Microsoft, AWS y Google suspenden ventas en Rusia: la primera vez que tech actúa como bloque geopolítico

El 24 de febrero, Rusia invadió Ucrania. En cuestión de horas, Cloudflare borró material crypto que estaba siendo usado para mover dinero desde Ucrania hacia salidas seguras. El 4 de marzo, Microsoft suspendió la venta de productos y servicios en Rusia. El 10 de marzo, AWS, Google Cloud y el resto de Microsoft anunciaron que suspendían también la venta de servicios cloud nuevos en Rusia. Apple cerró ventas, Meta restringió cuentas estatales rusas, Google deshabilitó ciertos servicios. Hasta SAP y Oracle siguieron.

Es la primera vez en la historia moderna que la industria tech actúa coordinadamente como bloque geopolítico, alineándose con sanciones gubernamentales sin esperar regulación específica. Para empresas mexicanas medianas, este episodio va más allá del titular y deja una pregunta operativa muy concreta: ¿qué tan expuesta está mi empresa a que un proveedor cloud crítico tome una decisión política que afecte mi operación?

Qué pasó exactamente

Cronología comprimida:

• 24 feb: Rusia invade Ucrania. EE.UU., UE, Reino Unido y aliados imponen primer paquete de sanciones financieras.
• 24-26 feb: Cloudflare, GitHub y otros toman acciones específicas para apoyar infraestructura ucraniana y limitar capacidades rusas.
• 28 feb-3 mar: Apple suspende ventas de productos en Rusia. PayPal, Visa, Mastercard suspenden operaciones.
• 4 mar: Microsoft anuncia suspensión de "todas las ventas nuevas" en Rusia (productos y servicios).
• 10 mar: AWS y Google Cloud anuncian suspensión de nuevos clientes en Rusia y Bielorrusia.
• Mediados de marzo: Oracle suspende todas las operaciones. SAP, Salesforce, Adobe siguen patrones similares.
• Fin de marzo: Empresas con presencia en Rusia evaluando salida ordenada (Spotify, Netflix, Microsoft, etc.).

Importante: la mayoría de los proveedores no cortaron servicio a clientes existentes inmediatamente, pero suspendieron renovaciones, ventas nuevas y soporte. La salida es escalonada, no abrupta.

Por qué esto es nuevo y por qué importa

Hasta 2022, la industria tech operaba con la lógica de "somos infraestructura neutral". Vendíamos a casi cualquier cliente legítimo y el rol del Estado era poner reglas, no del proveedor tomar partido. Lo que pasó en marzo rompe esa lógica. Tres cosas son nuevas:

1. Acción coordinada sin obligación regulatoria

Las sanciones formales contra Rusia no requerían que Microsoft o AWS suspendieran cloud. Lo hicieron por decisión propia, alineada con presión política y reputacional. El precedente: proveedores tech pueden tomar decisiones unilaterales con impacto operativo grande.

2. Geografía deja de ser solo cuestión de latencia y costos

Hasta hoy, elegir región de cloud era ejercicio técnico (latencia, costo, compliance local). A partir de marzo 2022, es ejercicio también geopolítico. ¿Tu data está en una región cuyo gobierno podría ser sancionado mañana? ¿Tu proveedor opera bajo jurisdicción que podría exigirle cortar servicio?

3. Concentración en pocos proveedores se vuelve riesgo de continuidad

Si toda tu infraestructura crítica vive en AWS, y mañana AWS toma una decisión política que afecta tu región o tu sector, no tienes alternativa rápida. La diversificación, que antes era ejercicio de FinOps o de redundancia técnica, ahora es ejercicio de resiliencia geopolítica.

Qué debería sacar una empresa mexicana mediana

Tu empresa probablemente no opera en Rusia. Pero el principio aplica: un proveedor cloud crítico puede, por razones que están fuera de tu control, dejar de servirte. Las razones futuras pueden ser distintas (regulación, conflicto comercial, cambio de política interna del proveedor), pero el patrón se acaba de demostrar.

Cinco preguntas para responder en Q2:

1. ¿Tienes inventario claro de proveedores críticos y dónde está la data?

Para cada sistema crítico:

• ¿Quién lo proporciona?
• ¿En qué región física vive el dato?
• ¿Bajo qué jurisdicción legal?
• ¿Hay alternativa real si el proveedor corta servicio?

2. ¿Tu arquitectura permite migrar a otro proveedor en plazo razonable?

Si tu workload está construido sobre servicios propietarios de un proveedor (DynamoDB, BigQuery, Cosmos DB, servicios serverless específicos, ML APIs propietarios), migrar puede tomar 6-18 meses y costar millones. Si está sobre primitivas portables (PostgreSQL, Kubernetes, S3-compatible storage), migrar puede tomar semanas.

No proponemos eliminar todo lo propietario; proponemos conocer tu lock-in y aceptarlo conscientemente, no por accidente.

3. ¿Tienes plan de continuidad si tu proveedor cloud principal falla 30 días?

No por hack o caída técnica, sino por decisión política o regulatoria. ¿Qué sistemas críticos seguirían operando? ¿Cuáles caerían? ¿Cuál es el impacto al negocio?

Ejercicio recomendado: tabletop de 2 horas con C-level e IT simulando escenario "AWS suspende servicios nuevos en LATAM por 60 días" o "tu proveedor SaaS principal cierra operaciones en México". Aprendizaje grande, costo bajo.

4. ¿Tus contratos contemplan estos escenarios?

Renovación de contratos en 2022 es buen momento para revisar:

• Cláusulas de salida y portabilidad de datos.
• SLAs y compensación si hay suspensión.
• Notificación de cambios de política que afecten tu uso.
• Definición de "fuerza mayor" actualizada.

5. ¿Has evaluado proveedores alternativos siquiera al nivel de tener cuenta?

No proponemos migrar. Proponemos tener tarjeta amarilla preparada. Para cada servicio crítico, conocer la alternativa razonable: si usas AWS, conocer Azure o GCP; si usas Salesforce, conocer la alternativa. Costo: cero. Beneficio: opcionalidad real cuando se necesite.

Qué NO recomendamos

Sería irresponsable empujar pánico:

• No proponemos huir de los hyperscalers. AWS, Azure y GCP son y van a seguir siendo la mejor opción para la inmensa mayoría de los workloads. La concentración es lo problemático, no el proveedor en sí.
• No proponemos onsite/regional como solución mágica. Migrar todo a datacenter en Querétaro tampoco es la respuesta; ahí también hay riesgos distintos.
• No proponemos arquitectura multi-cloud por default. Multi-cloud serio es 2-3x más caro y complejo. Solo aplica para sistemas verdaderamente críticos.

Tres acciones concretas para Q2

Sin reescribir tu arquitectura, lo razonable este trimestre:

1. Inventario de dependencias críticas con mapeo de jurisdicción y alternativas conocidas.
2. Tabletop de 2 horas con C-level e IT sobre escenarios de discontinuidad de proveedor.
3. Revisión de contratos que se renuevan en 2022 con cláusulas actualizadas.

La lectura

Marzo de 2022 marcó el momento donde la industria tech dejó de ser "infraestructura neutral" para volverse actor político con poder operativo real sobre sus clientes. Para empresas mexicanas medianas, no es razón para alarma, pero sí para hacer ejercicio de resiliencia que no se hizo en años de cloud-first sin pausa.

La pregunta no es "¿qué pasa si Rusia me afecta?". La pregunta es: "¿qué tan rápido puedo operar si mi proveedor crítico, por la razón que sea, deja de operar conmigo?". Las empresas que respondan honestamente esa pregunta en Q2 van a ser las que mejor naveguen lo que viene en los próximos años.

---

¿Tu empresa tiene plan B en proveedores cloud? Conversemos. En ALCA acompañamos a equipos directivos y de IT a evaluar lock-in, riesgo geopolítico y opciones de continuidad sin caer en multi-cloud caro innecesario. Conversemos sin costo.