Europa: candado roto

A las 7.06 horas golpean la puerta. Tres patrullas, chalecos, una vecina mirando por la mirilla y susurros en la escalera: “pederastia”. Dentro, el café aún caliente, una mochila escolar abierta y un niño tembloroso preguntando qué pasa. El registro dura casi dos horas entre la casa y la oficina. El origen de todo: un “aviso automático” por una foto enviada al pediatra para consultar una erupción. Al final, nada. Falso positivo. Pero el rumor ya ha corrido por el portal, el trabajo... Y Google ha cerrado la cuenta del correo electrónico, documentos, fotos... “Por seguridad”.

A 3.000 kilómetros, en una capital europea prorrusa, un activista europeísta siente que le espían: en una reunión citan una frase que solo había escrito en una conversación privada y cifrada. Llegan inspecciones laborales, luego una denuncia anónima. Él sospecha que se está usando la infraestructura de escaneo “legal” de comunicaciones creada en la UE. La autocensura hace el resto.

No son guiones de thrillers. El uso de sistemas de interceptación de comunicaciones y la automatización en el rastreo de mensajes ya ha creado situaciones similares.

En 2022, en EEUU, unas fotos médicas del hijo enviadas al pediatra por una erupción fueron marcadas por error como abuso infantil: la policía terminó archivando el caso, pero el afectado no lo olvidó tan fácilmente. En Europa, el Parlamento ya ha documentado abusos de spyware como Pegasus y Predator: la comisión PEGA denunció en su informe final de mayo de 2023, casos en España, Hungría, Polonia y Grecia, además de señalar a Chipre como país desde el que se comercializaron y exportaron estas herramientas.

¿A qué viene todo esto? Chat Control 2.0 es el nombre coloquial del reglamento europeo contra el abuso sexual infantil en línea. Busca que proveedores de mensajería, correo y redes sociales puedan recibir órdenes de detección dirigidas a servicios con “riesgo significativo”, emitidas por autoridad judicial o, incluso, una autoridad administrativa, y que apliquen tecnologías que podrían incluir escaneo en el dispositivo antes del cifrado (client-side scanning). La Presidencia del Consejo baraja someter un texto a votación en octubre de 2025.

“Más avisos” no significa “más rescates”

En Europa, las líneas de denuncia de la red INHOPE tramitaron más de 750.000 de reportes en 2023 y superaron 2,5 millones de elementos sospechosos en 2024, con incrementos sostenidos y problemas de volumen y calidad de la información.

Es verdad que el propio Europol (IOCTA 2023) advierte que la explotación sexual infantil en línea crece en cantidad y gravedad. Pero añadir un nuevo sistema que reporte imágenes y/o mensajes de forma automática tras un rastreo masivo de las comunicaciones a nivel europeo terminará saturando y desbordando las líneas de denuncia, a las fiscalías y a las unidades policiales especializadas.

A escala de miles de millones de mensajes al día, la aritmética es implacable. En marzo de 2023, Meta hizo público que cada día se envían más de 140.000 millones de mensajes a través de Facebook, Instagram y WhatsApp. Son datos a nivel mundial, pero si eliminamos de la ecuación a China, que tiene bloqueado los servicios de Meta, podemos hacernos una idea del volumen de mensajes que se crean en la UE.

Da igual lo optimistas que seamos en relación con la tasa de error de los sistemas de detección automática. Cada alerta exige revisión humana.

En los Países Bajos, la organización Bits of Freedom advirtió en octubre de 2022 que las unidades de delitos sexuales ya estaban desbordadas, y que una catarata adicional de avisos automáticos empeoraría la eficacia. Incluso el propio gobierno neerlandés ha admitido que las tecnologías actuales provocan muchos falsos positivos. Más ruido, ensordece. Pero, ¿es el único problema que generará?

El candado roto y el control masivo

Romper, aunque sea “un poquito”, el cifrado de extremo a extremo abre una puerta para todos. Apple ensayó una tecnología de escaneo en el dispositivo y la canceló en 2022 tras las críticas de expertos y colectivos: no había forma de desplegarla sin crear nuevos riesgos y sin posibilidad real de limitar su uso a “solo lo bueno”. Si una puerta existe, alguien más acabará utilizándola.

El Tribunal Europeo de Derechos Humanos fue claro en 2024, en el asunto Podchasov contra Rusia: debilitar el cifrado conduce a vigilancia general e indiscriminada y viola el derecho a la vida privada (art. 8). Y el Tribunal de Justicia de la UE lleva años recordando que no se pueden imponer obligaciones de monitorización general a los proveedores. Convertir cada móvil en un puesto de control previo chocaría con esas líneas rojas.

Desde la perspectiva técnica, introducir un escáner obligatorio en todos los teléfonos crea un objetivo de altísimo valor para delincuentes y potencias rivales: si logran acceder a ese módulo, podrán leer los mensajes antes de cifrarse o incluso manipularlos. La comunidad de Internet (IAB/Internet Society) y numerosas voces de ciberseguridad llevan años avisando: las puertas traseras debilitan el ecosistema entero y ponen en riesgo especialmente a periodistas, activistas y colectivos vulnerables.

Y el futuro no es menos preocupante. Mañana habrá IAs más potentes capaces de hacer minería masiva sobre cualquier repositorio y de encontrar brechas de seguridad de forma autónoma.

La pendiente resbaladiza

La historia del poder es la historia de la ‘deriva de finalidad’: lo que se crea para un fin legítimo se amplía a otros no tanto.

En la Unión ya hemos visto cómo se abusó de spyware contra opositores y periodistas (comisión PEGA). Si se legitima la inspección previa de todas las comunicaciones “por si acaso”, mañana alguien la usará también para terrorismo. Y después para la protección de propiedad intelectual, “fake news”... La tentación existe cuando los medios existen. ¿Dónde ponemos el límite de la “gravedad” del delito para activar la vigilancia estatal? ¿Quién y cómo se decide? ¿Podría el gobierno de turno considerar “suficientemente grave” la activación de la sociedad en la reclamación activa de la independencia? ¿Y el acoso por casos de corrupción a un gobierno?

Además, hay un efecto faro. Cuando Europa, referente global en derechos, normaliza una práctica, otros quedan retratados. Extraña deriva la de esta UE: empezamos a implantar, casi en silencio, lo que durante años hemos denunciado como una aberración democrática en países autoritarios y represivos. Si la UE valida que la seguridad exige escanear conversaciones privadas, esos regímenes no tardarán en enarbolar el “si Europa lo hace…”. El resultado neto será menos libertad en el mundo y menos autoridad ética para defenderla.

“Si no haces nada malo, nada que temer”. “Sin esto no protegemos a los niños”

Dos frases que suenan razonables pero que no lo son: una Europa que hipervigila a toda la ciudadanía no será más segura para niños y niñas.

Los delincuentes dedicados a difundir material de abuso infantil ya emplean canales clandestinos y cifrado fuerte fuera del alcance de estas plataformas convencionales. La propia Europol ha señalado que se usan plataformas secretas o redes oscuras, haciendo la vigilancia masiva ineficaz contra sus actividades. En consecuencia, el escaneo generalizado dará sensación de falsa seguridad pero difícilmente atraparía a los verdaderos depredadores.

Proteger de verdad exige otro tipo de medidas que no deterioren la democracia: más recursos para unidades especializadas, cooperación internacional y retirada ágil de contenidos con control judicial.

La Europa a la que aspiramos

Conviene no normalizar que terceros lean comunicaciones privadas por defecto. Defender el cifrado protege a periodistas, activistas y a toda la ciudadanía en general. En un Estado de derecho, la investigación debería ser dirigida y con orden judicial cuando existan indicios concretos de delito, con criterios de necesidad y proporcionalidad, por tiempo limitado y con auditoría independiente; la vigilancia masiva es incompatible con ese marco. En ese contexto, la ciudadanía tiene motivos para mantenerse atenta y vigilante.

Cualquier proyecto político democrático, y especialmente los proyectos abertzales, debería desconfiar radicalmente de infraestructuras de control de las comunicaciones que pueden volverse contra la disidencia política. Necesitamos un compromiso claro: no implantar escaneo indiscriminado de comunicaciones privadas en Europa.

En la votación del Consejo de la UE prevista para octubre de 2025, la coherencia con estos principios democráticos pasa por votar en contra de cualquier texto que habilite el escaneo indiscriminado y trabajar para que, en Europa, el resto de las fuerzas políticas adopten la misma posición. Dos escenas perfectas para un thriller no deberían convertirse en política pública. Una sociedad que renuncia al secreto de sus conversaciones renuncia a una pieza de su democracia. Seguridad sin libertad no es seguridad.

Coordinador sistemas web empresariales de LKS Next