Por: Ángel Sanz Montes. Fuente: Agencvia Pressenza

Los anillos del control en la UE: la “Client-Side Scanning” (CSS); la "EUDI Wallet" y el Euro Digital (CBDC) (Imagen de AI GROK Image)

Su(s) dispositivo(s) ya no son solo suyos. Sin que usted lo pidiese, una tecnología silenciosa y polémica podría estar instalándose en su teléfono, tablet u ordenador a través de simples actualizaciones. Se llama Client-Side Scanning (CSS) o escaneo del lado del cliente, y representa un cambio radical en la frontera entre la seguridad y la privacidad.

Esta herramienta, impulsada por inteligencia artificial, escruta directamente en su dispositivo —antes de enviar nada— cada imagen, mensaje o video, comparándolo con bases de datos de contenido ilícito. Aunque su objetivo declarado es loable, su implementación obligatoria en sistemas como iOS y Android abre un profundo debate: ¿Estamos sacrificando la esencia de la encriptación y la intimidad digital por una mayor seguridad? Lo que sigue es un análisis de una tecnología que, quiera o no, pronto podría formar parte inseparable de su vida digital.

Descripción: Se trata de una tecnología conocida como «Client-Side Scanning» o escaneo del lado del cliente. Es decir lo que sea, es un software que pasa a formar parte inseparable del Sistema Operativo del dispositivo, o de alguna función lateral. Se despliega como se despliegan tantas updates,  sin que el usuario pidiese su presencia o instalación. Pero esta tiene una funcionalidad específica.

Funciona escaneando imágenes, videos, mensajes y otros contenidos en el propio dispositivo del usuario “on-device” (móvil, tablet, ordenador, etc) antes de que se envíen o almacenen en la nube. Utiliza algoritmos de inteligencia artificial y hashing (como PhotoDNA o perceptual hashing) para comparar el contenido con bases de datos de material conocido de abuso infantil, sin necesidad de enviar todo a servidores centrales. Esto se propone para apps de mensajería, correo electrónico y redes sociales.

Desarrollo y despliegue:

• En iOS (Apple): Apple propuso un sistema similar en 2021 para detectar CSAM en iCloud, pero lo pausó por críticas de privacidad. Sin embargo, la regulación de la UE podría obligar a implementarlo en futuras actualizaciones de iOS.
• En Android (Google y otros fabricantes): Google ya usa herramientas similares de forma voluntaria en algunos servicios (como Gmail o YouTube), pero la propuesta extendería esto a escaneo obligatorio en dispositivos para apps de terceros.
• Estado actual: Está en fase de desarrollo y debate. No se ha desplegado de forma generalizada aún, pero se espera que, si se aprueba la regulación, las grandes plataformas (como WhatsApp, Signal, Telegram) deban integrarlo en 2025-2026. Empresas como Signal y Apple han advertido sobre riesgos para la privacidad y la encriptación end-to-end.

Críticas

Expertos argumentan que podría debilitar la encriptación, abrir puertas a abusos gubernamentales y generar falsos positivos, afectando la privacidad de millones de usuarios. Las plataformas son transnacionales. Hay muchas implicaciones legales y técnicas implicadas, como iremos viendo.

Fundamento jurídico: Regulación CSA (o «Chat Control»)

Su nombre oficial: «Propuesta de Reglamento del Parlamento Europeo y del Consejo por el que se establecen normas para prevenir y combatir el abuso sexual infantil» (título del Reglamento “Proposal for a Regulation of the European Parliament and of the Council laying down rules to prevent and combat child sexual abuse”). Comúnmente se conoce como «Regulación CSA» (Child Sexual Abuse Regulation) o «Chat Control» (en sus versiones 1.0 y 2.0).

Contexto legislativo en la UE:

Presentada por la Comisión Europea en mayo de 2022, como parte de la estrategia de la UE para 2020-2025 contra el abuso infantil.

Basada en regulaciones previas, como el Reglamento UE 2021/1232 (temporal, que permite escaneo voluntario), pero esta nueva hace obligatorio el escaneo en ciertos casos para proveedores de servicios en línea.

Estado actual (septiembre 2025): Aún en negociación. El Parlamento Europeo adoptó posiciones en junio de 2025, incluyendo el uso de IA para detectar CSAM. El Consejo de la UE planea finalizar su posición el 12 de septiembre de 2025, con posible voto el 14 de octubre de 2025. Países como Dinamarca impulsan su avance, a pesar de oposiciones de Alemania y otros por preocupaciones de derechos fundamentales.

Implicaciones: Obligaría a plataformas a implementar «órdenes de detección» emitidas por autoridades, con escaneo masivo. Incluye medidas como el consentimiento para escanear chats encriptados o el uso de «upload moderation» para contenidos subidos.

La cantidad ingente de información que puede colectarse en el tiempo: intratable con metodologías del Siglo XX

Si la propuesta finalmente se aprueba en la UE el despliegue total (no conozco el calendario de actividades en este sentido), afectaría a todos los dispositivos en la UE, priorizando la protección infantil, pero generando debates sobre vigilancia masiva. Para más detalles, consulta el sitio oficial del Parlamento Europeo u organizaciones como EDRi.

Desde las peores visiones o perspectivas, la protección infantil es una falsa bandera para ahondar más en el control y fiscalización de lo social en las redes. Pretenden los planteamientos más ultras que, conociendo lo que se “cuece y habla en las redes y plataformas, conversaciones telefónicas, telemetrías, reconocimiento de rostros, y sumado a la iniciativa de “ID individual universal y único” de la UE…

Nos aboca a situaciones orwellianas o si acaso como  lo se vende o ya disponen en EEUU  mediante el tratamiento del Big Data. Palantir es la  más conocida o nombrada, probablemente la mejor. Que junto a otras y sus desarrollos en EEUU ya sirven al Estado una suerte de «precognición de los delitos» o su de “posible riesgo de comisión”, así como crear matrices de riesgo geográficas por persona, colectivos, grupos, etc.

• Databricks: Especializada en ingeniería de datos y análisis en tiempo real, Databricks es una de las principales alternativas a Palantir. Su plataforma es utilizada por agencias gubernamentales y empresas privadas para procesar grandes volúmenes de datos. Investors
• Snowflake: Ofrece soluciones de almacenamiento y análisis de datos en la nube. Empresas como Amazon Web Services (AWS) y Microsoft Azure utilizan Snowflake para integrar y analizar datos a gran escala. Consainsights
• IBM Watson Studio: Plataforma de inteligencia artificial y análisis de datos que compite directamente con Palantir en el sector gubernamental y empresarial. Permutable Technologies Limited
• Alteryx: Proporciona herramientas de análisis de datos que permiten a los usuarios preparar, mezclar y analizar datos sin necesidad de programación avanzada. G2
• Splunk: Especializada en análisis de datos de máquinas y monitoreo en tiempo real, Splunk es utilizada por gobiernos y empresas para la seguridad y el cumplimiento normativo. Consainsights
• Microsoft Azure Synapse Analytics y Power BI: Ofrecen soluciones integradas de análisis de datos y visualización, competiendo con las plataformas de Palantir en diversos sectores menos «criticos» como apoyo a los Estados e Instituciones a organizarse y organizar su información, tratarla, y estudiarla, inferir conocimientos y correlatos, para decidir y gestionar mejor. Consainsights
• Google Cloud (BigQuery y Looker): Proporciona herramientas de análisis de datos en la nube utilizadas por organizaciones gubernamentales y privadas para procesar grandes volúmenes de información. Consainsights
• Oracle: Proveedor de soluciones de bases de datos y análisis de datos que compite con Palantir en el sector empresarial y gubernamental. Barron’s
• SAP Analytics Cloud: Ofrece soluciones de análisis de datos y planificación empresarial que compiten con las plataformas de Palantir en diversos sectores. G2
• TIBCO Software: Proporciona soluciones de integración y análisis de datos utilizadas por organizaciones gubernamentales y empresariales. Consainsights
• Flock Safety: Especializada en reconocimiento automático de matrículas, videovigilancia y detección de disparos, Flock Safety opera en más de 5,000 comunidades en EE. UU., recopilando más de 20 mil millones de escaneos de vehículos al mes. Wikipedia
• Anduril Industries: Empresa de defensa que desarrolla soluciones autónomas y de inteligencia artificial para aplicaciones de seguridad nacional. Reuters
• Raytheon Technologies, CACI International y Leidos Holdings: Estas compañías ofrecen sistemas de soporte a la toma de decisiones basados en inteligencia artificial y plataformas de ciberseguridad que compiten directamente con las ofertas de Palantir en el sector de defensa e inteligencia. levelfields.ai
• Salesforce (Missionforce): Ha lanzado una unidad de negocios de seguridad nacional llamada Missionforce, desafiando directamente el dominio de Palantir en los contratos tecnológicos gubernamentales. MarketWatch

Las empresas mencionadas son corporaciones que operan, en principio con fines legítimos de su fin social declarado (además de maximizar los beneficios para sus accionistas). Aunque la mayoría tiene sede en Estados Unidos, cuyas leyes son extraterritoriales por definición y práctica habitual. Esto plantea preguntas importantes sobre la ubicación de los datos, quién los procesa y quién tiene acceso a ellos durante su tratamiento.

No se cuestiona la legitimidad de Estados Unidos o sus leyes, sino la necesidad de que Europa, la UE, establezca normas claras que protejan a sus ciudadanos frente a la extraterritorialidad y posibles usos indebidos de la información. Como ocurrió con los datos médicos del NHS (el Servicio Nacional de Salud británico) cuyo acervo de datos de pacientes al completo  acabaron en manos de una empresa concesionaria estadounidense, en servidores fuera de UK. Un gran escándalo nacional que provocó la dimisión de varios responsables. Al respecto en ese castillo kafkiano que es la UE, es de exigir que, se requiere del modo más firme contractualmente que los empresarios/empresas de tecnologías avanzadas asuman una mayor responsabilidad en el uso de estas herramientas, dado que la humanidad enfrenta desafíos crecientes que demandan precisamente esas herramientas para  una gestión eficiente de la información dispersa y un control ético de su aplicación.  Las necesitamos pero con las cautelas del modo que en Europa se tratan algunas cosas. «C-a-u-t-e-l-a»  no es lentitud ni tampoco actividades en habitaciones cerradas y contratos oscuros.

Ningún reproche a EEUU por destacar en estas herramientas. Si a caso a Europa, la UE y su incompetencia para que nuestros empresarios produzcan estas tecnologías avances que la Humanidad necesita equiparables o competentes al menos. Somos muchos y muchos los aspectos a administrar, correlatar, decidir, conocer y descubrir que están ya escondidos en todo lo que sabemos disperso. Por mor del espectáculo empezamos con el Señor de los anillos etc. Todas las citadas empresas son productos servicios o quienes los producen y su beneficio para la población dependerá del uso que se les dé.

No obstante para cerrar este tema en el seno de la lucha contra el crimen organizado, las mafias, el terrorismo y esas necesidades policiales o de seguridad. Es relevante destacar que algunas de estas tecnologías ya han sido ensayadas y testadas, maduradas, en  combinación con análisis impulsados por inteligencia artificial. Estas últimas han sido empleadas para procesar datos de telemetría satelital, movimientos de personas, comunicaciones telefónicas y otros indicadores. Estas herramientas han permitido identificar puntos de interés, asociar nombres a personas en esos lugares y, en algunos casos, generar listas de objetivos. Por ejemplo, el sistema de inteligencia artificial conocido como «Lavender» ha sido utilizado por las Fuerzas de Defensa de Israel (IDF) para identificar hasta 37.000 posibles objetivos en Gaza, basándose en datos recopilados de diversas fuentes como imágenes satelitales, comunicaciones interceptadas y redes sociales. Aunque la IDF afirma que la decisión final sobre los ataques es tomada por analistas humanos, se ha reportado que el uso de estas herramientas ha acelerado significativamente el proceso de selección de objetivos, lo que ha generado preocupaciones sobre la precisión de los datos y el respeto a los derechos humanos. Además, en operaciones anteriores, la IDF ha utilizado sistemas como «The Gospel» para recomendar objetivos de bombardeo, lo que ha incrementado el número de ataques realizados en un corto período de tiempo. Estos desarrollos plantean interrogantes sobre la fiabilidad de los algoritmos y la posibilidad de errores que podrían afectar a civiles inocentes.  Como siempre el mal no está en el herrero ni en el martillo o el cuchillo que fabrica (fabricante), si no la mano que empuña el producto y para qué.