En un mundo cada vez más digitalizado, el equilibrio entre la seguridad y privacidad se vuelve más transparente. La iniciativa conocida como Chat control, impulsada por la Comisión Europea, propone escanear de forma sistemática los mensajes privados en busca de contenido relacionado con abuso sexual infantil (CSAM). Si bien el objetivo de proteger a los menores es evidente, las medidas que se han propuesto han despertado fuertes criticas en la comunidad de ciberseguridad y derechos digitales.

Problema real, solución peligrosa

El CSAM, es una problemática por desgracia creciente y claramente gravísima. Es por ello, que los organismos se ponen de acuerdo para desarrollar tecnologías para identificar, prevenir y erradicar estas practicas, de forma que el reporte de este contenido no dependa de terceros que lo hacen de forma manual, sino, que se realize de forma automática. Sin embargo, el enfoque del Chat Control genera preocupación por el uso de técnicas de escaneo automático y vigilancia que perturban la privacidad de tod@s.

Las “puertas traseras” que permiten “espiar” mensajes en busca de criminales también pueden ser utilizadas para otros fines. En otras palabras, una vez que se debilita el cifrado para unos fines, se debilita para todos los usos.

Las propuestas de la UE

Estas son algunas de los mecanismos que se han planteado para detectar el contenido CSAM:

1. Coincidencia por huellas (hash-matching/“perceptual hashing”) de CSAM conocido contra una base de “indicadores” (hashes) que gestionaría el Centro de la UE y pondría a disposición de los proveedores.
2. Clasificadores de IA para detectar “CSAM nuevo” (imágenes/vídeos no vistos antes) cuand no hay hash previo.
3. Detección de “grooming” mediante análisis de texto/NLP y señales contextuales/operativas.
4. Análisis de enlaces/URLs: detección y reporte de links que apunten a alojamientos de CSAM (listas de URLs conocidas). (En 2025 se discutió centrar órdenes en imágenes, vídeos y enlaces).
5. Escaneo del lado del cliente (client-side scanning, pre-cifrado) para servicios con E2EE.

Por ejemplo, en la medida de CSS, para poder “detectar” contenido en servicios con cifrado extremo a extremo (E2EE) solo hay dos caminos: descifrar (inaceptable) o escanear en el dispositivo antes de cifrar (client-side scanning). En la práctica, esto instalaría algún tipo de agente de inspección en tu móvil. Desde el lado de la seguridad, cualquier agente que lea contenido sensible amplía la superficie de ataque: nuevo código, nuevos bugs, nueva vía para malware, etc.

Debilitando la seguridad

El cifrado de extremo a extremo a día de hoy, al menos en mi opinión, no es algo opcional, yo, lo considero una necesidad de seguridad y derechos fundamental. Casos como por ejemplo los periodistas que trabajan en contextos represivos, o los habitantes de regímenes de dictadura, hacen que el cifrado y la privacidad en las comunicaciones sean fundamentales.

Una de las soluciones que se han propuesto, son la de implementar sistemas de escaneo masivo (client-side scanning) implica que los mensajes son analizados en los dispositivos antes de ser enviados. Según muchos, de esta forma evitaríamos enviar datos a servidores o terceros, pero esta propuesta no solo rompe el principio del cifrado, sino que introduce nuevas vulnerabilidades explotables por terceros. Estas medidas propuestas, nos empujan hacia una arquitectura de vigilancia masiva por diseño.

Normalización del control

Aceptar este tipo de tecnologías sentaría un peligroso precedente. Si se justifica la vigilancia de todos los ciudadanos para combatir un crimen, ¿qué impide que se extienda la lógica a otros delitos o comportamientos políticos incómodos? En la práctica, esto abre la puerta a un modelo de control estatal más propio de regímenes autoritarios que de democracias liberales.

Edward Snowden ya lo advirtió: “Las herramientas construidas para espiar a los criminales rara vez se quedan limitadas a ese propósito”.

No se trata de una advertencia exagerada. A lo largo de la historia moderna, los estados han utilizado la tecnología disponible para extender mecanismos de vigilancia sobre su población bajo el pretexto de la seguridad nacional.

1. Durante el siglo XX, regímenes como la Stasi en la República Democrática Alemana o la KGB soviética desarrollaron aparatos de inteligencia doméstica con redes extensas de informantes, escuchas telefónicas y monitoreo postal.

2. En el contexto occidental, tras los atentados del 11 de septiembre de 2001, la Ley Patriota de EE.UU. y el programa PRISM de la NSA revelado por Edward Snowden en 2013 demostraron cómo gobiernos democráticos también habían implementado esquemas de vigilancia masiva sin supervisión judicial efectiva.

3. Más recientemente, escándalos como el uso del spyware Pegasus para espiar a periodistas, activistas o líderes de oposición han demostrado cómo la vigilancia digital ya es una realidad transnacional.

La historia muestra que, una vez instalados, los sistemas de vigilancia rara vez se desmantelan; más bien se perfeccionan, se expanden y se normalizan. Con el Chat Control, el espionaje digital ya no sería una herramienta secreta de inteligencia, sino una función integrada por defecto en nuestros dispositivos, legitimada por la ley.

Distopías digitales

Las implicaciones en este caso del Chat Control no son simplemente técnicas, son en gran medida políticas. Al permitir a los Estados o a empresas tecnológicas escanear nuestras conversaciones más íntimas, corremos el riesgo de comenzar una distopía digital.

Las distopías ya no se construyen con campos de concentración, sino con dispositivos conectados. Como en las novelas de Orwell o Huxley, la vigilancia no tiene por qué ser visible para ser efectiva: basta con que sepamos que estamos siendo observados. Y con ese miedo, se silencian las voces críticas, se limita la disidencia y se erosiona el tejido democrático.

Plataformas que apostan por la privacidad

En el ecosistema de mensajería pro-privacidad, varias plataformas han trazado líneas rojas claras ante la posibilidad de un escaneo obligatorio de comunicaciones. Signal ha reiterado que abandonaría el mercado de la UE antes que integrar un “mecanismo de vigilancia” en sus apps; su dirección lo ha dicho de forma explícita en comunicados y entrevistas recientes

En paralelo, Pavel Durov (Telegram) lanzó este octubre un aviso con tono distópico: “nos estamos quedando sin tiempo para salvar el internet libre”. Durov apunta a una tendencia global que incluye IDs digitales, verificaciones de edad y escaneo masivo de mensajes, y alerta de que normalizar estas medidas acabará por erosionar la libertad en la red.

Algunos enlaces de interés

• https://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=SWD%3A2022%3A0209%3AFIN%3AEN%3APDF
• https://eur-lex.europa.eu/legal-content/ES/TXT/HTML/?uri=CELEX%3A52022PC0209
• https://www.europarl.europa.eu/RegData/etudes/BRIE/2022/738224/EPRS_BRI%282022%29738224_EN.pdf
• https://fightchatcontrol.eu/es/