Chat Control 2.0 avanza en secreto tras el rechazo público, amenazando con crear una infraestructura de espionaje total
El proyecto Chat Control de la Unión Europea debería haber sido enterrado el mes pasado. El siniestro plan de Bruselas para escanear masivamente los mensajes privados de los ciudadanos enfrentó una resistencia pública abrumadora en Alemania, con el gobierno del país negándose a aprobarlo. Pero Bruselas rara vez retrocede simplemente porque el público lo demande. Y así, fiel a su forma de actuar, una versión reformulada del texto ya está siendo impulsada hacia adelante, esta vez fuera de la vista pública, a puerta cerrada.
El renacimiento de una propuesta rechazada
Chat Control, conocido formalmente como Reglamento sobre Abuso Sexual Infantil, fue propuesto por primera vez por la Comisión Europea en 2022. El plan original habría hecho obligatorio para los proveedores de email y mensajería escanear comunicaciones privadas, incluso las cifradas, con el supuesto objetivo de detectar material de abuso sexual infantil.
La herramienta fue vendida como una noble cruzada contra algunos de los crímenes más horribles del mundo. Pero los críticos argumentaron que el instrumento corría el riesgo de convertirse en un modelo para la vigilancia generalizada, dando esencialmente a los estados e instituciones de la UE la capacidad de escanear cada mensaje privado.
Una consulta pública que precedió a la propuesta reveló que la mayoría de los encuestados se oponía a tales obligaciones, con más del 80% rechazando explícitamente su aplicación a comunicaciones cifradas de extremo a extremo.
La estrategia del caballo de Troya
A pesar de bloqueos repetidos y críticas generalizadas por violar la privacidad y los derechos fundamentales, el texto nunca fue abandonado. En su lugar, fue reempaquetado y continuamente impulsado de una presidencia del Consejo a la siguiente. Cada vez que la resistencia democrática detuvo el plan original, siguió regresando en nuevas formas, bajo nuevas etiquetas, siempre disfrazado como una herramienta «necesaria» y «urgente» para proteger a los niños en línea, pero preservando siempre su lógica central: normalizar el monitoreo gubernamental de comunicaciones privadas a una escala sin precedentes.
En mayo, la Comisión Europea presentó una vez más su propuesta. Sin embargo, varios estados objetaron, incluyendo Alemania, Polonia, Austria y los Países Bajos. Como resultado, Dinamarca, que actualmente tiene la presidencia rotatoria del Consejo Europeo, inmediatamente comenzó a redactar una nueva versión, conocida como «Chat Control 2.0» y presentada este mes, que eliminó el requisito de monitoreo general de chats privados; las búsquedas ahora permanecerían formalmente voluntarias para los proveedores.
El avance sigiloso en Coreper
Todo esto ocurrió bajo los auspicios de Coreper, el Comité de Representantes Permanentes, una de las instituciones más poderosas pero menos visibles en el proceso de toma de decisiones de la UE. Es donde se negocia realmente la mayoría de la legislación europea; si Coreper acuerda sobre un archivo legislativo, los estados miembros casi siempre lo aprueban automáticamente.
La apuesta funcionó. Ayer, esta versión revisada fue silenciosamente aprobada por Coreper, esencialmente allanando el camino para la adopción del texto por el Consejo, posiblemente tan pronto como en diciembre. Como lo expresó el activista de derechos digitales y ex-eurodiputado Patrick Breyer, esta maniobra equivale a «una maniobra engañosa» destinada a eludir el debate democrático significativo y la supervisión.
Los problemas persistentes de Chat Control 2.0
Aunque la eliminación de la detección obligatoria en dispositivos es una mejora sobre el primer borrador, el nuevo texto aún contiene dos características extremadamente problemáticas:
Primero, alienta el escaneo masivo «voluntario» por parte de las plataformas en línea, una práctica ya permitida de forma «temporal», que ahora se convertiría en una característica permanente de la ley de la UE.
Segundo, prohíbe efectivamente la comunicación anónima al introducir sistemas obligatorios de verificación de edad.
Los riesgos de la inteligencia artificial en la detección
Una carta abierta firmada por 18 de los principales académicos europeos en ciberseguridad y privacidad advirtió que la propuesta más reciente presenta «altos riesgos para la sociedad sin beneficios claros para los niños». El primer riesgo es la expansión del escaneo «voluntario», incluyendo el análisis automatizado de texto usando IA para identificar comportamientos ambiguos de «grooming».
Este enfoque es profundamente defectuoso. Los sistemas de IA actuales son incapaces de distinguir adecuadamente entre conversación inocente y comportamiento abusivo. Los expertos explican que la detección de grooming impulsada por IA arriesga arrastrar vastos números de conversaciones normales y privadas a una red de arrastre, abrumando a los investigadores con falsos positivos y exponiendo comunicaciones íntimas a terceros.
Breyer enfatizó este peligro al notar que ninguna IA puede distinguir confiablemente entre coqueteo inocente, sarcasmo humorístico y grooming criminal. Advirtió que esto equivale a una forma de caza de brujas digital, donde la mera aparición de palabras como «amor» o «encuentro» en una conversación entre familiares, parejas o amigos podría disparar un escrutinio intrusivo. Esto no es protección infantil, argumenta Breyer, sino sospecha masiva dirigida contra toda la población.
Estadísticas alarmantes de falsos positivos
Incluso bajo el régimen voluntario existente, la policía federal alemana advierte que aproximadamente la mitad de todos los reportes recibidos son criminalmente irrelevantes, representando decenas de miles de chats legales filtrados anualmente. Según la Policía Federal Suiza, el 80% del contenido reportado por máquinas no es ilegal. Podría, por ejemplo, abarcar fotos inofensivas de vacaciones mostrando niños desnudos jugando en una playa. El nuevo texto expandiría estos riesgos dramáticamente.
Presión sobre servicios cifrados
Surgen preocupaciones adicionales del Artículo 4 de la nueva propuesta de compromiso, que requiere que los proveedores implementen «todas las medidas apropiadas de mitigación de riesgo». Esta cláusula podría permitir a las autoridades presionar a los servicios de mensajería cifrada para habilitar el escaneo, incluso si esto socava su modelo de seguridad central.
En la práctica, esto podría significar requerir que proveedores como WhatsApp, Signal o Telegram escaneen mensajes en los dispositivos de los usuarios antes de que se aplique el cifrado.
La Electronic Frontier Foundation ha señalado que este enfoque arriesga crear una infraestructura de seguridad permanente, que podría volverse gradualmente universal. Meta, Google y Microsoft ya escanean contenido no cifrado voluntariamente; extender esta práctica al contenido cifrado simplemente requeriría cambios técnicos. Además, lo que comienza como una opción voluntaria puede fácilmente convertirse en obligatorio en la práctica, a medida que las plataformas enfrentan presión reputacional, legal y de mercado para «cooperar» con las autoridades.
El alcance global de la vigilancia europea
Esto no afecta solo a personas en la UE, sino a todos en el mundo, incluyendo Estados Unidos. Si las plataformas deciden permanecer en la UE, se verían obligadas a escanear las conversaciones de todos en el bloque. Si no estás en la UE, pero chateas con alguien que sí lo está, tu privacidad también queda comprometida.
El fin del anonimato online
Otra amenaza importante es la introducción de sistemas obligatorios de verificación de edad para tiendas de aplicaciones y servicios de mensajería privada. Aunque el Consejo afirma que estos sistemas pueden diseñarse para «preservar la privacidad», los críticos insisten en que el concepto mismo es tecnológicamente inviable.
Las evaluaciones de edad inevitablemente dependen de datos biométricos y de comportamiento, ambos requieren recopilación invasiva de datos. Lejos de proteger a los niños, estos sistemas aumentarían el volumen de información personal sensible siendo almacenada y potencialmente explotada.
Requerir documentos de identidad oficiales para verificación en línea excluiría a millones de personas que carecen de acceso fácil a IDs digitales o que no proporcionarán documentación tan sensible meramente para usar un servicio de mensajería. En la práctica, esto significaría el fin de la comunicación anónima online, obligando a los usuarios a presentar identificación o escaneos faciales simplemente para abrir una cuenta de email o mensajería.
Breyer ha advertido que tales medidas serían particularmente desastrosas para informantes, periodistas, activistas políticos y otros que dependen del anonimato online. También empujaría a los menores de 16 años hacia alternativas menos seguras y mal reguladas que carecen de cifrado o protecciones básicas de seguridad.
La ineficacia fundamental de la vigilancia masiva
En última instancia, los críticos argumentan que la vigilancia masiva es simplemente el enfoque equivocado para combatir la explotación sexual infantil. Escanear mensajes privados no detiene la circulación de material de abuso infantil. Plataformas como Facebook han usado tecnologías de escaneo durante años, sin embargo, el número de reportes automatizados continúa aumentando.
Además, el escaneo obligatorio aún fallaría en detectar a perpetradores que distribuyen material a través de foros secretos descentralizados o mediante archivos cifrados compartidos usando solo enlaces y contraseñas, métodos que los algoritmos de escaneo no pueden penetrar exitosamente. La estrategia más efectiva sería eliminar el material de abuso conocido de los hosts online, algo que Europol ha fallado repetidamente en hacer.
El colapso de garantías legales fundamentales
Chat Control, en resumen, haría poco para ayudar realmente a las víctimas de explotación sexual infantil mientras perjudica a todos los demás. Cada mensaje quedaría sujeto a vigilancia, sin supervisión judicial, contrario a las garantías de larga data sobre correspondencia privada.
También existe una cuestión legal. El Tribunal de Justicia de la UE ha dictaminado previamente que el análisis general y automático de comunicaciones privadas viola los derechos fundamentales, sin embargo, la UE ahora está a punto de adoptar legislación que contraviene este precedente. Una vez adoptada, podrían pasar años antes de que una nueva impugnación judicial la anule.
La confidencialidad de la comunicación electrónica, esencial para la privacidad personal, el secreto empresarial y la participación democrática, sería sacrificada. Las conversaciones sensibles podrían ser leídas, analizadas, marcadas erróneamente o incluso utilizadas indebidamente, como han demostrado escándalos pasados involucrando a funcionarios de inteligencia y empleados de empresas tecnológicas.
Precedentes ominosos de abuso de vigilancia
Uno de los casos más notorios de abuso de inteligencia provino de la Agencia de Seguridad Nacional de EE.UU., donde múltiples empleados de la NSA fueron atrapados usando las poderosas herramientas de vigilancia de la agencia para espiar a parejas románticas y ex amantes. Documentos filtrados también han mostrado que la agencia de inteligencia británica GCHQ capturó y almacenó imágenes de chats de webcam de Yahoo, incluyendo millones de imágenes sexualmente explícitas de usuarios completamente inocentes.
También ha habido varios casos de empleados de Big Tech, desde Google hasta Facebook, usando herramientas internas para espiar a usuarios desprevenidos. Una vez que existe la infraestructura técnica para la vigilancia masiva, el abuso es solo cuestión de tiempo.
La amenaza a la ciberseguridad global
Además, el cifrado seguro, fundamento de la ciberseguridad, quedaría comprometido al introducir puertas traseras o herramientas de escaneo del lado del cliente que servicios de inteligencia extranjeros o actores criminales podrían explotar. Al mismo tiempo, la responsabilidad de las investigaciones criminales se desplazaría de autoridades democráticamente responsables a algoritmos corporativos opacos, con mínima transparencia o supervisión.
El peligro del deslizamiento funcional
Particularmente preocupante es el tema del deslizamiento funcional (function creep), el proceso mediante el cual una tecnología introducida para un propósito estrechamente definido se expande gradualmente para servir propósitos más amplios, y a veces completamente diferentes, con el tiempo.
La Ley de Seguridad Online del Reino Unido, aprobada en octubre de 2023, obliga a las empresas a desarrollar sistemas de detección de abuso sexual infantil, aunque el propio gobierno británico admite que tal infraestructura aún no está técnicamente disponible, creando autoridad legal en espera de capacidad técnica.
En Estados Unidos, las medidas de vigilancia «temporales» introducidas bajo la Ley Patriota post-11S se volvieron permanentes y, de hecho, se expandieron en alcance. Una vez que existe una infraestructura tecnológica para vigilancia online integral, puede ser reutilizada fácilmente y es difícil de desmantelar.
Las tecnologías diseñadas para detectar contenido dañino pueden extenderse rápidamente a la represión política; ejemplos de estados autoritarios demuestran cómo sistemas similares se usan para identificar y atacar a disidentes.
Una alternativa basada en derechos fundamentales
Los opositores argumentan que la UE debería adoptar un enfoque fundamentalmente diferente: uno que proteja a los niños sin socavar los derechos fundamentales. Proponen terminar el escaneo voluntario actual de mensajes privados por parte de empresas de internet estadounidenses, restaurando el principio de que la vigilancia dirigida requiere una orden judicial y debe limitarse a individuos razonablemente sospechosos de conducta delictiva.
Mantienen que el cifrado de extremo a extremo seguro, y el derecho a la comunicación anónima, deben preservarse. Estas no son herramientas de criminales, sino pilares esenciales de una sociedad libre y democrática.
La máquina de vigilancia total
Breyer resumió este patrón contundentemente: «Nos están vendiendo seguridad pero entregando una máquina de vigilancia total. Prometen protección infantil pero castigan a nuestros hijos y criminalizan la privacidad».
Las implicaciones son ominosas. Europa efectivamente está en el umbral de construir una máquina que puede verlo todo. Una vez construida, no servirá solo a las autoridades políticas actuales —la idea de Ursula von der Leyen espiando los mensajes de todos ya es suficientemente perturbadora— sino a quien ejerza el poder después.
La hipocresía del poder
La distopía se vuelve aún más grotesca cuando consideramos las contradicciones flagrantes de quienes impulsan esta legislación. Estos son los mismos líderes europeos que se codean regularmente con gobiernos responsables de atrocidades masivas contra niños, que firman acuerdos comerciales con regímenes que bombardean escuelas y hospitales, que miran hacia otro lado ante genocidios documentados.
Hablan de proteger a los niños mientras construyen una arquitectura de control que convertirá a toda la ciudadanía en sospechosa permanente. Una ley que nadie pidió, que fue rechazada repetidamente por la opinión pública, que viola precedentes judiciales establecidos, y que ahora intentan colar a escondidas, en comités opacos, lejos del escrutinio democrático.
Y por supuesto, como en todo sistema de vigilancia diseñado por el poder para el poder, los propios políticos y funcionarios de alto nivel quedarán probablemente exentos de estas medidas, protegidos por «razones de seguridad nacional» o «secreto de Estado». La vigilancia, como siempre, es para el pueblo, no para quienes gobiernan.
La ventana se cierra
Con otra votación aproximándose, la ventana para detener Chat Control se está estrechando. Lo que está en juego no es solo la privacidad individual, sino el carácter fundamental de la sociedad europea. Una vez que la máquina de vigilancia total esté construida, será extraordinariamente difícil desmantelarla.
La pregunta ya no es si tendremos vigilancia masiva en Europa. La pregunta es si aceptaremos este futuro distópico en silencio, mientras nuestros representantes electos lo implementan en la oscuridad, o si encontraremos la voluntad colectiva para detener esta pesadilla antes de que sea demasiado tarde.
