Chat Control: no se puede escanear solo a los malos
ContenidoContents
Esta semana la Unión Europea ha vuelto a la carga con el escaneo de mensajes privados —y esta vez ha salido adelante—. Lo llaman de muchas formas —CSAR, “detección de CSAM”, la prórroga del reglamento— pero en la calle se conoce como Chat Control. Y como llevo este blog defendiendo que el dato se queda en casa y que se puede medir sin espiar a nadie, no puedo mirar para otro lado.
Pero antes de indignarme, quiero hacer una cosa que en este tema casi nadie hace: contar con precisión qué se está votando de verdad. Porque la crítica buena no necesita exagerar, y si exageras, te la rebaten en dos tuits.
Para situarnos, antes de nada: lo que se ha aprobado esta semana es renovar el escaneo voluntario (Chat Control 1.0). No es el escaneo obligatorio que rompería el cifrado de extremo a extremo (Chat Control 2.0), que sigue bloqueado. Si ves titulares gritando “la UE aprueba Chat Control”, es esto: la versión suave. Mezclar las dos es el error más habitual de este tema, y el que te quita la razón. Todo lo que viene después parte de ahí.
Hay dos Chat Control, y no son lo mismo
Esto es lo primero que hay que tener claro, porque los titulares los mezclan sin parar.
Un aviso antes de seguir: los apodos “Chat Control 1.0” y “2.0” no aparecen en ningún texto legal —son la jerga con la que lo conocemos—. Los instrumentos de verdad tienen nombre y número, y conviene citarlos, porque es lo que separa un análisis de un titular.
Chat Control 1.0 es, en realidad, el Reglamento (UE) 2021/1232 —la “Regulación provisional”—, un régimen temporal y voluntario. Técnicamente es una derogación de los artículos 5.1 y 6 de la Directiva de privacidad electrónica (ePrivacy): permite —no obliga— a los proveedores de mensajería como WhatsApp o Messenger a escanear en busca de material de abuso infantil. Nació como parche temporal a la espera del marco definitivo. Caducó el 3 de abril de 2026, y esta semana —el 9 de julio— el Parlamento Europeo ha aprobado prorrogarlo hasta el 3 de abril de 2028. Y ahí está lo turbio: el Parlamento ya había rechazado la prórroga en marzo, así que se recuperó por un procedimiento de urgencia (la Regla 170), avalado por 331 votos contra 304. Ese procedimiento tiene un giro clave: el texto se adopta salvo que una mayoría absoluta —361 eurodiputados— lo frene activamente. No se llegó a esa cifra. Traducido: no es que una mayoría dijera “sí”; es que a la oposición no le dieron los números para decir “no”. Y la vía rápida se eligió, precisamente, para evitar las enmiendas que habrían limitado su alcance. La prórroga cubre el escaneo de material ya identificado —imágenes y vídeos con huella conocida— y sigue siendo voluntaria.
Chat Control 2.0 es la propuesta de Reglamento CSAR (referencia oficial COM(2022) 209, de mayo de 2022): el marco permanente que vendría a sustituir al provisional. Ese es el que de verdad da miedo, porque haría el escaneo obligatorio mediante órdenes de detección, y abre la puerta al client-side scanning que rompería el cifrado de extremo a extremo. Sigue atascado: rondas de negociación sin acuerdo, y la supuestamente definitiva, a finales de junio de 2026, descarriló otra vez por el escaneo sin sospecha. El cifrado sigue siendo la línea roja que nadie ha conseguido cruzar. Todavía.
Así que seamos justos, incluso ahora que ha salido adelante: lo aprobado NO es el escaneo obligatorio que rompe el cifrado. Es la prórroga de lo voluntario. Si alguien te dice “han aprobado que lean todos tus mensajes cifrados”, está corriendo más que los hechos: el obligatorio (2.0) sigue atascado. Pero que la versión suave se normalice, y encima por una vía que esquiva el debate, es justo lo que allana el camino a la dura.
Dicho esto, “voluntario” y “todavía” son dos palabras que no me tranquilizan nada. Y ahora te explico por qué.
“Voluntario” es un eufemismo
El escaneo voluntario suena inofensivo: si la plataforma quiere, escanea; si no, no. El problema es que revisar los mensajes de todo el mundo para encontrar a unos pocos no deja de ser vigilancia masiva por el hecho de que la haga la empresa en vez del Estado.
No lo digo yo. Lo dijo el Servicio Jurídico del propio Consejo de la UE: el escaneo generalizado, aunque sea voluntario, constituye vigilancia de las comunicaciones incompatible con la Carta de Derechos Fundamentales sin sospecha razonable y sin autorización judicial previa. Es decir, el mecanismo que se quiere normalizar ya nace señalado por los abogados de la casa.
Y lo “voluntario” tiene truco: cuando alrededor construyes obligaciones de “mitigación de riesgos”, verificación de edad y presión regulatoria, lo voluntario deja de serlo en la práctica. Nadie te apunta con una pistola; simplemente hacen que no escanear salga muy caro.
La parte que no es opinable: no hay backdoor solo para los buenos
Aquí es donde dejo la política y me pongo el sombrero de desarrollador, porque esta parte no es una cuestión de sensibilidades. Es técnica, y es tozuda.
El cifrado de extremo a extremo significa una cosa muy concreta: el mensaje viaja cifrado y solo los dos extremos —tú y con quien hablas— pueden leerlo en claro. Ni la plataforma, ni el operador, ni quien pinche el cable. Ese es todo el valor. Es lo que hace que una conversación sea privada de verdad y no privada “hasta que a alguien le interese”.
¿Cómo escaneas contenido que, por diseño, nadie por el medio puede leer? Solo hay una respuesta: mirándolo en tu dispositivo, antes de cifrarlo. Eso es el client-side scanning. Y en el momento en que pones un componente en el móvil de todo el mundo que inspecciona lo que escribes antes de cifrarlo, has vaciado el cifrado de contenido. Da igual lo bonito que quede en el papel: has puesto un ojo dentro de la habitación cerrada.
Y ese ojo es un problema por tres razones, todas de manual:
-
Un backdoor no distingue de quién es la mano que lo abre. El escáner, su base de datos de “lo que hay que detectar” y su mecanismo de actualización son, juntos, una puerta trasera. Y una puerta trasera no sabe si quien la cruza es la policía con una orden, un gobierno menos amable dentro de cinco años, o quien reviente el sistema de actualización. La capacidad, una vez existe, existe para todos.
-
Los falsos positivos no son un detalle. Detectar material ya conocido por su huella es una cosa; detectar material nuevo con clasificadores de IA es otra muy distinta, y esos modelos se equivocan. A la escala de miles de millones de mensajes, un porcentaje minúsculo de error significa inundar de gente inocente un sistema que, recordemos, decide sobre lo más sensible que existe. La foto de tus hijos en la playa, enviada a los abuelos, entra en esa lotería.
-
La infraestructura se queda. Construir el aparato de escaneo es lo caro. Una vez está montado en cada teléfono, ampliar qué se busca es trivial: hoy CSAM, mañana “contenido terrorista”, pasado “desinformación”, y al final lo que el gobierno de turno decida meter en la lista. No hace falta ser un paranoico para verlo: es la historia de cualquier capacidad de vigilancia jamás construida.
Por qué me toca a mí (y por qué te toca a ti)
Yo me autoalojo. Tengo mi correo, mis herramientas, mi analítica sin cookies, mis videollamadas en un Mac mini en mi casa. No lo hago por postureo: lo hago porque creo que el dato es mío y la conversación es privada, y que eso no debería depender de la buena voluntad de nadie.
Chat Control es exactamente la fuerza contraria. Es la idea de que la privacidad es un lujo negociable, algo que se activa y se desactiva según convenga. Y el argumento con el que se vende —“si no tienes nada que ocultar”— es el mismo de siempre, y sigue siendo igual de falso: la privacidad no va de ocultar, va de decidir tú quién ve qué.
Que quede claro, porque en este tema es fácil que te malinterpreten: proteger a los niños del abuso es un objetivo que comparto sin matices. No va de eso. Va de que el método propuesto es técnicamente inviable sin romper la seguridad de todos, es desproporcionado según los propios juristas de la UE, y abre una puerta que después no se cierra. Se puede —se debe— perseguir el delito sin convertir el móvil de cada ciudadano en un puesto de escucha.
La lección
Lo que se ha aprobado esta semana es “solo” la prórroga de lo voluntario. Es la versión suave. Pero la suave es la que normaliza el mecanismo, y la dura —el escaneo obligatorio que rompe el cifrado— lleva años esperando debajo, volviendo cada vez que se le pierde el foco. Que la suave haya pasado, y por una vía que esquivó el debate, no es el final de la historia: es el ensayo general.
Por eso conviene entenderlo bien y decirlo claro, sin exagerar y sin callarse: no se puede escanear solo a los malos. El día que pones el ojo dentro de la habitación, la habitación deja de ser privada para todos. Y esa, técnicamente, no es una opinión.