El pasado 26 de noviembre de 2025, el Consejo de la Unión Europea desbloqueó un expediente que llevaba años encallado en las arenas movedizas de Bruselas: el reglamento para combatir el abuso sexual infantil en línea, conocido como CSAR o «Chat Control».
La presidencia danesa logró el consenso bajo una premisa que los titulares han replicado con rapidez: Europa renuncia al control «obligatorio» de los mensajes privados. Sin embargo, un análisis técnico y jurídico detallado del texto revela que no estamos ante una renuncia, sino ante una sofisticada reingeniería legal.
El resultado operativo amenaza con ser idéntico al que la comunidad científica lleva años rechazando.
La novedad del acuerdo reside en el cambio de mecanismo. Se abandona la orden directa de escanear indiscriminadamente para abrazar el concepto de «moderación de subida» (upload moderation). Bajo este eufemismo técnico se camufla una realidad inquietante: el desplazamiento de la vigilancia desde el servidor (la nube) hacia el dispositivo del usuario (el client-side scanning).
La propuesta plantea una dicotomía perversa bajo la apariencia de libertad de elección. Las plataformas de mensajería cifrada —como WhatsApp o Signal— deberán solicitar al usuario su «consentimiento» para escanear sus imágenes y vídeos mediante Inteligencia Artificial antes de ser enviados.
Si el usuario se niega, la plataforma está obligada a degradar el servicio, impidiendo el envío de archivos multimedia y limitando la comunicación a texto plano. En derecho y en lógica de mercado, una elección donde la alternativa es la inutilización funcional del servicio difícilmente puede considerarse «libre».
Estamos ante un consentimiento coercitivo.
Desde una perspectiva de ciberseguridad, esta solución es alarmante porque intenta cuadrar un círculo imposible: mantener el cifrado de extremo a extremo (E2EE) mientras se fiscaliza el contenido.
El cifrado E2EE garantiza matemáticamente que solo emisor y receptor pueden leer el mensaje. Al introducir un escáner en el propio teléfono que revisa el contenido antes de cifrarlo, se rompe la cadena de confianza. Técnicamente, el mensaje viaja cifrado, sí, pero el secreto de las comunicaciones ha sido vulnerado en origen. Es equivalente a afirmar que una carta es privada porque va en un sobre lacrado, aunque hayamos obligado al remitente a dejar que un agente la lea y la fotocopie antes de cerrarla.
«Desde una perspectiva de ciberseguridad, esta solución es alarmante porque intenta cuadrar un círculo imposible: mantener el cifrado de extremo a extremo (E2EE) mientras se fiscaliza el contenido».
La postura de los Estados miembros en esta negociación dibuja un mapa geopolítico revelador. Resulta significativo el liderazgo del eje franco-español en la promoción de estas medidas de intervención.
España, en particular, ha mantenido una posición de «mano dura» digital, priorizando la eficacia policial sobre la arquitectura de seguridad de la red.
Por otro lado, el cambio de postura de Alemania —cuyo gobierno de coalición se fracturó entre la defensa de la privacidad del Ministerio de Justicia y el pragmatismo de Interior— ha sido el catalizador que ha permitido este acuerdo, dejando la resistencia en manos de un bloque minoritario liderado ahora por Polonia y los Países Bajos.
El peligro de este reglamento no es solo la vigilancia inmediata, sino la infraestructura que legitima. Al normalizar la instalación de «puertas traseras» o escáneres locales en nuestros dispositivos, Europa estaría creando una vulnerabilidad sistémica.
Más de 500 criptógrafos han advertido que no existe una «puerta trasera» segura: si se crea un acceso para detectar contenido ilegal, se crea un punto de fallo que puede ser explotado por cibercriminales, espionaje industrial o potencias extranjeras hostiles.
Además, se sienta un precedente global peligrosísimo; regímenes autoritarios podrán exigir a las mismas tecnológicas que apliquen esta «moderación de subida» no para buscar delitos sexuales, sino para filtrar disidencia política.
La protección de la infancia es una prioridad absoluta que requiere recursos, infiltración policial y cooperación internacional, pero no puede basarse en soluciones tecnológicas mágicas que comprometan los pilares de la sociedad digital.
Ahora, la pelota está en el tejado del Parlamento Europeo y los trílogos previstos para 2026. Los legisladores tienen la responsabilidad de corregir un texto que, en su afán por ofrecer seguridad, corre el riesgo de desmantelar la privacidad digital tal y como la conocemos.
La «moderación de subida» no es un compromiso intermedio; es la vigilancia masiva privatizada y reempaquetada para eludir la jurisprudencia europea. Y eso, en una democracia, debería ser innegociable.
