Fallo en la disponibilidad de AWS: lecciones aprendidas
El pasado 20 de octubre de 2025, Amazon Web Services (AWS) sufrió una interrupción significativa que afectó a una amplia gama de servicios en todo el mundo. La incidencia, registrada principalmente en la región US-EAST-1 (Virginia del Norte), provocó la caída o ralentización de miles de plataformas y aplicaciones que dependen de la infraestructura de Amazon para operar. Entre las afectadas se encontraron gigantes como Snapchat, Fortnite, Duolingo, Roblox o varios servicios financieros y de comercio electrónico.
Según el propio panel de estado de AWS, el incidente se originó en un problema con la resolución del sistema de nombres de dominio (DNS) que afectó a la conectividad interna de varios servicios, entre ellos Amazon DynamoDB, una de sus bases de datos NoSQL más utilizadas. El error impidió que los distintos componentes de la infraestructura de AWS “encontraran” las direcciones de los servicios con los que debían comunicarse, lo que generó errores en cascada y afectó a aplicaciones dependientes. De forma simultánea, Amazon EC2, la plataforma de cómputo en la nube que aloja instancias virtuales para millones de clientes, también experimentó incidencias de conectividad interna que amplificaron el alcance del fallo. Aunque AWS fue restableciendo la disponibilidad a lo largo del día, el episodio volvió a poner de relieve el elevado nivel de dependencia global respecto de un número muy limitado de proveedores de infraestructura tecnológica.
Desde un punto de vista legal y operativo, el incidente ofrece lecciones valiosas. Los contratos de servicios en la nube suelen prometer niveles de disponibilidad muy altos, pero en la práctica ninguna infraestructura es infalible. Las compensaciones por incumplimiento suelen estar muy limitadas, lo cual resulta insuficiente cuando las pérdidas económicas, operativas o reputacionales son significativas. Por ello, resulta imprescindible que las empresas revisen sus acuerdos de nivel de servicio (SLA) y las cláusulas de responsabilidad de sus proveedores cloud, asegurando que contemplen supuestos de interrupciones prolongadas y medidas concretas de recuperación.
Además, el incidente tiene implicaciones directas desde la perspectiva del Reglamento General de Protección de Datos (RGPD). El artículo 32 exige a responsables y encargados adoptar medidas que garanticen la disponibilidad de los datos personales. En este contexto, AWS actúa como encargado del tratamiento, por lo que debe notificar sin dilación a los responsables del tratamiento (sus clientes) cuando una incidencia pueda afectar a la disponibilidad o integridad de los datos. Estos, a su vez, deben documentar y evaluar el impacto del suceso, y si la pérdida temporal de acceso a los datos puede suponer un riesgo para los derechos de los interesados, incluso valorar su notificación a la autoridad de control. De momento, no hay constancia de que Amazon haya notificado a los responsables del tratamiento.
El suceso también subraya la importancia de gestionar el riesgo de concentración. Cada vez más organizaciones dependen de una única región o proveedor de nube, lo que crea puntos únicos de fallo con impacto global. Una adecuada estrategia de resiliencia debería incluir diversificación de regiones o proveedores, mecanismos contractuales que permitan la portabilidad de datos y el cambio de proveedor sin barreras excesivas, así como planes de continuidad operativa probados y coordinados con las áreas legales y de cumplimiento.
Por último, es esencial que los contratos incluyan obligaciones claras de comunicación de incidentes, tiempos de respuesta y colaboración en la gestión de crisis. En sectores regulados, donde la disponibilidad del servicio es un requisito legal (como en el financiero o el sanitario), la caída de un proveedor crítico puede tener consecuencias regulatorias y de cumplimiento significativas, además de claras consecuencias para las personas. Las empresas deben estar preparadas no solo desde la perspectiva técnica, sino también contractual y organizativa.
En definitiva, la caída de AWS demuestra que incluso los actores más sólidos del ecosistema digital están expuestos a fallos estructurales, y que la confianza en la nube debe ir acompañada de una gestión activa del riesgo. La tecnología avanza más rápido que las previsiones contractuales, y los equipos legales deben anticiparse a estos escenarios mediante contratos claros, marcos de gobernanza sólidos y estrategias de resiliencia bien diseñadas.