La pila soberana — Libro blanco

Propuesta a la DG CONNECT (Dirección General de Redes de Comunicación, Contenidos y Tecnología)

Establecimiento de primitivas digitales: herramientas estándar, interoperables y escalables para una economía digital más rápida, barata y mejor.

Versión: 1.0 Borrador
Fecha: febrero de 2026
Contacto: richard@buckden.io

Resumen

La fragmentación digital le cuesta a Europa 400 000 millones de euros al año: el 40 % de los presupuestos de TI se destina a gastos generales de integración, mientras que los ciudadanos tienen que manejar una media de 100 contraseñas en sistemas incompatibles que se niegan a comunicarse entre sí. La cartera de identidad digital de la UE llegará en diciembre de 2026, pero si no se aborda la fragmentación subyacente de nuestra infraestructura digital, simplemente añadiremos otra capa a un ecosistema ya fracturado. The Sovereign Stack propone una simplificación radical: establecer primitivas digitales comunes —bloques de construcción estandarizados e interoperables para la identidad, los datos, las API y los servicios— que permitan a Europa crear una vez e implementar en todas partes, transformando el desperdicio digital en prosperidad digital.

Este libro blanco describe los fundamentos, el marco técnico, el modelo de gobernanza y un programa piloto concreto: la creación de The Sovereign Stack mediante la mejora de un servicio local real en colaboración con una autoridad local, un socio del sector privado y una institución académica, con FrankMail, un servicio de correo electrónico soberano para ciudadanos, como primera aplicación de seguimiento.

Contenido

POR QUÉ: Justificación y principios
QUÉ: Marco tecnológico
CÓMO: Gobernanza, financiación y certificación
DÓNDE: El programa piloto
Anexos

1. POR QUÉ: Fundamentos y principios

1.1 De la adolescencia a la madurez

Europa, y la comunidad más amplia de naciones que comparten valores abiertos, ayudaron a conducir al mundo desde los inicios de la revolución digital hasta su adolescencia. Desde la conmutación de paquetes (Davies, Reino Unido), las tarjetas inteligentes (Moreno, Francia), la World Wide Web (Berners-Lee, CERN), Linux (Torvalds, Finlandia), los estándares móviles GSM (ETSI, Francia), hasta el MP3 (Fraunhofer, Alemania) y la maduración continua de JavaScript a través de ECMA (Ginebra), Europa proporcionó tecnologías fundamentales que conectaron a millones de personas, hicieron que la información fuera más accesible que nunca y crearon nuevos mercados en el proceso.

Pero la adolescencia no es la edad adulta. La economía digital ha crecido de forma aislada, con capacidades concentradas en muy pocos lugares y sin un marco común sobre cómo deben interoperar sus componentes básicos. Esta falta de coordinación, agravada por la fragmentación y los estándares en constante cambio, genera desperdicio, ralentiza la innovación y les impide aprovechar toda la eficiencia y el potencial de crecimiento que la tecnología podría ofrecer.

Para los ciudadanos y las empresas, el impacto es claro:

La pesadilla de las contraseñas, con interminables inicios de sesión y restablecimientos, socava la seguridad y la productividad.
El flujo constante de correo electrónico no deseado supone una pérdida de tiempo y recursos, a pesar de décadas de medidas para combatirlo.
La frustración de las plataformas incompatibles obliga a las personas a hacer malabarismos con sistemas que simplemente deberían funcionar juntos.

Para los creadores y proveedores, los retos son igual de reales:

Los costes de cambio hacen que cada migración o integración sea desproporcionadamente compleja.
Los cambios en los marcos crean una agitación constante, lo que obliga a realizar costosas reescrituras en lugar de una innovación duradera.
Los conjuntos de habilidades fragmentados (demasiados dialectos digitales) producen pilas incompatibles y conocimientos dispersos.

El resultado es una menor calidad, una menor eficiencia y mayores costes en todos los ámbitos.

1.2 Oportunidades

Eliminar el desperdicio y la duplicación: los estándares interoperables sustituyen los inicios de sesión, las API y los formatos repetidos, eliminando la ineficiencia de raíz.
Aumentar la calidad y la resiliencia: las pilas simplificadas y las habilidades comunes reducen los errores, el tiempo de inactividad y las experiencias de usuario fragmentadas.
Reorientar el talento hacia la innovación: liberar a los desarrolladores de los costes de cambio y la rotación de marcos para que puedan crear, en lugar de solo parchear.
Ampliar la IA como asistente cotidiano: los conectores de IA abiertos admiten la codificación, el análisis y los servicios, lo que convierte las capacidades avanzadas en algo habitual.
Aumentar la competitividad: reducir las barreras para las pymes y los costes de integración, al tiempo que se mantiene una presión saludable sobre los operadores tradicionales.
Optimizar los servicios gubernamentales y empresariales: la interoperabilidad desde el primer día reduce los costes, disminuye la duplicación y acelera la entrega.

1.3 Cinco principios rectores

Soberanía ciudadana: los usuarios son dueños de su identidad y sus datos. Sin bloqueos, sin vigilancia, sin venta de atención.
Interoperabilidad por defecto: los servicios, los datos y la identidad funcionan entre proveedores, sectores y fronteras, sin necesidad de integración personalizada.
Arquitectura preparada para la IA: las especificaciones legibles por máquina, los patrones estandarizados y la cobertura de pruebas exhaustiva permiten un desarrollo asistido por IA a buen ritmo.
Estándares abiertos, competencia abierta: tecnología transparente en igualdad de condiciones, lo que reduce las barreras para las pymes y mantiene a las empresas establecidas bajo una presión saludable.
Crear una vez, implementar en todas partes: primitivas digitales comunes para la identidad, los datos, las API y los servicios. Cada proyecto parte de una base funcional, no de cero.

1.4 ¿Por qué ahora?

Los argumentos a favor de The Sovereign Stack no son abstractos, sino económicos, urgentes y cuantificables.

La mayoría de los componentes ya existen en forma abierta. El reto es la integración, no la invención. Sin embargo, sin coordinación, el coste de la fragmentación crece exponencialmente a medida que más ciudadanos se conectan a Internet y más servicios se digitalizan.

Las pruebas:

Entre el 20 % y el 40 % de los presupuestos de TI se consumen en deuda técnica y reelaboración: proyectos ralentizados por marcos incompatibles, API duplicadas y conjuntos de habilidades divergentes (Gartner, 2022).
Entre el 40 % y el 50 % del esfuerzo de ingeniería se dedica a la integración y la reelaboración, en lugar de a crear nuevo valor (McKinsey, 2020).
El gasto mundial en TI superará los 5 billones de dólares en 2025, lo que significa que cada año se desperdician cientos de miles de millones de euros en duplicaciones (IDC, 2023).
55 000 millones de euros en pérdidas anuales por ciberdelincuencia, en gran parte debido a la fragmentación de los sistemas de identidad y acceso (Comisión Europea, 2020).
Entre 150 y 200 dólares por empleado y año se desperdician solo en la gestión de contraseñas (Ponemon Institute, 2021).
El 40 % de los retrasos en la transformación digital se deben a problemas de identidad y autenticación (Gabinete del Gobierno del Reino Unido, 2022).
400 000 millones de euros de coste de oportunidad anual si Europa no logra ampliar la adopción y la soberanía digitales (EU Digital Compass, 2021).

La situación es como un sistema de transporte sin normas comunes. Hoy en día, los servicios digitales se asemejan a carreteras con diferentes anchuras, señales y normas de circulación: funcionan a nivel local, pero fallan a gran escala. Las «normas comunes de la autopista» —componentes básicos abiertos, estándar e interoperables— permiten a todo el mundo conducir más rápido, con mayor seguridad y a un menor coste.

Estamos pagando un alto precio por la ineficiencia. Los ciudadanos se enfrentan a fricciones, las empresas desperdician recursos y los gobiernos pierden eficiencia. La tecnología y las herramientas ya existen; lo que falta son bases comunes y coordinación. Sovereign Stack proporciona ese marco.

1.5 El marco de los factores que impulsan el problema

Por qué cada capa exige una intervención en Sovereign Stack

Identidad y acceso

Problema: más de 100 contraseñas por ciudadano, 55 000 millones de euros en pérdidas anuales por ciberdelitos, 40 % de retrasos en la transformación digital. Identidad federada controlada por 3-4 gigantes tecnológicos que crean pseudomonopolios
Por qué estandarizar: Romper el oligopolio de los proveedores de identidad, permitir una verdadera competencia, evitar que un único proveedor se convierta en la puerta de acceso a todos los servicios
Solución: Interoperabilidad obligatoria entre TODOS los proveedores de identidad, incluidas las opciones gubernamentales y privadas (OAuth 2.0 + OIDC)

Intercambio de datos

Problema: datos atrapados en silos, sin seguridad por defecto a nivel de fila, las violaciones exponen innecesariamente conjuntos de datos completos, dependencia de un proveedor debido a formatos propietarios
Por qué estandarizar: Permitir la propiedad granular de los datos, de modo que cada registro sepa quién puede acceder a él. Incorporar la seguridad en la capa de datos, no solo en el perímetro. Garantizar la portabilidad de los datos como un derecho.
Solución: Vinculación de identidad estándar a nivel de fila, almacenamiento cifrado por defecto, arquitectura de datos de confianza cero, capacidades de exportación/importación obligatorias.

Procesamiento/Aplicación

Problema: entre el 40 % y el 50 % del esfuerzo de ingeniería se dedica a la integración/reelaboración, el marco cambia cada 2-3 años, conjuntos de habilidades fragmentados en pilas incompatibles.
Por qué estandarizar: no el código en sí, sino la infraestructura de desarrollo: formatos de requisitos, equipos de prueba, estándares de documentación.
Solución: cadena de herramientas de desarrollo estandarizada, marcos de prueba comunes, especificaciones legibles por IA, estándares de documentación coherentes.

API/Integración

Problema: cada servicio reinventa los métodos de conexión, los costes de cambio son prohibitivos, adaptadores personalizados interminables, meses de trabajo de integración.
Por qué estandarizar: reducir la integración de meses a horas, permitir la sustitución de servicios, reducir las barreras para la participación de las pymes.
Solución: especificaciones OpenAPI obligatorias, códigos de error estándar, reglas de versionado, patrones de autenticación comunes.

Tiempo de ejecución/SO

Problema: Dependencia de un proveedor a nivel de infraestructura, preocupaciones sobre la soberanía, costes impredecibles, imposibilidad de migrar cargas de trabajo.
Por qué estandarizar: garantizar la portabilidad de las cargas de trabajo, evitar monopolios de infraestructura, mantener la soberanía digital.
Solución: estándares de contenedores, opciones de hardware abierto (RISC-V), patrones de implementación estandarizados.

2. QUÉ: El marco tecnológico

2.1 Ciclo de renovación digital

Vida útil prevista y velocidad de cambio de las capas de infraestructura digital

Al igual que los edificios tienen componentes con diferentes ciclos de sustitución (los cimientos duran generaciones, mientras que las cocinas se renuevan cada década), la infraestructura digital requiere un enfoque matizado para la gestión del cambio. Este modelo reconoce cuatro ciclos de vida distintos:

Cimientos (más de 50 años): estándares de protocolo y construcciones matemáticas

Especificaciones y algoritmos abstractos que existen independientemente de la implementación
Ejemplos: protocolo TCP/IP, estándar HTTP, cifrado RSA, codificación UTF-8
Se trata de ideas y acuerdos escritos en documentos, no de software que se ejecuta
El cambio requiere un consenso global, ya que los cambios radicales fracturarían Internet

Infraestructura (15-25 años): implementaciones de plataformas y sistemas operativos

Plataformas de software concretas que implementan estándares fundamentales
Ejemplos: kernel de Linux, Windows Server, PostgreSQL, tiempo de ejecución de Node.js
Se trata de software real que necesita parches de seguridad, actualizaciones y, eventualmente, sustitución
El cambio requiere una planificación coordinada de la migración, pero no un acuerdo universal

Funcional (7-10 años): marcos y lógica empresarial

Herramientas y patrones para crear aplicaciones de manera eficiente.
Ejemplos: marco React, Spring Boot, arquitecturas de microservicios.
Equilibrio entre la estabilidad de los sistemas existentes y la evolución de las nuevas capacidades.
Cambio impulsado por la productividad de los desarrolladores y las necesidades de mantenimiento.

Superficie (3-5 años): interfaces y experiencias

Lo que los usuarios ven e interactúan directamente.
Ejemplos: aplicaciones móviles, interfaces web, versiones de API.
Iteración rápida basada en los comentarios de los usuarios y las expectativas cambiantes.
Cambio impulsado por las necesidades de los usuarios, los requisitos de accesibilidad y las capacidades de los dispositivos.

Esta separación permite estrategias de gobernanza e inversión adecuadas para cada capa, evitando tanto la obsolescencia prematura como la costosa deuda técnica. La idea clave: los cimientos son las especificaciones que implementan; la infraestructura es el software que ejecutan.

2.2 Arquitectura de referencia

La pila Sovereign Stack está estructurada en capas que representan los componentes fundamentales de los sistemas digitales. Cada capa tiene una función clara, con estándares abiertos que garantizan la interoperabilidad, la calidad y la escalabilidad. Los planos transversales favorecen la productividad, la observabilidad y la confianza de los desarrolladores. Esta arquitectura por capas evita la duplicación, refuerza la competencia y sienta las bases para la innovación.

2.3 Tabla resumen de capas

Capa	Descripción
Experiencia	Interfaces para ciudadanos y empresas: web, móvil, XR, IoT, wearables.
Aplicación/Negocio	Servicios básicos, flujos de trabajo y lógica de dominio.
Integración/API	Conectores API abiertos para la interoperabilidad.
Datos: consulta e intercambio	UQL para consultas; formatos basados en JSON y binarios para el intercambio.
Capa de IA	Acceso a modelos de IA abiertos a través de ONNX y conectores interoperables.
Tiempo de ejecución y sistema operativo	Entornos de ejecución y bases de cálculo abiertas (Linux, RISC-V).
Identidad y acceso	Autenticación, autorización y federación entre proveedores de identidad.
DRM y licencias	Protección justa del contenido digital y los datos comerciales.
Planos transversales	DevEx (CI/CD), observabilidad, documentación.

2.4 Descripciones detalladas de las capas

2.4.1 Capa de experiencia

Propósito	Proporcionar interfaces coherentes y accesibles en todos los dispositivos y plataformas.
Características principales	Interfaces de usuario receptivas, cumplimiento de la accesibilidad, compatibilidad con XR/VR.
Enfoque abierto recomendado	JavaScript ES6 en primer lugar, utilizando HTML, CSS, componentes web y PWA para alcanzar todas las plataformas.
Por qué es importante	Garantiza que los ciudadanos y las empresas puedan acceder a los servicios sin problemas a través de la web, los dispositivos móviles, el IoT y los dispositivos inmersivos.

2.4.2 Capa de aplicación/negocio

Objetivo	Proporcionar servicios básicos, flujos de trabajo y lógica de dominio.
Características clave	Microservicios modulares, tipado fuerte, portabilidad.
Enfoque abierto recomendado	JavaScript ES6 a través de Node.js como tiempo de ejecución backend predeterminado.
Por qué es importante	Proporciona una base escalable, abierta y ampliamente adoptada para los servicios digitales.

2.4.3 Integración/Capa API

Finalidad	Permitir una comunicación fluida entre servicios, dispositivos y conjuntos de datos.
Características principales	API REST + GraphQL, descubrimiento de esquemas, conectores generados automáticamente.
Enfoque abierto recomendado	OpenAPI + GraphQL alineados con los estándares ETSI/W3C.
Por qué es importante	Reduce los costes de cambio, simplifica la integración y evita el bloqueo.

2.4.4 Datos: consulta e intercambio

Objetivo	Proporcionar acceso universal a los datos e intercambiarlos.
Características principales	UQL para consultas en SQL, NoSQL, IoT y flujos; formatos similares a JSON; Avro/Protobuf
Enfoque abierto recomendado	UQL basado en Trino/Calcite; esquema JSON + Markdown para la documentación.
Por qué es importante	Evita la fragmentación, reduce el desperdicio y garantiza la accesibilidad a largo plazo.

2.4.5 Capa de IA

Objetivo	Hacer que la capacidad de IA sea accesible para todos los servicios de una manera abierta y ética.
Características principales	Conectores estandarizados, compatibilidad con voz/visión/texto, portabilidad del modelo ONNX.
Enfoque abierto recomendado	ONNX como formato de referencia; puertas de enlace API de código abierto para la integración de modelos.
Por qué es importante	Garantiza que la IA esté ampliamente disponible, evita la concentración de capacidades y reduce las barreras para las pymes.

2.4.6 Capa de tiempo de ejecución y sistema operativo

Finalidad	Proporcionar la base de cálculo y ejecución para todos los servicios.
Características clave	Contenedores, tiempos de ejecución sin servidor, sistema operativo Linux, hardware abierto RISC-V.
Enfoque abierto recomendado	Sistema operativo basado en Linux para la portabilidad; RISC-V para el hardware abierto; contenedorización para el aislamiento de la carga de trabajo.
Por qué es importante	Evita la dependencia de pilas propietarias, reduce los costes y garantiza la soberanía.

2.4.7 Capa de identidad y acceso

Finalidad	Proporcionar autenticación y autorización universales y federadas.
Características principales	OAuth 2.0, OIDC, JWT, claves de acceso FIDO2/WebAuthn, conectores IdP, mapeo de atributos de usuario.
Enfoque abierto recomendado	Identidad federada a través de OAuth 2.0 + OIDC; tokens portátiles con JWT; autenticación sólida sin contraseña con FIDO2/WebAuthn.
Por qué es importante	Crea una estructura de identidad coherente y fiable en todos los servicios; reduce la duplicación y mejora la seguridad.

Véase el apéndice: Sistemas de identidad digital para obtener información detallada sobre el marco de implementación.

2.4.8 DRM y capa de licencias

Objetivo	Proteger el contenido y los datos de forma justa, al tiempo que se permite su adopción abierta.
Características clave	Metadatos de licencia, marcas de agua, seguimiento del uso, controles a nivel de API.
Enfoque abierto recomendado	SPDX para metadatos de licencia; técnicas de marcas de agua ligeras y abiertas.
Por qué es importante	Fomenta la participación comercial, apoya la monetización justa de las pymes y evita el uso indebido.

2.4.9 Planos transversales

Objetivo	Garantizar la productividad, la transparencia y la adopción por parte de los desarrolladores.
Características clave	Canales de CI/CD; scripting; observabilidad; documentación.
Enfoque abierto recomendado	JavaScript ES6 para scripting; JSONata para scripting de datos; OpenTelemetry para observabilidad; Markdown-first para documentación.
Por qué es importante	Una experiencia de desarrollo coherente reduce los errores, evita la fragmentación y acelera la entrega.

2.5 Familias de lenguajes principales de Sovereign Stack

Scripting (DevEx / Automatización): JavaScript (ES6) con JSONata para scripting de datos
Experiencia (presentación e interacción): JavaScript (ES6), HTML, CSS, componentes web, PWA
Aplicación/lógica empresarial: JavaScript (ES6) a través de Node.js
Documentación y conocimientos (Markdown-first): Markdown, JSON Schema, OpenAPI

Excepciones: cuando se requiera interoperabilidad crítica para el rendimiento, específica del dominio o heredada. Todas las excepciones deben exponerse a través de Open API + UQL y cumplir con los requisitos básicos de observabilidad y seguridad.

Para obtener orientación práctica sobre la implementación, incluidos los patrones de gestión de estado, los estándares de registro y los requisitos de documentación, consulte el apéndice: Recomendaciones para la implementación de tecnología.

3. CÓMO: Gobernanza, financiación y certificación

3.1 Gobernanza y modelo PPP

La iniciativa debe promoverse como una asociación público-privada, dirigida por la DG CONNECT con una fuerte participación de las pymes, las universidades y las alianzas industriales. Una junta conjunta debe establecer las prioridades, definir perfiles de conformidad ligeros y garantizar tanto el valor público como la innovación privada.

3.2 Certificación

La certificación debe seguir un modelo por niveles:

Autocertificación para servicios de bajo riesgo, mediante un sencillo sistema de pruebas de código abierto que cualquiera puede ejecutar.
Certificación auditada para infraestructuras críticas, que garantice la confianza y la resiliencia.

3.3 Modelo de financiación

Presupuesto estimado: hasta 1 millón de libras esterlinas para la fase piloto inicial.

Modelo: asociación público-privada al 50 %.

Fuentes de financiación en discusión:

DG CONNECT (Programa Europa Digital)
Gobierno del Reino Unido (DSIT, GDS)
Contribuciones de los socios (en especie y financieras).

3.4 Licencias para artefactos

Libro blanco y contenido no relacionado con el código: CC BY 4.0 (copia, adaptación, uso comercial con atribución).
Muestras de código e implementaciones de prototipos: MIT por defecto para una máxima permisibilidad; Apache-2.0 para los componentes en los que los socios prefieren concesiones de patentes explícitas.

3.5 Publicación y repositorio

Repositorio público (por ejemplo, github.com/Buckden/vb-sovereignstack) que aloja especificaciones, código y artefactos de prueba; cuestiones utilizadas para los comentarios de la comunidad y los resultados de las pruebas de autocertificación.

4. DÓNDE: El proyecto piloto

4.1 Qué hace que una ubicación sea ideal para el proyecto piloto

Sovereign Stack está diseñado para funcionar en cualquier región que desee colaborar entre los sectores público, privado y académico. La ubicación ideal para el proyecto piloto tiene:

Ambición de ciudad inteligente: un historial o interés por la innovación digital y los servicios centrados en los ciudadanos.
Ámbito escalable pero manejable: lo suficientemente grande como para obtener datos significativos, lo suficientemente pequeño como para realizar un piloto controlado.
Sólidas alianzas locales: relaciones existentes entre las autoridades locales, los empleadores y las instituciones académicas.
Visibilidad estratégica: un perfil que atraiga la atención del gobierno nacional y las instituciones de la UE.
Alineación política: gobiernos locales y nacionales deseosos de demostrar su liderazgo digital.
Beneficio inmediato para la comunidad: los residentes y las empresas locales se beneficiarán de los datos abiertos y los nuevos servicios digitales.

4.2 El enfoque piloto

El piloto tiene dos objetivos: construir la pila The Sovereign Stack y demostrar que funciona mejorando un servicio local real.

Creación de la pila

Los primitivos digitales reutilizables que sustentan todos los servicios de The Sovereign Stack. Es fundamental que la pila esté diseñada para estar preparada para la IA, con especificaciones estandarizadas y legibles por máquina, patrones coherentes y una cobertura de pruebas exhaustiva, de modo que el desarrollo y las pruebas asistidos por IA puedan ofrecer resultados rápidos y de alta calidad desde el primer día.

Identidad y acceso — OAuth 2.0 + federación OIDC, autenticación sin contraseña FIDO2/WebAuthn
Capa API — OpenAPI + GraphQL, patrones estandarizados, esquemas analizables por IA
Capa de datos — Seguridad a nivel de fila, cifrado por defecto, controlado por el usuario
Observabilidad — Instrumentación OpenTelemetry, registro Winston
Documentación: JSDoc + Markdown, especificaciones legibles por IA en todo momento
Pruebas: conjuntos de pruebas automatizadas completos que permiten el control de calidad asistido por IA

Mejora de un servicio local

La pila solo tiene valor si resuelve un problema real. La prueba piloto tomará un servicio local existente, uno que la autoridad principal y la empresa asociada acuerden que necesita actualizarse, y lo reconstruirá o mejorará en la pila The Sovereign Stack.

El servicio específico se acordará con los socios durante la movilización. Debe ser algo que los ciudadanos ya utilicen y cuya experiencia actual sea deficiente: lento, obsoleto, mal integrado o con falta de control por parte del usuario. Al modernizar un servicio que la gente conoce, demostramos el valor de la pila de una manera que es inmediatamente tangible.

Lo que viene a continuación: FrankMail

Una vez que la pila se haya probado a través del servicio piloto, se convertirá en la base para otros servicios de The Sovereign Stack, empezando por FrankMail, una plataforma de correo electrónico soberana en la que los usuarios controlan quién puede ponerse en contacto con ustedes. Consulte la página de FrankMail para obtener más detalles.

4.3 Funciones de los socios

El piloto requiere tres tipos de socios: una autoridad local ambiciosa, una empresa del sector privado y una institución académica. Cada uno aporta una perspectiva diferente: prestación de servicios públicos, viabilidad comercial y evaluación independiente.

Para obtener una descripción completa de las funciones de los socios, los resultados esperados, el calendario y los indicadores de éxito, consulte la página del piloto.

Apéndices

Apéndice A: Referencias de pruebas económicas

McKinsey & Company (2020) – «Índice de velocidad de los desarrolladores»: se estima que entre el 40 % y el 50 % del esfuerzo de ingeniería se dedica a la integración, el mantenimiento y la reelaboración, en lugar de a la creación de nuevo valor.
Gartner (2022) – «Top Priorities for CIOs»: señala que entre el 20 % y el 40 % de los presupuestos de TI de las grandes organizaciones se absorben por la deuda técnica y las ineficiencias asociadas.
IDC (2023) – Guía mundial de gasto en TI: se prevé que el gasto mundial en TI supere los 5 billones de dólares en 2025, con un 30-35 % atribuido a los retos de integración y duplicación.
Ponemon Institute (2021) – «Informe sobre prácticas de contraseñas»: se estima que el coste medio de la gestión de contraseñas es de 150-200 dólares por empleado y año.
Comisión Europea (2020) – Estrategia de ciberseguridad de la UE: se citan 55 000 millones de euros en pérdidas anuales por delitos cibernéticos, gran parte de ellas relacionadas con debilidades en la identidad y la autenticación.
Oficina del Gabinete del Reino Unido (2022) – «Actualización de la identidad digital»: se constató que el 40 % de los retrasos en la transformación digital del Gobierno estaban relacionados con barreras de identidad/autenticación.
Comisión Europea (2021) – Brújula Digital 2030: advirtió de un coste de oportunidad anual de 400 000 millones de euros si Europa no acelera la adopción digital abierta y la soberanía digital.
ECMA International – JavaScript se define en la especificación del lenguaje ECMAScript ECMA-262, siendo ES6 (ECMAScript 2015) la versión fundamental para las implementaciones modernas.

Apéndice B: Fundamentos digitales europeos

Liderazgo de Europa en tecnologías digitales fundamentales desde la década de 1960 hasta la actualidad:

Innovación	Creador	Ubicación	Año	Impacto
Conmutación de paquetes	Donald Davies	NPL Londres	1965	Método de transmisión de datos en el que se basan todas las redes modernas
Tarjetas inteligentes	Roland Moreno	Francia	1974	Base para pagos seguros, tarjetas SIM y documentos de identidad
World Wide Web	Tim Berners-Lee	CERN Ginebra	1989	HTML, HTTP y URL que transformaron Internet
Linux	Linus Torvalds	Helsinki	1991	Sistema operativo de código abierto que impulsa la mayoría de los servidores y Android
GSM	ETSI	Sophia Antipolis	1987	Estándar móvil que conectó a miles de millones de personas en todo el mundo
MP3	Instituto Fraunhofer	Erlangen	1993	Compresión de audio que hizo posible la música digital
MPEG	Leonardo Chiariglione	Italia	1988	Compresión de vídeo que impulsa los DVD y el streaming
MySQL	Michael Widenius	Helsinki	1995	La base de datos de código abierto más utilizada del mundo
JavaScript/ECMAScript	ECMA International	Ginebra	1997–	Gestión europea del lenguaje de programación más omnipresente del mundo

Apéndice C: Marco de los sistemas de identidad digital

Los sistemas modernos de identidad digital pueden entenderse a través de cuatro capas interconectadas que proporcionan la funcionalidad básica al usuario.

Funcionalidad compatible

Los sistemas de identidad digital permiten cuatro funciones principales:

Autenticación y autorización: demostrar quién es usted y acceder a los servicios.
Firma digital: crear firmas electrónicas legalmente vinculantes.
Verificación de identidad con credenciales verificables: demostrar atributos específicos sin compartir información excesiva.
Almacenamiento de documentos: conservar y presentar documentos oficiales de forma segura.

Estructura y marco de responsabilidad

La estructura de gobernanza determina la confianza y la responsabilidad. Quién emite las credenciales, quién certifica su validez y quién asume la responsabilidad cuando las cosas salen mal forma el triángulo crítico de la confianza.

El reglamento eIDAS de la UE establece una responsabilidad legal clara: los Estados miembros son responsables de los fallos de autenticación, mientras que los proveedores de servicios de confianza cualificados deben contratar un seguro obligatorio. El Reino Unido aplica un modelo de responsabilidad contractual más fragmentado, en el que la responsabilidad varía según el sector y el acuerdo.

Modelo de emisor de dos capas

La capa 1 (identidad raíz) establece la identidad digital fundamental: el par de claves primarias y la prueba de identidad básica que dice «esta clave criptográfica pertenece a esta persona verificada». Los proveedores designados por el gobierno suelen controlar esta capa.

Capa 2 (atributos): diversas fuentes autorizadas añaden credenciales a esta identidad raíz: las universidades añaden títulos, las autoridades de transporte añaden permisos de conducir y los empleadores confirman la situación laboral.

Esta separación es crucial: usted tiene una identidad verificada, pero muchos atributos asociados.

Implementación técnica

La pila tecnológica subyacente —desde FIDO2/WebAuthn para la autenticación sin contraseña hasta PKI para las firmas digitales y W3C Verifiable Credentials para la divulgación selectiva— sigue siendo en gran medida coherente en todos los sistemas. Las diferencias clave radican en las opciones arquitectónicas: almacenamiento centralizado frente a almacenamiento basado en carteras, protocolos de federación y si se utilizan tecnologías emergentes como las pruebas de conocimiento cero para la verificación con preservación de la privacidad.

Cartera de identidad digital de la UE (EUDIW)

Un sistema basado en carteras que obliga a todos los Estados miembros de la UE a emitir identidades digitales interoperables antes de diciembre de 2026, con responsabilidad legal y aceptación transfronteriza garantizada.

Fechas clave:

Diciembre de 2026: al menos una cartera disponible en cada Estado miembro.
Diciembre de 2027: aceptación obligatoria por parte de las partes interesadas del sector privado especificadas.

Identidad digital del Reino Unido

Un enfoque impulsado por el mercado que combina GOV.UK One Login para los servicios públicos con proveedores privados certificados, que operan fuera de eIDAS con normas específicas para cada sector y modelos de responsabilidad comercial.

Diferencia clave: La UE exige un sistema interoperable con fuerza legal en 27 países, mientras que el Reino Unido se basa en la adopción por parte del mercado con aceptación voluntaria y normas variables según el sector.

Apéndice D: Recomendaciones para la implementación de la tecnología

Gestión de estados

Implemente máquinas de estados utilizando objetos JavaScript básicos para casos sencillos con menos de cinco estados y transiciones lineales, reservando XState para escenarios complejos que impliquen estados anidados, operaciones asíncronas o condiciones de protección.

Emplee un patrón de servicio único distribuido por dominio funcional (autenticación, gestión de datos, interfaz de usuario) y asegúrese de que cada uno mantenga una única instancia accesible globalmente para evitar la fragmentación de estados.

Persistan solo los estados críticos para el negocio en la base de datos, mientras mantienen los estados efímeros de la interfaz de usuario en la memoria, optimizando tanto el rendimiento como la coherencia del sistema.

Infraestructura de registro

Adopten Winston como marco de registro estándar en todos los servicios Node.js, configurado con salida JSON estructurada para el análisis automático y formato legible para el desarrollo.

Implemente ID de correlación entre los límites de los servicios para permitir el seguimiento de las solicitudes de extremo a extremo.

Establezca los niveles de registro de forma dinámica según el entorno: detallado para el desarrollo, informativo para la puesta en escena, de advertencia para la producción, con la posibilidad de elevar temporalmente los niveles para la depuración sin necesidad de implementación.

Normas de documentación

Exija comentarios JSDoc para todas las API públicas y funciones internas complejas, lo que permite la generación automática de documentación de API y la inteligencia IDE.

Combine JSDoc con archivos Markdown para decisiones arquitectónicas, guías de configuración y manuales de operaciones.

Mantenga un enfoque que dé prioridad a la documentación, en el que las API se documenten antes de su implementación, lo que garantiza la claridad de los contratos y reduce la fricción de la integración.

Participe

Sovereign Stack busca tres tipos de socios (autoridades locales, socios empresariales e instituciones académicas) para llevar a cabo la primera prueba piloto. Consulte la página del programa piloto para obtener una descripción completa de las funciones de los socios.

Contacto: richard@buckden.io Sitio web: thesovereignstack.eu

The Sovereign Stack: transformando los residuos digitales en soberanía digital.