331:304 — Tus conversaciones privadas ya no son solo tuyas

331:304 — Tus conversaciones privadas ya no son solo tuyas

PrivacidadCifradoUELegislaciónCiberseguridad

Fuentes:HN + web research · HN

En la tarde del 7 de julio de 2026, en Estrasburgo, el Parlamento Europeo aprobó una moción de urgencia con 331 votos a favor, 304 en contra y 11 abstenciones. ¿El contenido de la moción, en una frase? Permitir que las empresas tecnológicas escaneen tus conversaciones privadas. WhatsApp, Signal, iMessage: si el proveedor quiere, puede revisar mensaje por mensaje lo que envías.

Tres meses antes, ese mismo Parlamento había rechazado una propuesta idéntica.

El 26 de marzo de 2026, 311 eurodiputados votaron en contra (228 a favor, 92 abstenciones). La enmienda clave —la número 34, que rechazaba la 「evaluación automatizada de fotos y textos desconocidos」— se aprobó por 307 votos contra 306, un solo voto de diferencia. La ley caducó.

¿Cómo es posible que algo que los votantes rechazaron vuelva a aparecer? Esta es la historia de hoy.

Fachada del Parlamento Europeo Imagen: El edificio del Parlamento Europeo en Estrasburgo. Aquí se han celebrado todas las votaciones sobre el Chat Control. Fuente: Shutterstock / Tero Vesalainen, vía heise online


Dos leyes, un mismo nombre

Para entender lo ocurrido hay que despejar una confusión frecuente. El «Chat Control» del que hablan los medios son en realidad dos reglamentos distintos que han avanzado en paralelo dentro de la maquinaria legislativa de la UE, enredados entre sí.

Chat Control 1.0, formalmente el Reglamento (UE) 2021/1232, se aprobó en julio de 2021. Es, en esencia, un «salvoconducto temporal»: permite —sin obligar— que las tecnológicas escaneen voluntariamente los mensajes privados, correos y chats de los usuarios con el fin de detectar material de abuso sexual infantil. Era una ley temporal que debía expirar en agosto de 2024 y se prorrogó hasta el 3 de abril de 2026. Al llegar esa fecha, el Parlamento rechazó una nueva prórroga: la ley caducó.

Chat Control 2.0, formalmente el Reglamento CSA, fue propuesto por la Comisión Europea en mayo de 2022. Si el 1.0 era un salvoconducto temporal, el 2.0 pretende convertir el «escaneo de conversaciones privadas» en una obligación legal permanente. La propuesta original era radical: escaneo obligatorio de todo el contenido, incluidas las comunicaciones cifradas de extremo a extremo, sin necesidad de sospechas razonables sobre un usuario concreto: vigilancia indiscriminada y universal. Durante cinco años, el Parlamento y el Consejo han mantenido cinco rondas de trílogos, todas fallidas. La más reciente, el 29 de junio de 2026, se rompió por el desacuerdo sobre si se puede someter a vigilancia masiva a ciudadanos no sospechosos. La negociación queda aplazada hasta después de la presidencia irlandesa del Consejo.

Dos vías legislativas que avanzan en paralelo. Y en los últimos meses, el foco ha estado en la primera.


Cómo se «resucita» una ley caducada: un truco de procedimiento

Si pensabas que lo que el Parlamento rechaza no debería volver a aparecer, la jugada que viene a continuación puede hacerte replantear esa idea.

Según el registro de fightchatcontrol.eu, el proceso se desarrolló en siete pasos:

  1. 26 de junio: los embajadores de los Estados miembros acuerdan impulsar un proyecto de reglamento «formalmente nuevo pero materialmente idéntico». La clave está en que, como la ley original ya ha caducado, técnicamente no se puede «prorrogar»; hay que volver a empaquetarlo bajo un nuevo nombre.
  2. 2 de julio: el Consejo de la UE, por procedimiento escrito, adopta formalmente su posición sobre esta «nueva» ley.
  3. 7 de julio: la presidenta del Parlamento, Roberta Metsola, introduce la moción de urgencia en el orden del día. Quedan menos de 48 horas para las vacaciones de verano del Parlamento.

Aquí opera un mecanismo de procedimiento decisivo: al estar el texto en «segunda lectura», modificarlo o rechazarlo exige mayoría absoluta —al menos 361 de los 720 eurodiputados—, pero aprobarlo solo requiere mayoría simple de los diputados presentes ese día. Y ese jueves era el último día hábil antes de las vacaciones: muchos diputados ya se habían ido.

Traducción: para frenarlo necesitabas 361 votos en contra (los ausentes cuentan como ausencias). Para aprobarlo bastaba con que los síes presentes superaran a los noes.

Esquema del proceso legislativo del Chat Control Imagen: El recorrido del Chat Control por las instituciones europeas. Fuente: closednetwork.io

Un usuario de HN citó la famosa confesión del expresidente de la Comisión Europea, Jean-Claude Juncker: «Tomamos una decisión, la dejamos ahí y vemos qué pasa. Si nadie protesta —porque la mayoría ni siquiera entiende qué hemos decidido— seguimos avanzando, paso a paso, hasta que no haya vuelta atrás.» Otro usuario escribió: «La democracia consiste en empujar leyes impopulares una y otra vez hasta que se aprueban. Cuantas más veces lo intentas, más democrático es.»

Esta vez, la fuerza motriz de la resurrección fue el Partido Popular Europeo (PPE), de centro-derecha. El punto de inflexión fue la defección del grupo socialdemócrata (S&D), que cambió su posición antes de la votación y anunció su apoyo al procedimiento de urgencia, aportando los votos necesarios para que la moción saliera adelante. La ponente del Chat Control en el Parlamento, Birgit Sippel (S&D), lo calificó de «jugada sucia de los Estados miembros» pero se negó a respaldar a los suyos: su grupo no le hizo caso.


¿De verdad se puede «escanear» un chat cifrado?

Llegados a este punto surge una pregunta técnica inevitable: si mis mensajes están cifrados y ni siquiera WhatsApp puede leerlos, ¿cómo los escanean?

Esta pregunta da justo en el centro de toda la polémica.

Empecemos con una analogía. El cifrado de extremo a extremo (E2EE) funciona así: imagina que tú y un amigo acordáis un sistema de correspondencia especial. Metes tu carta en una caja fuerte cuya llave solo tenéis vosotros dos. Ni Correos, ni la empresa de mensajería, ni la fábrica que hizo la caja tienen copia. Matemáticamente significa que, aparte de las dos partes que se comunican, ningún tercero puede leer el contenido.

En la práctica, cuando envías un mensaje con Signal o WhatsApp, se cifra en tu móvil y solo el móvil del destinatario puede descifrarlo. Todos los servidores intermedios solo ven basura binaria.

Entonces, ¿cómo se «escanea»? Hay dos vías técnicas sobre la mesa:

La primera se llama «escaneo del lado del cliente» (Client-Side Scanning). Antes de que el mensaje salga de tu teléfono, una IA local lo revisa. Si la IA considera que «esta imagen parece sospechosa», la marca, la cifra y la notifica a la plataforma. Desde el punto de vista de la comunicación, el mensaje sí viaja cifrado… pero tu propio teléfono ya ha «registrado el cajón» antes de cerrar la caja fuerte. Siguiendo la analogía: alguien ha metido un escáner dentro de la caja antes de cerrarla. Elude el cifrado actuando directamente en el origen: tu dispositivo.

La segunda se llama «puerta trasera» (backdoor). Consiste en obligar legalmente a los proveedores de mensajería a insertar una entrada secreta en el sistema de cifrado, accesible solo para las fuerzas de seguridad bajo ciertas condiciones. Esta es la opción que más teme la comunidad técnica, porque implica debilitar deliberadamente los fundamentos matemáticos del cifrado. En la analogía: el Gobierno exige al fabricante de cerraduras que todas las cajas incluyan una «llave maestra».

El texto actual del Chat Control 1.0 afirma que «no interfiere con las comunicaciones cifradas», pero en la práctica permite a los proveedores desplegar el escaneo del lado del cliente. El Chat Control 2.0 —el verdadero campo de batalla— exige desde el principio incluir las comunicaciones con cifrado de extremo a extremo. Las cinco rondas de trílogos han encallado exactamente en este punto.

Un miembro de la junta de la Sociedad Alemana de Informática (Gesellschaft für Informatik) ha presentado un recurso de urgencia ante el Tribunal Constitucional Federal alemán. Su argumento central: la tasa de falsos positivos de los sistemas actuales de reconocimiento de imágenes mediante IA es «inaceptablemente alta». Sobre un volumen de miles de millones de mensajes diarios, incluso una tasa del 0,01% supone millones de conversaciones normales marcadas como sospechosas y derivadas a revisión humana.


Partidarios y detractores: nadie miente del todo

Llegados a este punto, hay que ser justos: quienes impulsan el Chat Control no hablan solo de boquilla.

Antes de la votación, cuatro comisarios europeos enviaron una carta conjunta al Parlamento con un tono acuciante: «Sin un mecanismo de escaneo, los agresores quedan impunes y prácticamente ningún material de abuso sexual infantil podrá ser detectado.» Los detractores señalan que Meta y Google han seguido presentando informes incluso después de que la ley caducara, pero la presión del bando favorable se resume en una idea: en los dos meses de «vacío legal» del verano, cada caso que no se detecte es un niño que sigue sufriendo.

La lógica del PPE en el debate de la votación fue: no podemos esperar dos meses de verano. Restauremos el marco «temporal» y ya negociaremos el 2.0 después del verano.

Los argumentos de la oposición también pesan. La eurodiputada pirata Markéta Gregorová acusó al PPE de «montar un numerito». La diputada de AfD Marie Hahn declaró: «Nadie quiere debilitar la protección de la infancia, pero eso no puede servir de pretexto para someter a todos los ciudadanos a una sospecha generalizada y abrir la puerta a la vigilancia masiva.»

Entre ambos polos, el comentario del usuario de HN mikaeluman ofrece una perspectiva más matizada: «La inmensa mayoría de la gente quiere más medidas contra el abuso sexual infantil. Pero esta ley sigue la lógica de ‘dadme poderes dictatoriales para que pueda hacer el bien’. Podría haberse redactado como una norma de alcance muy limitado, orientada a sospechosos concretos, y en cambio se ha convertido en una herramienta que afecta las comunicaciones de cualquier ciudadano de a pie.»

En el plano técnico hay un riesgo que se repite una y otra vez: cuando las grandes plataformas incrusten funciones de escaneo en los dispositivos, habrán creado al mismo tiempo un nuevo vector de ataque. Creadores de malware, hackers patrocinados por Estados e incluso empleados internos de las propias plataformas podrían aprovecharlo. En palabras del usuario de HN summerlight: «Construyes una llave maestra y le dices al mundo entero que solo la usarán los buenos.»

Además, el propio servicio jurídico del Consejo emitió un dictamen el 10 de junio señalando que incluso un esquema de escaneo «voluntario» constituiría en la práctica una «vigilancia generalizada» de las comunicaciones —sin sospechas razonables ni autorización judicial previa—, lo cual vulnera el artículo 7 de la Carta de los Derechos Fundamentales de la UE. Dicho de otro modo: hasta los abogados del Consejo creen que la propuesta tiene problemas.


¿Esto qué tiene que ver contigo?

Si no vives en Europa, puede parecerte un problema lejano. Pero hay dos hechos que conviene tener presentes:

Primero: los servicios de internet no entienden de fronteras. WhatsApp y Signal no van a mantener una versión «escaneable» para los usuarios europeos y otra versión con «cifrado de extremo a extremo real» para el resto del mundo. Si para cumplir con la ley el escaneo del lado del cliente se integra en la app, lo más probable es que se despliegue como funcionalidad global para todos los usuarios. El coste lo pagamos entre todos.

Segundo: el efecto contagio. Tal como señaló el usuario de HN harrisoned: «Hay países a los que les encanta copiar este tipo de regulaciones. En cuanto los proveedores empiecen a cumplir con la UE, otros gobiernos llamarán a la puerta: ‘Si puedes hacerlo para la UE, también puedes hacerlo para nosotros, ¿verdad? Técnicamente no es imposible.’»

Progreso legislativo del Chat Control en la UE Imagen: Hitos legislativos clave del Chat Control entre 2024 y 2026. Fuente: byteiota.com

Hay además un punto que suele pasarse por alto: la resurrección del Chat Control 1.0 puede, paradójicamente, retrasar la negociación del 2.0, que en teoría sería una ley más afinada. Las organizaciones de defensa de la privacidad temen que, una vez restablecido el marco temporal, los gobiernos de la UE pierdan el sentido de urgencia para impulsar una norma verdaderamente «quirúrgica» —total, el apaño provisional ya funciona. El resultado podría ser que una ley temporal que debería haber sido sustituida en 2024 se convierta en semipermanente.


9 de julio: la última línea de defensa

Este jueves 9 de julio, el Parlamento votará el contenido sustantivo del Chat Control 1.0.

Para frenarlo hacen falta 361 votos —la mayoría absoluta del hemiciclo. Con tantos diputados ya fuera por las vacaciones de verano, el umbral es muy difícil de alcanzar. Pero si no se reúnen 361 votos en contra, la ley que este mismo Parlamento tumbó hace tres meses quedará automáticamente aprobada.

Es un combate asimétrico, escrito en las mismas reglas de procedimiento. Y sus consecuencias se dejarán sentir durante años en cada una de las aplicaciones de mensajería que uses.

Enlaces de referencia: