Amazon Web Services (AWS) vivió esta semana uno de los mayores incidentes técnicos de su historia reciente. Un fallo en su infraestructura provocó una interrupción generalizada de servicios digitales el 20 y 21 de octubre, afectando a miles de plataformas y aplicaciones a nivel global, incluyendo a empresas, administraciones y usuarios particulares. Aunque la compañía dio por resuelto el incidente en unas cuatro horas, el impacto fue considerable, tanto por el número de sistemas afectados como por lo que revela sobre la dependencia estructural de la nube.
Qué ocurrió y dónde falló AWS
La interrupción tuvo su origen en la región US-EAST-1, situada en el norte de Virginia (EE. UU.), un enclave estratégico donde se concentra una parte sustancial de la infraestructura digital global. Según confirmó la propia AWS, el problema estuvo relacionado con DynamoDB, su servicio de base de datos NoSQL, que comenzó a registrar “tasas de error significativas”. A esto se sumaron fallos en la resolución DNS, clave para la conectividad entre servicios.
Las consecuencias se multiplicaron rápidamente. Alexa dejó de funcionar, igual que Prime Video, Twitch o el sitio web de Amazon. Pero el efecto dominó fue mucho más amplio: Canva, Snapchat, Ticketmaster, Duolingo, Signal, Perplexity o Fortnite también experimentaron interrupciones. Incluso servicios financieros como BBVA o ING, y operadores como Movistar y Orange en España, reportaron incidencias.
Un fallo localizado, un impacto global
Lo ocurrido refleja una paradoja recurrente en el ecosistema digital: un error técnico en una única región puede desencadenar una crisis de escala global. La razón está en cómo se diseñan y despliegan las arquitecturas digitales actuales. Muchas organizaciones —por eficiencia o coste— concentran sus servicios en una única región de un proveedor de nube, sin mecanismos de redundancia geográfica o sin diversificación entre distintos operadores.
La propia AWS reconoció que, aunque había mitigado el fallo inicial en pocas horas, algunas funciones siguieron presentando errores durante más tiempo, especialmente en servicios como CloudTrail o Lambda. Este tipo de comportamientos —recuperaciones parciales, tasas de error elevadas tras el restablecimiento del servicio— son habituales en incidentes de esta magnitud, pero también subrayan la fragilidad de los sistemas interdependientes.
Las cifras de una dependencia estructural
Según datos de Built With, más de 76 millones de sitios web están construidos sobre infraestructura de Amazon, incluidos unos 200.000 en España. AWS gestiona más de 200 centros de datos en todo el mundo y domina alrededor del 30 % del mercado de servicios en la nube, según estimaciones de Synergy Research Group.
La región afectada, Virginia, no es un enclave menor. Es considerada la capital mundial de los centros de datos y alberga infraestructuras críticas que sustentan buena parte del tráfico global. No es casualidad que cada vez que se produce un incidente allí, el mundo entero lo perciba.
¿Qué responsabilidades tiene AWS?
Aunque AWS informó puntualmente sobre la evolución del incidente y activó canales de soporte, la responsabilidad legal en casos como este sigue siendo difusa. En Europa, directivas como la NIS2 obligan a los proveedores de servicios esenciales —entre ellos, los de nube— a notificar incidentes graves en un plazo de entre 24 y 72 horas. También deben garantizar medidas de resiliencia y continuidad. Sin embargo, esta normativa aún no ha sido completamente transpuesta en España.
A ello se suma una cuestión de fondo: pese a que servicios como AWS sustentan sistemas críticos —desde sanidad y finanzas hasta transporte o defensa—, no están sujetos al mismo nivel de regulación que otros sectores como la energía o la banca. La Ley de Resiliencia Operativa Digital (DORA) intenta reducir esta asimetría, pero su aplicación sigue siendo limitada y, de momento, no contempla compensaciones automáticas a los clientes afectados.
La respuesta de los expertos: entre la advertencia y la resignación
La reacción del sector ha oscilado entre la preocupación y la llamada a la acción. Rimesh Patel, especialista en infraestructura digital, lo resume así: “Una interrupción de este tipo expone cómo la concentración de servicios críticos en un solo proveedor puede derivar en una cascada de inestabilidad global. Lo que comienza como un fallo técnico se convierte en una crisis sistémica”.
El profesor Alan Woodward, de la Universidad de Surrey, incide en otro matiz relevante: “Muchos servicios online dependen de proveedores externos para su infraestructura física. Y eso implica que incluso un error menor puede tener un impacto global”. Patrick Burgess, del Chartered Institute for IT, insiste en la necesidad de diversificar: “Nuestros servicios digitales cotidianos dependen de unos pocos proveedores. La resiliencia pasa por romper esa dependencia”.
Una visión compartida por Cori Crider, del Future of Technology Institute, quien lanza una advertencia a las economías europeas: “La dependencia de empresas monopolísticas de la nube, como Amazon, es una vulnerabilidad que no podemos ignorar. Alemania, Francia y otras potencias deben actuar”.
El precedente de CrowdStrike y otras caídas recientes
El caso de AWS no es un hecho aislado. En julio de 2024, una actualización fallida de la plataforma de ciberseguridad CrowdStrike bloqueó millones de dispositivos Windows. Un año antes, una interrupción en Fastly dejó fuera de juego a buena parte de la web global. En 2021, WhatsApp, Facebook e Instagram también se cayeron durante horas por un error en el enrutamiento BGP.
Todos estos episodios comparten un patrón: una dependencia técnica extrema de pocos actores, combinada con arquitecturas hiperconectadas. Un sistema optimizado al milímetro, pero sin tolerancia al error.
¿Qué puede hacerse?
Las soluciones técnicas existen: replicar servicios en varias regiones, contratar servicios multicloud, establecer rutas de escape. Pero no todos los clientes las implementan. La nube promete elasticidad, escalabilidad y bajo coste. La resiliencia, sin embargo, tiene un precio adicional que muchas veces no se paga… hasta que falla.
Desde el ámbito regulador, la trasposición efectiva de normas como NIS2 o DORA puede servir para establecer obligaciones claras, umbrales de notificación, sanciones proporcionales y criterios de supervisión más exigentes. Pero también hace falta voluntad política para aplicar estas normas sin concesiones, especialmente cuando se trata de actores globales con enorme capacidad de lobby.
Caídas inevitables, consecuencias previsibles
El incidente del 20 de octubre volverá a repetirse. No con los mismos detalles técnicos, pero con consecuencias similares. Porque la nube es ya una infraestructura crítica, aunque aún no se regule como tal. El verdadero reto no es evitar la próxima caída, sino mitigar su impacto. Y para eso, no basta con confiar en que la nube no fallará. Hace falta auditar, diversificar, anticipar y, sobre todo, asumir que la resiliencia digital no es una opción, sino una obligación estructural.
