Chat Control: qué es, en qué punto está y cómo puede afectar al cifrado

Informatec Digital » Internet » Chat Control: qué es, en qué punto está y cómo puede afectar al cifrado

La idea de que alguien pueda ojear tus mensajes privados no hace ninguna gracia, y menos cuando hablamos de conversaciones protegidas con cifrado de extremo a extremo. Aun así, en las instituciones europeas se debate un paquete normativo que podría forzar a los servicios de mensajería y correo a analizar contenidos para detectar material de abuso sexual infantil. ese paraguas de medidas se conoce popularmente como Chat Control, y en realidad abarca dos marcos distintos con trayectorias y efectos muy diferentes.

Para entender el embrollo conviene separar el presente del futurible. Por un lado está Chat Control 1.0, ya vigente y de carácter voluntario para las plataformas; por otro, la propuesta Chat Control 2.0, que podría convertir el análisis en obligatorio tras orden de detección. El segundo texto sigue en tramitación y aún puede cambiar, pero el ruido ha estallado en redes por vídeos virales que lo dan por aprobado o inminente, generando confusión en torno a qué se ha decidido realmente.

Qué es exactamente Chat Control y por qué hay dos versiones

El sobrenombre Chat Control se usa para referirse a dos iniciativas europeas que persiguen combatir la difusión de material de abuso sexual de menores en servicios digitales. La primera, el Reglamento 2021/1232 (apodado como Chat Control 1.0), aprobada en 2021, habilita a proveedores de mensajería y correo a detectar de manera voluntaria ese tipo de contenidos, sin obligarles a hacerlo ni darles una base jurídica adicional más allá de la derogación temporal de ciertas restricciones de ePrivacy.

La segunda es el Reglamento 2022/0155, conocido como Chat Control 2.0 o Reglamento para prevenir y combatir el abuso sexual de los menores. Se trata de una propuesta que podría imponer a las plataformas un deber de detección y retirada de contenidos, con órdenes de detección emitidas por autoridades competentes cuando exista un riesgo significativo. Aquí está el quid del debate: cómo se concilia esa obligación con el cifrado de extremo a extremo y con los derechos fundamentales de la ciudadanía europea.

Chat Control 1.0 frente a Chat Control 2.0: diferencias clave

Chat Control 1.0 autoriza que los proveedores revisen comunicaciones para identificar material de abuso sexual infantil, pero de forma voluntaria y con salvaguardas. el artículo 3 exige tecnologías lo menos intrusivas posible y técnicas que no reconstruyan la sustancia de las conversaciones, sino que busquen patrones o señales asociadas a abusos. Además, en abril de 2024 el Parlamento Europeo avaló extender esta derogación hasta el 3 de abril de 2026 para dar margen a un marco estable a largo plazo.

La propuesta Chat Control 2.0 da un giro más ambicioso: en determinados supuestos, y tras orden de una autoridad judicial o administrativa independiente, las plataformas tendrían que detectar, reportar y retirar CSAM. Según la interpretación técnica compartida por asociaciones del sector, eso podría implicar analizar contenidos antes del cifrado en el dispositivo del usuario, lo que se conoce como escaneo del lado del cliente. De ahí nace el choque con la promesa central del cifrado de extremo a extremo.

Hay un matiz importante: ambas iniciativas colocan el foco de la detección en los proveedores, no en que instituciones europeas monitoricen conversaciones. Según la industria, ninguna institución de la UE tendría acceso a mensajes privados bajo estos marcos; cuando una plataforma detecta indicios de CSAM, debe notificar a autoridades policiales y judiciales o a entidades con interés público en protección de menores.

Estado del trámite: qué se ha decidido y qué no

La propuesta Chat Control 2.0 no está en vigor. A fecha de inicios de octubre de 2025, el texto espera la finalización de su primera lectura en el Consejo; el Parlamento ya fijó su posición para salvaguardar el equilibrio entre proteger a la infancia y evitar una vigilancia generalizada. Tras la posición del Consejo, vendrían los diálogos tripartitos y una nueva votación final en el pleno del Parlamento antes de su publicación oficial, si se aprueba.

En este contexto, se han amplificado mensajes que daban por hecho que el Consejo iba a activar la norma el 14 de octubre de 2025. La presidencia danesa sí ha priorizado el expediente y los días 13 y 14 está previsto Consejo de Justicia y Asuntos de Interior, pero ese paso no activa directamente la aplicación de la norma. Fuentes europeas han aclarado que no «entra en vigor» en esa fecha y que el calendario de adopción y entrada en vigor es impredecible por ahora.

También se han viralizado recuentos con apoyos y rechazos entre Estados. España, Portugal, Francia, Italia, Croacia, Hungría, Bulgaria, Chipre, Malta, Islandia, Dinamarca, Suecia, Letonia y Lituania han mostrado predisposición a avanzar, mientras que Austria, Bélgica, Chequia, Finlandia, Alemania, Luxemburgo, Países Bajos, Polonia y Eslovaquia han sido muy críticos con cualquier fórmula que debilite el cifrado. Hay países aún indecisos en algunos recuentos (por ejemplo, Grecia, Rumanía, Estonia o Eslovenia), y la postura alemana se considera especialmente decisiva.

Cómo funcionaría la detección: órdenes, alcance y límites

La columna vertebral de la propuesta es el sistema de órdenes de detección. Solo podría imponerse a un servicio cuando exista un riesgo significativo de uso indebido para material de abuso sexual infantil o para embaucamiento de menores. La orden la emitiría una autoridad judicial competente o una autoridad administrativa independiente, con una duración limitada y control proporcional.

Para minimizar impactos, la Comisión ha subrayado la necesidad de tecnologías ajustadas al estado del arte, que sean incapaces de extraer información distinta a la estrictamente necesaria, y con supervisión humana específica para filtrar falsos positivos. Además, el borrador contempla que la detección del embaucamiento de menores (grooming) es la más intrusiva porque exige analizar texto, por lo que su imposición requeriría una justificación especialmente sólida y, en propuestas de algunos Estados, se aplicaría solo cuando uno de los intervinientes sea menor.

Un punto especialmente delicado es el tratamiento de servicios con cifrado de extremo a extremo. Operativamente, la detección previa al cifrado se realizaría en el dispositivo del usuario para poder comparar imágenes, vídeos o, según versiones previas, textos frente a bases de huellas o modelos de detección. Muchos expertos equiparan esa inspección local a crear una puerta trasera, pues abre un canal adicional por el que contenidos que deberían ir cifrados podrían ser analizados y marcados antes de viajar.

Quién revisa, quién reporta y qué papel juega el nuevo centro europeo

Una de las confusiones más repetidas en redes es que «la Unión Europea leerá todos los mensajes». No es así. En ambos marcos, son los proveedores los que ejecutan la detección con herramientas técnicas. Si identifican contenido ilícito, deben remitirlo a las autoridades competentes o a organizaciones acreditadas para su tratamiento.

La propuesta de la Comisión también prevé la creación de un Centro de la UE sobre Abuso Sexual de Menores. Su razón de ser sería centralizar la recepción de reportes, mejorar la cooperación entre plataformas, sociedad civil y autoridades, y consolidar transparencia y auditorías sobre las herramientas y procesos de búsqueda y retirada de contenidos. Con ello se busca evitar duplicidades, mejorar tiempos de respuesta y reducir el riesgo de filtraciones durante el intercambio de información sensible.

Desde la perspectiva de la industria, si Chat Control 2.0 se adoptase, además de policía y fiscalías, podrían ser alertadas las Autoridades Coordinadas designadas por los Estados miembros para velar por la implantación, aunque ese detalle sigue abierto en la negociación. Lo que sí subraya el sector es que la UE en ningún caso accedería por sí misma a chats privados.

Privacidad, cifrado y riesgos técnicos: las críticas más serias

Organizaciones de derechos digitales, expertos en seguridad y juristas han cargado contra el corazón de la propuesta. Argumentan que el escaneo del lado del cliente socava la esencia del cifrado de extremo a extremo, con el consiguiente aumento del riesgo de brechas de datos. Si se integra una vía para examinar contenidos antes del cifrado, esa vía podría ser explotada por actores maliciosos, desde cibercriminales hasta gobiernos hostiles.

Una evaluación encargada por el Parlamento Europeo fue especialmente contundente: hoy no existe una tecnología capaz de detectar CSAM conocido y nuevo a gran escala sin generar tasas de error elevadas que impactan a todo el tráfico de una plataforma. El estudio apunta además a efectos colaterales, como el riesgo de clasificar como ilícitas imágenes compartidas de forma consensuada por adolescentes.

La evidencia empírica no ayuda al optimismo. En Irlanda, por ejemplo, 852 de 4.192 informes (20,3 %) resultaron ser material de explotación y 471 (11,2 por ciento) fueron falsos positivos, cifras que ilustran el difícil equilibrio entre precisión, volumen de reportes y recursos de verificación humana.

En el frente jurídico, el Servicio Jurídico del Consejo cuestionó la compatibilidad de la propuesta con derechos fundamentales como la vida privada y la protección de datos, recordando además la jurisprudencia del Tribunal de Justicia de la UE contraria a la conservación generalizada de datos. El Supervisor Europeo de Protección de Datos y el Comité Europeo de Protección de Datos alertaron en un dictamen conjunto del riesgo de derivar hacia un escaneo generalizado e indiscriminado de facto del contenido de casi cualquier comunicación electrónica.

También pesan los pronunciamientos de tribunales. En febrero de 2024, el Tribunal Europeo de Derechos Humanos sostuvo en un caso ajeno al dosier que exigir un cifrado degradado de extremo a extremo no puede considerarse necesario en una sociedad democrática. Este viento legal refuerza a quienes piden blindar el cifrado en la norma final.

Quién apoya, quién rechaza y cómo se mueve la política

La causa de proteger a la infancia suma adhesiones potentes, desde grupos activistas de protección de menores hasta departamentos de la Comisión y eurodiputados de distintos colores, que ven en un marco obligatorio una respuesta a la insuficiencia de la acción voluntaria. Argumentan que hay lagunas por variabilidad en políticas corporativas, dependencia de reportes desde Estados Unidos y ausencia de un circuito europeo ágil de denuncia e investigación.

La oposición, en cambio, traza una línea roja en el cifrado. En el Parlamento Europeo han levantado la voz Verdes, social liberales, conservadores y partidos piratas en una curiosa convergencia transversal. Se repite la idea de que proteger a la infancia no exige vigilancia masiva y que hay herramientas menos intrusivas: reforzar recursos policiales, mejorar cooperación transfronteriza, perseguir mercados ilícitos, exigir más seguridad por diseño a plataformas, y trabajar en educación y prevención.

El mapa en el Consejo está partido. España figura en el bloque que empuja el expediente y ha defendido que las autoridades puedan acceder a los datos en la lucha contra los abusos, mientras que Polonia, Países Bajos, Finlandia o Austria se mantienen críticos. Francia ha oscilado, Bélgica y Estonia sostienen dudas de implementación, y Alemania ha pasado de oponerse a aparecer indecisa tras cambios de gobierno. Dinamarca, al asumir la presidencia rotatoria en julio de 2025, reactivó la negociación e incluyó el reglamento como prioridad alta.

En la opinión pública, hay encuestas como las de YouGov que reportan mayorías claras de rechazo a escaneos generalizados. ese clima social se ha traducido en oleadas de presión a eurodiputados, especialmente durante 2023 y 2024, cuando el Consejo aplazó varias votaciones por falta de acuerdo.

Controversias: lobby, comunicación política y el papel de ciertas organizaciones

La tramitación ha llegado acompañada de polémica. Investigaciones periodísticas transnacionales profundizaron en el papel de la fundación estadounidense Thorn, impulsada por figuras públicas, que defiende activamente el despliegue de herramientas de detección y comercializa software de inteligencia artificial para identificar CSAM. Su interlocución con la Comisión y con la comisaria responsable del expediente ha levantado cejas sobre conflictos de interés y presión de grupos con intereses comerciales.

También ha sido criticada la estrategia de comunicación de la Comisión, incluyendo campañas de microsegmentación y un lenguaje percibido como ambiguo que evita expresiones como escaneo masivo a favor de fórmulas de detección dirigida y proporcionalidad. Organizaciones de derechos digitales aseguran que pidieron reuniones formales que no siempre obtuvieron respuesta, algo que ha alimentado la narrativa de opacidad.

Al hilo del debate, han surgido iniciativas en otros países. En Estados Unidos, por ejemplo, se denuncian campañas políticas contra protecciones de privacidad bajo el paraguas de la lucha contra el abuso, y en Reino Unido se han asomado tentaciones de exigir puertas traseras. La UE corre el riesgo de parecer hipócrita si impulsa medidas que critica fuera, apuntan voces de la sociedad civil.

Qué cambia para el usuario de a pie: efectos prácticos y marco en España

Si la propuesta saliese adelante en su versión más dura, los servicios de mensajería, correo o incluso chats integrados en juegos podrían verse obligados a instalar sistemas de detección automática de imágenes, vídeos o enlaces. En servicios cifrados de extremo a extremo, esto implicaría analizar ciertos contenidos antes del cifrado en tu dispositivo, lo que deriva en más superficie de ataque y problemas de confidencialidad si algo falla.

En España, el artículo 18 de la Constitución garantiza el secreto de las comunicaciones salvo autorización judicial, y las plataformas tienen deber de colaboración cuando media un mandamiento. Con cifrado de extremo a extremo, hoy no es posible para las plataformas descifrar chats aunque exista orden, porque no custodian las claves de los usuarios. Un régimen que obligase a detectar antes del cifrado cambiaría la arquitectura técnica y jurídica, con encaje constitucional nada trivial.

Además de los riesgos técnicos, hay preocupaciones por los efectos disuasorios en el ejercicio de derechos como la libertad de expresión o el activismo político. Si los usuarios perciben que cada imagen o audio puede ser analizado de forma preventiva, la autocensura puede crecer, y con ella el miedo a compartir incluso contenidos lícitos.

Mitos y realidades del vídeo viral que circula por redes

En noviembre de 2024 y nuevamente en 2025 circularon vídeos que aseguraban que Chat Control «ya había pasado todas las fases» y que «entraría en vigor el 14 de octubre». Ese mensaje es incorrecto: la propuesta 2.0 sigue en trámite, faltan etapas y, aunque el Consejo delibere y fije posición, ello no supone aplicación inmediata.

Otra afirmación recurrente es que «la UE tendrá acceso a todos los mensajes privados» y que solo X y Telegram se negarían. En realidad, los textos ponen la carga de la detección en las plataformas, y cualquier escaneo previo al cifrado estaría condicionado a órdenes de detección específicas. Aunque varias empresas han mostrado su rechazo a comprometer el cifrado, no existe una lista cerrada ni definitiva de qué servicios aceptarían o no un eventual mandato europeo.

De dónde viene todo esto: cronología mínima para situarse

La Comisión presentó su propuesta en mayo de 2022, tras años de crecimiento brutal en reportes de CSAM a entidades como el Centro Nacional para Niños Desaparecidos y Explotados de Estados Unidos. En 2023, la comisión parlamentaria de Libertades Civiles aprobó proteger explícitamente el cifrado y eliminar el escaneo indiscriminado, y durante 2024 el Consejo aparcó la votación en varias ocasiones por falta de mayorías.

En 2024 la Comisión trabajó en versiones revisadas y circularon borradores filtrados que intentaban acotar el alcance (por ejemplo, centrando la detección en multimedia y enlaces y menos en textos y audios). La llegada de la presidencia danesa del Consejo en julio de 2025 reactivó el expediente y fijó la ambición de acelerar una decisión política en otoño, algo que ha devuelto el debate a titulares y a la agenda pública con intensidad.

Medidas de proporcionalidad previstas y salvaguardas propuestas

Para tratar de superar el examen de necesidad y proporcionalidad, los borradores del Consejo insisten en limitar las órdenes de detección en tiempo y alcance, exigir evaluaciones de riesgo objetivas, preferir tecnologías lo menos intrusivas posibles, y obligar a auditorías y supervisión humana de casos marcados para reducir errores y sesgos.

Asimismo, se plantea que las órdenes no puedan superar periodos acotados (por ejemplo, hasta doce meses), que haya revisión y que se documenten los impactos en derechos. evitar obligaciones de supervisión general es el objetivo declarado, y se busca moverse en el campo de órdenes específicas y justificadas.

Relación con otras normas y debates digitales

Este expediente no vive en el vacío. Convive con la Ley de Servicios Digitales, con normas de datos y privacidad, y con marcos nacionales que buscan equilibrar seguridad y derechos fundamentales. La coherencia entre piezas normativas será clave para que no se generen contradicciones ni zonas grises que abran la puerta a abusos o a inseguridad jurídica.

• Ley de Servicios Digitales y sus obligaciones de diligencia debida
• Ley de Seguridad en Línea de 2023 y debates paralelos en otros países

Por último, es importante recordar que, aun cuando haya voluntad de proteger a la infancia, no todo se resuelve con tecnología. La prevención, la educación digital, el refuerzo de capacidades de investigación y la cooperación transfronteriza son piezas críticas que los expertos recomiendan fortalecer en paralelo a cualquier marco de detección.

Mirando el conjunto, Chat Control es un campo minado donde conviven una causa justa y riesgos muy serios para la privacidad y la seguridad de todos. el 1.0 permite la detección voluntaria con salvaguardas y está prorrogado hasta 2026; el 2.0, en cambio, es una propuesta en evolución que introduce órdenes de detección con potencial de afectar al cifrado, con amplio rechazo de juristas, tecnólogos y entidades de privacidad. Entre agendas políticas cambiantes, presiones sociales y dudas tecnológicas, la decisión final marcará la próxima década de nuestras comunicaciones, de modo que conviene seguir el proceso con lupa y exigir que cualquier paso respete el núcleo duro de nuestros derechos.