 365. La nota de prensa la presenta como un hito para la soberanía digital europea. El código fuente está alojado por Microsoft. El pipeline de compilación corre en servidores de Microsoft. Las imágenes de contenedor se distribuyen a través del registro de contenedores de Microsoft. Cada contribución a la soberanía europea se registra en la base de datos de Microsoft en el momento en que se hace — bajo tu nombre real.

Esto no es una filtración, ni un escándalo, ni un descuido. Los repositorios de Euro-Office en github.com/euro-office son observables abiertamente. La alianza detrás del lanzamiento — IONOS, Nextcloud, EuroStack, Open-Xchange, XWiki, OpenProject y otras seis respetadas organizaciones europeas de OSS — eligió este alojamiento deliberadamente, y sigue considerándolo apropiado. La cobertura de la prensa especializada del lanzamiento de hoy no lo menciona. Las comunicaciones del lanzamiento no lo mencionan. El Paquete de Soberanía Tecnológica de la Comisión Europea, redactado en paralelo, no lo aborda.

Conviene decirlo claro: esto es absurdo. No en el sentido coloquial de sorprendente — es, en una lectura tranquila de la documentación pública, exactamente lo que cabría esperar — sino en el sentido de que cada definición estándar de soberanía digital que el discurso europeo ha producido en los últimos cuatro años es incompatible con lo que acaba de ocurrir. O Euro-Office no es un producto de soberanía, o las definiciones de soberanía en circulación no son coherentes. El lanzamiento obliga a elegir.

La versión útil de este artículo no es la indignación, que se escribe sola. Es la auditoría, el reencuadre y la pregunta de contratación pública que se siguen de aceptar que el discurso actual de soberanía tiene un error de carga estructural en el centro — y que el bug que abriste ayer es, en un horizonte lo bastante largo, parte del rastro de auditoría.

Lo que se lanza

Euro-Office publica la v1.0 el martes 9 de junio de 2026. La alianza que lo respalda es técnicamente coherente: IONOS aloja la variante gestionada en nube desde Karlsruhe, Nextcloud integra la suite en Hub 26 como reemplazo por defecto de Collabora, Open-Xchange aporta la herencia de groupware, y XWiki, OpenProject, Soverin, Abilian, BTactic y Office.eu contribuyen capas adyacentes de colaboración y alojamiento.

Los cuatro repositorios principales en github.com/euro-officeeurooffice-nextcloud (PHP, AGPL-3.0), server (JavaScript, AGPL-3.0), sdkjs-forms (JavaScript, AGPL-3.0) y document-templates (Apache-2.0) — adoptan la postura defensiva de licenciamiento adecuada para software que se aloja como servicio: cualquier proveedor comercial que ofrezca un Euro-Office alojado debe publicar sus modificaciones. La Apache-2.0 en las plantillas es la elección correcta para contenido. Es la combinación de licencias más fuerte del mercado europeo de suites ofimáticas OSS, materialmente más fuerte que la MPL-2.0 de Collabora Online o la AGPL de proveedor único de OnlyOffice.

La compatibilidad de formato con Office Open XML se mantiene en las cargas de trabajo que históricamente han roto las migraciones europeas de OSS ofimático: libros de Excel con múltiples hojas y tablas dinámicas, documentos de Word con control de cambios y comentarios, PowerPoint con animaciones embebidas. Las opciones de despliegue disponibles abarcan nube gestionada, híbrida y Docker o Kubernetes autoalojados, sobre el propio Proxmox o VMware del cliente. La historia de soberanía en runtime es real: datos en centros de datos alemanes, licenciamiento protegido frente a fork de código cerrado, independencia de formato respecto al calendario de releases de Microsoft.

No hay asterisco en esta parte. El producto es bueno. La decisión de contratación como decisión de producto es defendible.

La auditoría

La decisión de contratación como decisión de soberanía es donde la arquitectura deja de cooperar.

Cada commit a cada repositorio de Euro-Office, cada incidencia, cada pull request, cada ejecución de pipeline CI/CD, cada compilación de imagen de contenedor y cada artefacto de release fluye a través de github.com. GitHub es una filial al 100 % de Microsoft desde junio de 2018. Las comunicaciones del lanzamiento no abordan esto. La cobertura de la prensa especializada del lanzamiento no aborda esto. La alianza no se ha comprometido a un mirror en Codeberg o Forgejo, ni ha anunciado intención de operar un pipeline de compilación no estadounidense.

Esto no es un problema contractual — la licencia AGPL preserva el derecho a hacer mirror, fork y recompilar — es un problema operativo. El derecho a hacer mirror no vale nada hasta que el mirror existe.

El precedente de aplicación está documentado y es específico. En julio de 2019, GitHub restringió el acceso a repositorios privados y cuentas organizativas de pago a desarrolladores de Irán, Siria y Crimea, en cumplimiento de las sanciones de la OFAC. Los proyectos privados desaparecieron de la noche a la mañana. Los repositorios públicos siguieron siendo accesibles en modo de solo lectura, pero la infraestructura de trabajo — gestor de incidencias, pull requests, GitHub Actions, imágenes de contenedor, distribución de paquetes — quedó indisponible para las cuentas afectadas hasta que GitHub obtuvo una licencia OFAC para restaurar el servicio a los desarrolladores iraníes en enero de 2021. En marzo y abril de 2022, el mismo mecanismo se aplicó a entidades en Rusia y a las partes ocupadas de Ucrania bajo designación OFAC. Las cuentas vinculadas a entidades sancionadas perdieron el acceso; las cuentas organizativas de pago en Crimea, Donetsk y Lugansk han seguido restringidas. Las Acceptable Use Policies de GitHub siguen citando el cumplimiento del control estadounidense de exportaciones como regla rectora.

La probabilidad de que este mecanismo de aplicación afecte a un Stadtwerke alemán o a un établissement public francés en un trimestre cualquiera es baja. La probabilidad sobre un horizonte de contratación a cinco años, contra una pila Euro-Office con varios cientos de dependencias OSS upstream mantenidas globalmente, es materialmente superior a cero. La tasa base relevante no son los casos titulares — Irán, Rusia, Crimea — sino la cola larga: cualquier dependencia crítica, alojada por cualquier desarrollador en cualquier jurisdicción que se vuelva relevante para OFAC por cualquiera de las docenas de motivos plausibles a lo largo de cinco años. La mayoría de esos eventos no afectarán a los adoptantes de Euro-Office. Algunos sí.

Hay una segunda categoría de exposición de la cadena de suministro que es operativamente más probable que la aplicación de sanciones: la presión política sobre el operador de la plataforma que produce un cumplimiento voluntario. El patrón de cumplimiento de Microsoft de 2025–2026 — la suspensión del correo del fiscal de la CPI de mayo de 2025 tras las sanciones estadounidenses, la entrega voluntaria de nombres de reguladores neerlandeses al Congreso de EE. UU. en mayo de 2026 — se sitúa en esta columna. Cuando un proveedor de servicios con sede en EE. UU. se enfrenta a presión política estadounidense, la respuesta es el cumplimiento, no la resistencia. GitHub es la misma arquitectura. Una futura administración estadounidense que decidiera que los proyectos europeos de soberanía merecen atención no necesitaría OFAC. Las Acceptable Use Policies de GitHub son fundamento suficiente para una restricción, a discreción de la propia plataforma.

La conclusión de la auditoría es directa y poco halagadora: una adopción de Euro-Office sin SBOM, sin infraestructura de mirror y sin plan de continuidad no es arquitectónicamente más soberana que el despliegue de M365 al que reemplaza. Es contractualmente más soberana — los datos están en Karlsruhe, la licencia es AGPL — pero la cadena de suministro acaba en la misma plataforma de repositorios propiedad de Microsoft en la que terminaría la distribución del código fuente de M365, si el código fuente de M365 estuviera disponible, que no lo está.

Las personas dentro de la auditoría

El argumento arquitectónico hasta aquí ha tratado el riesgo de forma institucional — qué le ocurre a un Stadtwerke, qué le ocurre a una decisión de contratación. El mismo argumento aterriza distinto cuando empieza con personas cuyos nombres están documentados.

Tomemos primero a Khan. La CPI es una institución internacional permanente con sede en La Haya, fuera de la jurisdicción estadounidense. Las comunicaciones de su fiscal jefe estaban en Microsoft 365 porque la CPI había tomado la misma decisión de contratación que cualquier otro gran comprador del sector público en Europa estaba tomando por la misma época, sobre los mismos fundamentos razonables en su momento. Cuando la administración Trump designó a Khan bajo la Orden Ejecutiva 14203 en febrero de 2025, ni el fiscal ni la Corte tenían una opción operativa significativa: Microsoft es una empresa con sede en EE. UU., la obligación OFAC es vinculante, la suspensión vino a continuación. La decisión de contratación se había tomado años antes; la consecuencia llegó en mayo, con nombre y carácter personal.

El caso ACM/AP difiere del de Khan en un punto importante. No hubo Orden Ejecutiva. La citación vino del Subcomité Judicial de la Cámara sobre la Armamentización del Gobierno Federal de Jim Jordan, cuyo mandato declarado es escudriñar lo que denomina «censura extranjera de la libertad de expresión estadounidense» — un encuadre que, por su propia formulación, incluye la Ley de Servicios Digitales de la UE y el trabajo de los funcionarios públicos de la Autoridad de Consumidores y Mercados (ACM) y de la Autoriteit Persoonsgegevens (AP), cuyos nombres Microsoft entregó. La secretaria de Estado neerlandesa de soberanía digital, Willemijn Aerdts, convocó al embajador estadounidense el viernes en que la entrega se hizo pública. Los datos ya iban de camino. El cumplimiento de Microsoft fue voluntario en el sentido jurídico — la empresa respondía a una citación, no a una orden OFAC — y operativamente inevitable del modo en que lo sería el de cualquier proveedor con sede en EE. UU. bajo la misma presión política.

Ni Khan ni el personal de la ACM y la AP eligieron quedar en la superficie de la presión política estadounidense. Eligieron a Microsoft como proveedor de servicios, años antes, sobre la base de una contratación institucional totalmente razonable. La superficie política era una propiedad de la cadena de suministro que no auditaron.

Esta es la capa en la que están ahora los contribuidores y adoptantes de Euro-Office.

Cada desarrollador que abre un pull request contra github.com/euro-office crea un registro en la base de datos de Microsoft que vincula su identidad personal — nombre legal en la mayoría de las cuentas, dirección de correo real, IP por sesión, patrones temporales de contribución — a la participación activa en un proyecto europeo de soberanía digital que sectores del Congreso de EE. UU. han enmarcado públicamente como adverso a los intereses comerciales estadounidenses. El empleo principal del contribuidor, su empleador, su país de residencia y su afiliación política son inferibles del historial público de commits. Hoy el encuadre es retórico. El caso Khan y el caso ACM/AP demuestran que la distancia entre el encuadre retórico y la consecuencia personal mide, como mucho, una Orden Ejecutiva.

Cada administración pública que adopta Euro-Office hereda, por transitividad, la misma cadena de registro. Cada responsable de TI que comenta una incidencia upstream ve su posición profesional vinculada públicamente al proyecto. Cada desarrollador de un Stadtwerke que abre un bug tiene su identidad registrada en el rastro de auditoría de Microsoft. El CISO municipal que escribe a la alianza para una aclaración de seguridad, el delegado de protección de datos que pregunta por un caso límite de cumplimiento de exportaciones — cada interacción queda registrada bajo un nombre real, sobre infraestructura propiedad de la empresa de la que el proyecto pretende migrar.

Nada de esto es malicioso por parte de Microsoft. Es la mecánica básica de operar un servicio de alojamiento de código. Es también la mecánica básica de una futura citación judicial. El caso Khan muestra qué ocurre cuando una Orden Ejecutiva estadounidense nombra a un individuo. El caso ACM/AP muestra qué ocurre cuando una citación del Congreso estadounidense nombra a una categoría. En ambos casos, las personas afectadas se enteraron cuando Microsoft ya había cumplido.

La implicación estratégica es desapasionada. Cualquiera — a título individual o institucional — que participe en el proyecto europeo de soberanía como contribuidor o adoptante mientras esté alojado en infraestructura de Microsoft está creando un rastro de auditoría bajo su propio nombre, en la plataforma de la parte de la que el proyecto pretende reducir la dependencia. El rastro se está creando hoy, en tiempo real, con cada commit y cada comentario de incidencia. La parte que tiene acceso al rastro no necesita actuar sobre él para que el rastro sea estructural — basta con que exista.

Orwell habría apreciado la arquitectura. Un movimiento se organiza para reducir su dependencia de una entidad. Para hacerlo, cada participante firma su contribución, con su nombre real, en una plataforma propiedad de la entidad. La entidad conserva las firmas indefinidamente, indexadas, exportables a requerimiento legal. Que la entidad llegue a actuar sobre ellas es, a medio plazo, secundario; que la arquitectura le permita actuar sobre ellas es, a medio plazo, una decisión ya tomada. Se está tomando ahora, con cada ticket de incidencia, por cada persona que hace clic en enviar.

La soberanía no es lo que se compra

Este es el reencuadre que el lanzamiento hace difícil evitar.

La industria de contratación pública ha entrenado la pregunta como un problema de selección de proveedor. El DSGVO, la CLOUD Act, el Paquete de Soberanía Tecnológica, la modificación del §58 VgV, el modelo de madurez ES³ — todos estos instrumentos aceptan el supuesto de que la soberanía es una propiedad que el comprador adquiere eligiendo al proveedor adecuado. ES³ certifica proveedores. CADA clasifica proveedores. El §58 VgV permite a los compradores preferir ciertos proveedores. Los instrumentos son coherentes dentro del supuesto.

El lanzamiento de Euro-Office es el caso más claro donde la hipótesis falla visiblemente. El producto es la mejor respuesta disponible a la pregunta del proveedor. Adoptarlo sin trabajo arquitectónico cambia al proveedor en la línea de contratación y deja la dependencia real inalterada. El proveedor en la línea es ahora europeo; la cadena de suministro de la que depende el proveedor, no. El comprador ha adquirido la apariencia de soberanía sin la sustancia, y la sustancia — la continuidad de la cadena de suministro — nunca estuvo a la venta en el contrato de contratación.

La soberanía, en el sentido que importa para la pregunta que los compradores del sector público y del sector privado regulado están intentando responder, no es una propiedad de los proveedores. Es una propiedad de las arquitecturas. Una organización es digitalmente soberana en la medida en que pueda seguir operando cuando cualquier pieza individual de su cadena de suministro de software se vuelva indisponible. Esa propiedad se construye, no se compra. La decisión de proveedor está aguas arriba de ella; el trabajo de volverse soberano está aguas abajo. Saltarse el trabajo de aguas abajo y llamar a la decisión de aguas arriba una respuesta de soberanía es el error que el lanzamiento de Euro-Office hace imposible de ignorar.

La consecuencia práctica: la pila de Microsoft 365 y la pila de Euro-Office no son estructuralmente distintas en la dimensión de la cadena de suministro. Difieren en la dimensión de runtime (ubicación de datos, jurisdicción del operador) y difieren en la opción de construir independencia de la cadena de suministro. M365 cierra esa opción; Euro-Office la preserva. Pero preservar una opción no es lo mismo que ejercerla. El ejercicio es el trabajo.

La cuestión de contratación que realmente importa

Si la pregunta de soberanía es propiamente arquitectónica, la cuestión de contratación se sigue de ella. Ya no es ¿a qué proveedor compramos? Se convierte en: ¿cuál es nuestra arquitectura de independencia, y dónde se sitúa en nuestra cuenta de resultados?

Tres flujos de trabajo responden a la pregunta reencuadrada. No son opcionales, no son «agradables de tener», y cualquier contratación de soberanía que los omita es una performance de contratación, no una decisión de contratación.

Uno: inventario. Una auditoría de Software Bill of Materials de los componentes OSS de producción actuales, con alcance sobre cada sistema con exposición en runtime a internet o a datos de clientes. Salida por componente: endpoint de distribución primario, licencia, profundidad del árbol de dependencias, jurisdicción del mantenedor. Para una organización de tamaño medio que ejecute 50–80 componentes OSS distintos en producción, la auditoría lleva 6–10 semanas y cuesta entre 25.000 € y 55.000 € a un especialista externo. El entregable es una lista, no un plan; el plan se deriva de la lista. La mayoría de las organizaciones descubren que el 80 % de su exposición de cadena de suministro se concentra en el 15 % de sus componentes, y que la concentración no está donde esperaban.

Dos: infraestructura de mirror. Una instancia Forgejo autoalojada, sincronizada bidireccionalmente con GitHub para los componentes críticos identificados en el flujo uno. Alojada en infraestructura existente (Proxmox, VMware o una VM de Hetzner), dos VMs, separadas de producción. El coste en efectivo es despreciable; el trabajo son 8–15 días-persona de tiempo de arquitecto a lo largo de doce semanas, según el número de repositorios. El mirror no reemplaza a GitHub para el desarrollo diario; sobrevive a GitHub para la continuidad. Codeberg puede sustituir donde el autoalojamiento de Forgejo no esté justificado.

Tres: piloto. Un piloto Euro-Office acotado sobre un flujo de trabajo sin exposición de cara al público — finanzas, RR. HH. interno, groupware controlado — corriendo durante 6–12 meses con criterios explícitos de go/no-go ligados a que la infraestructura de mirror alcance fiabilidad de grado de producción. Coste: 8.000–20.000 € en soporte de puesta en marcha de un partner de Nextcloud más tiempo interno. El piloto valida el producto; los flujos uno y dos validan la soberanía.

Un comprador que ejecute los tres ha comprado Euro-Office y ha construido soberanía. Un comprador que ejecute solo el flujo tres ha comprado un proveedor distinto. La decisión de contratación es la misma en ambos casos. La decisión de arquitectura no lo es.

La pregunta de posicionamiento estratégico para los próximos doce meses no es si Euro-Office es el producto correcto. Es si su organización está preparada para tratar la soberanía como arquitectura en lugar de como contratación — y si su consejo, sus auditores y su regulador aceptarán la respuesta arquitectónica como respuesta de soberanía. Lo harán, cada vez más. El Paquete de Soberanía Tecnológica propone clasificación de nivel CADA para 2027. ES³ ya certifica metodología en lugar de productos. Las señales de la capa regulatoria están convergiendo en arquitectura, no en logotipo de proveedor. El logotipo del proveedor es el indicador rezagado; la arquitectura es el indicador adelantado.

Lo que este artículo no es

No es una afirmación de que Euro-Office sea la elección equivocada. El producto es la alternativa open source a M365 más fuerte del mercado europeo. No es una afirmación de que GitHub vaya a bloquear a los desarrolladores de la UE. Es una afirmación de que la soberanía como categoría de contratación es el encuadre equivocado, de que el lanzamiento de Euro-Office es el ejemplo más limpio disponible de por qué, y de que el trabajo que el encuadre ha estado ocultando es la respuesta real a la pregunta que los compradores del sector público y del sector privado regulado están intentando hacer.

Fuentes

Visión general del tema: Soberanía Digital en Europa Artículos relacionados: Paquete de Soberanía Tecnológica UE, Microsoft entrega los nombres NL