Está previsto que expertos encargados de hacer cumplir la ley y formuladores de políticas se reúnan el 12 de septiembre para deliberar sobre propuestas que obligarían a las empresas de tecnología, incluidas plataformas como Signal y WhatsApp, a escanear mensajes cifrados antes de transmitirlos. Esta reunión precede a una votación prevista sobre las propuestas, conocida como “Control de Chat”, prevista para el 14 de octubre, una iniciativa encabezada por la presidencia danesa del Consejo de la UE.
Las propuestas de “Control de chat” abogan por el escaneo masivo de teléfonos móviles y computadoras para identificar material potencial de abuso infantil dentro de los servicios de comunicaciones cifradas. Sin embargo, esta iniciativa ha provocado una importante oposición por parte de expertos en seguridad y defensores de la privacidad.
El 9 de septiembre, más de 500 criptógrafos e investigadores de seguridad emitieron una carta abierta advirtiendo que las propuestas son técnicamente inviables y “socavarían completamente” la seguridad y privacidad de los ciudadanos europeos. Argumentan que tales medidas crearían vulnerabilidades que podrían ser explotadas por piratas informáticos y Estados-nación hostiles.
WhatsApp, un servicio de mensajería cifrada ampliamente utilizado, también ha expresado su preocupación por el borrador de propuestas de la UE. Un portavoz de WhatsApp afirmó que las propuestas comprometerían el cifrado de extremo a extremo, poniendo así en peligro la privacidad, la libertad y la seguridad digital de los usuarios.
La Comisión Europea inicialmente propuso obligar a las empresas de tecnología a escanear correos electrónicos y mensajes en busca de contenido potencial de abuso infantil en 2022. Sin embargo, estos planes se estancaron debido a la oposición de una minoría de estados miembros que temían que las propuestas comprometieran la seguridad y la privacidad de los ciudadanos de la UE.
En julio de 2025, la presidencia danesa introdujo un compromiso destinado a equilibrar la seguridad de las comunicaciones cifradas con la necesidad de identificar contenidos potencialmente ilegales. Este compromiso afirma que la regulación propuesta no debe interpretarse como una prohibición, debilitamiento o elusión del cifrado, y permite a las empresas de tecnología seguir ofreciendo servicios cifrados de extremo a extremo.
Sin embargo, el compromiso también requiere que las empresas de tecnología implementen “tecnologías examinadas” en los dispositivos para escanear mensajes en busca de imágenes, videos o URL potencialmente asociados con contenido conocido de abuso infantil antes del cifrado y la transmisión. Estas empresas también tendrían que implementar inteligencia artificial (IA) y algoritmos de aprendizaje automático para detectar imágenes de abuso previamente desconocidas.
Al 10 de septiembre, 15 estados miembros apoyaron las propuestas danesas, mientras que seis permanecían indecisos y seis se oponían a ellas. Los estados opositores, incluidos Bélgica, Polonia, Finlandia y la República Checa, han expresado su preocupación por la vigilancia masiva de las comunicaciones de los ciudadanos. Entre los partidarios se encuentran Francia, Italia, España y Suecia, mientras que Alemania sigue indecisa. El poder de voto de cada estado miembro es proporcional a su número de representantes.
El acuerdo de compromiso danés describe requisitos específicos con respecto al cifrado:
- Se requerirían servicios de mensajería disponibles públicamente que utilicen cifrado de extremo a extremo para detectar material inadecuado antes de su transmisión.
- Los proveedores deben seguir siendo libres de ofrecer servicios utilizando cifrado de extremo a extremo y no deben estar obligados a descifrar datos ni a crear acceso a datos cifrados de extremo a extremo.
- A los usuarios de servicios cifrados se les pedirá que den su consentimiento para que se supervisen las imágenes, los vídeos y las URL que envían.
- Los usuarios que no den su consentimiento podrán enviar mensajes sin imágenes, vídeos ni URL.
- Las tecnologías de detección de servicios cifrados de extremo a extremo serían certificadas y probadas por un centro de la UE para verificar que su uso no debilite el cifrado.
- La Comisión de la UE tendría el poder de aprobar tecnologías de detección.
- Los proveedores de servicios de detección deben contar con supervisión humana para reducir los falsos positivos y los falsos negativos.
- Las tecnologías de detección no deben “introducir riesgos de ciberseguridad para los cuales no sea posible tomar medidas efectivas para mitigar dichos riesgos”.
Quienes se oponen a las propuestas argumentan que el “Chat Control” introduce efectivamente una vigilancia masiva “sin sospechas” para cientos de millones de europeos. La carta abierta de criptógrafos e investigadores de seguridad advierte que la detección en el dispositivo, también conocida como escaneo del lado del cliente, socava inherentemente las protecciones del cifrado de extremo a extremo sin garantizar una mejor protección para los niños.
Argumentan que el mecanismo de detección se convertiría en un objetivo principal para los piratas informáticos y los Estados-nación hostiles, quienes podrían reconfigurarlo para apuntar a otros tipos de datos, como intereses financieros o políticos. Esto socavaría la seguridad de las aplicaciones de mensajería cifradas utilizadas por políticos, periodistas, trabajadores de derechos humanos, funcionarios de la UE, agentes del orden y ciudadanos comunes y corrientes.
Las propuestas “violan inequívocamente” los principios del cifrado de extremo a extremo y debilitan su protección, amenazando el derecho del público a la privacidad. Los científicos advierten sobre consecuencias potencialmente graves para la democracia y la seguridad nacional. También afirman que la tecnología de escaneo podría ser reutilizada por regímenes menos democráticos para monitorear a disidentes y opositores o para censurar las comunicaciones, creando capacidades sin precedentes de vigilancia, control y censura.
Las propuestas danesas podrían llevar a que un gran número de personas inocentes sean investigadas erróneamente por enviar imágenes erróneamente identificadas como sospechosas. Los investigadores advierten que los detectores existentes producirían tasas inaceptablemente altas de falsos positivos y falsos negativos, lo que los haría inadecuados para campañas de detección a gran escala. También argumentan que no se conoce ningún algoritmo de aprendizaje automático que pueda identificar de forma fiable imágenes ilegales sin cometer un gran número de errores.
El proveedor alemán de correo electrónico cifrado Tuta Mail ha declarado que emprendería acciones legales contra la UE en lugar de comprometer la privacidad de sus usuarios introduciendo puertas traseras en su servicio de mensajería cifrada. El director general Matthias Pfau cree que las propuestas socavarían la confianza en la tecnología europea y llevarían a los usuarios a gigantes tecnológicos extranjeros.
Alexander Linton, presidente de Session Technology Foundation, sostiene que es imposible introducir el escaneo sin crear nuevos riesgos de seguridad. Afirma que ninguna de las tecnologías disponibles cumple con el estándar de no introducir riesgos inmitigables.
Matthew Hodgson, director ejecutivo de Element, una plataforma de comunicaciones segura utilizada por los gobiernos europeos, cree que la regulación propuesta de “Control de Chat” es fundamentalmente errónea y pondría en riesgo la privacidad y los datos de 450 millones de ciudadanos. Sostiene que socavar el cifrado mediante la introducción de una puerta trasera para la interceptación legal es introducir deliberadamente una vulnerabilidad que será explotada.
Hodgson hizo referencia a una operación de piratería informática china que duró años, denominada Salt Typhoon, que utilizó puertas traseras policiales en la red telefónica pública de EE. UU. para acceder a registros de llamadas y comunicaciones no cifradas de ciudadanos estadounidenses. Señaló que, como resultado, Estados Unidos todavía está instando a sus ciudadanos a utilizar sistemas cifrados de extremo a extremo.
Signal advirtió el año pasado que retiraría su servicio de mensajería de la Unión Europea en lugar de socavar sus garantías de privacidad. Callum Voge, director de asuntos gubernamentales y promoción de Internet Society, dijo que el escaneo del lado del cliente crea oportunidades para que los malos actores realicen ingeniería inversa y corrompan las bases de datos de escaneo en los dispositivos. Comparó el escaneo del lado del cliente con alguien que lee por encima del hombro mientras escribe una carta, en lugar de romper el cifrado, que es como abrir el sobre.
Voge afirmó que incluso si el escaneo de IA fuera 99,5% efectivo para identificar abusos, daría lugar a miles de millones de identificaciones erróneas todos los días, lo que podría abrumar el sistema y provocar que personas inocentes fueran etiquetadas incorrectamente como si compartieran material ilegal de abuso infantil.
Los científicos sostienen que, en lugar de depender de una “solución técnica”, los gobiernos deberían invertir en educación, líneas directas de denuncia y otras técnicas comprobadas para abordar el abuso. Voge sugiere que los formuladores de políticas deberían priorizar enfoques que protejan a los niños y al mismo tiempo fomenten una Internet abierta y confiable. Esto incluye mayores recursos para enfoques específicos, como investigaciones autorizadas por los tribunales, análisis de metadatos, cooperación transfronteriza, apoyo a las víctimas, prevención y capacitación en alfabetización mediática.
Apple abandonó anteriormente sus planes de introducir el escaneo del lado del cliente para detectar abuso infantil en el iPhone después de que destacados científicos publicaran un artículo que encontró que los intentos del proveedor no serían efectivos contra el crimen ni protegerían contra la vigilancia.
