Primero las fotos, luego tus pensamientos: la «censura sigilosa» para los ciudadanos comenzará con una sola ley

En una carta abierta conjunta publicada, un grupo internacional de científicos e investigadores criticó la nueva versión de la iniciativa de la UE para combatir los materiales CSAM en internet. El documento fue publicado como respuesta al texto de compromiso de la Presidencia del Consejo de la UE del 24 de julio de 2025. Al momento de su publicación, la carta contaba con 587 firmas de 34 países.

Los autores señalan mejoras reales: la simplificación de los informes voluntarios sobre la detección de contenido ilegal y la exigencia de un procesamiento acelerado de esas notificaciones, lo cual es importante para brindar ayuda operativa a las víctimas. Pero las objeciones principales siguen vigentes: la detección masiva, tanto de imágenes CSAM conocidas como nuevas, para cientos de millones de usuarios con una precisión aceptable es en la práctica inalcanzable, y la verificación «en el dispositivo» socava las garantías básicas del cifrado de extremo a extremo y amplía la superficie de ataque.

Los científicos advierten que el proyecto crea capacidades técnicas sin precedentes para la vigilancia, el control y la censura, y conlleva el riesgo de una «expansión gradual» de sus objetivos, incluidos los abusos por parte de regímenes menos democráticos. También señalan la ausencia, en los últimos dos años, de un debate público y abierto sobre la eficacia de las tecnologías propuestas y su evaluación, lo que dificulta una política ponderada y pone en riesgo la seguridad digital en Europa y más allá.

Limitar la verificación a imágenes y URL, pensado para aumentar la proporcionalidad de las medidas, según los autores no corrige los problemas fundamentales. Los métodos actuales se burlan con facilidad: para los hashes de imágenes conocidas basta con cambiar unos pocos bits, y la detección de contenido «desconocido» mediante IA es intrínsecamente vulnerable y produce un número inaceptablemente alto de errores. Se subraya además la futilidad de filtrar enlaces: los redireccionamientos se hacen en segundos, y las propias URL se modifican con demasiada facilidad, por lo que incluso en áreas relacionadas con la seguridad suelen evitarse como indicador fiable.

Los autores contrastan la «exploración en el dispositivo» con las comprobaciones habituales de los antivirus: en los antivirus la amenaza completa puede formalizarse, la decisión corresponde al usuario, el proceso es transparente y no está vinculado a atajos para las fuerzas del orden. En el caso del CSAM todo es al revés: los límites de la categoría son difusos y la obligación de transmitir coincidencias a organismos estatales es incompatible con tales principios de protección.

Un apartado separado se dedica a la criptografía. Los autores recuerdan: el cifrado de extremo a extremo protege no solo a los ciudadanos, sino también a políticos, servicios diplomáticos y fuerzas de seguridad. Cualquier comprobación forzada del contenido antes del cifrado vulnera por definición los dos pilares del cifrado de extremo a extremo —el acceso a los datos únicamente por parte de los destinatarios y la ausencia de un punto único de compromiso— y convierte al detector en un «cebo» para los atacantes. Además, la limitación a «solo imágenes y URL» se puede reconfigurar fácilmente para cualquier otro fin, y la lógica de «alto riesgo» acaba cubriendo por completo a mensajeros del nivel de Signal y WhatsApp; los firmantes de la carta recuerdan también la amenaza de que dichos servicios abandonen la UE si se les obliga a realizar comprobaciones en el dispositivo.

Un riesgo adicional está asociado con la extracción de contenido sospechoso fuera del canal protegido: incluso el mero almacenamiento de esos datos por parte de las autoridades ya se considera una intromisión en la vida privada, a tenor del artículo 8 del Convenio Europeo de Derechos Humanos, como lo confirma la jurisprudencia del TEDH en el caso Podchasov contra Rusia. En conjunto, enfatizan los autores, el proyecto debilita inevitablemente la protección criptográfica y crea amenazas para el derecho al secreto de las comunicaciones, el funcionamiento de las instituciones democráticas y la seguridad nacional.

También se criticó la obligación de aplicar «todas las medidas razonables», incluida la verificación de edad. Según los autores, tales barreras se eluden con facilidad, como ya muestra el ejemplo del Reino Unido, y los intentos de universalizarlas crean incentivos para prohibir tecnologías de privacidad, socavando la libertad de expresión y la seguridad instrumental de las empresas. Incluso usando atributos certificados, esto diluye el anonimato y el acceso abierto a la información; la implementación apresurada de soluciones «inmaduras» de las grandes tecnológicas solo intensificará la dependencia tecnológica de Europa.

Como alternativas operativas, los científicos proponen invertir en enfoques contrastados: educación sobre el consentimiento y la higiene digital, líneas de ayuda orientadas al trauma y intervenciones puntuales basadas en consultas de búsqueda, así como —tal como ya incluye la nueva versión— la aceleración del tratamiento de las notificaciones voluntarias y la eliminación rápida del contenido. Todo ello ataca la causa del fenómeno y no requiere romper los fundamentos criptográficos de las comunicaciones.