La UE quiere escanear tus mensajes privados — Chat Control es la regulación más peligrosa para developers que viene en camino
El 9 de julio de 2026, el Parlamento Europeo aprobó una regulación que la mayoría de los equipos de desarrollo no saben que existe — y que afecta directamente a cualquier aplicación que maneje mensajería, email, compartición de archivos, o cualquier forma de comunicación entre usuarios.
Chat Control 1.0 es ahora ley en la Unión Europea hasta al menos 2028. Permite el escaneo masivo de comunicaciones privadas sin orden judicial en plataformas como Instagram, Discord, Gmail y Xbox. Y el voto que lo aprobó fue una de las ironías más reveladoras del año: 314 MEPs votaron en contra versus 276 a favor — una mayoría de votos contraria — pero la moción de rechazo no alcanzó la mayoría absoluta requerida de 361 votos. La regulación pasó perdiendo el voto de conteo, gracias a una peculiaridad procedimental.
Pero Chat Control 1.0 — ya de por sí controversial — no es la historia completa. Es el preludio de algo más amplio que todavía está siendo negociado y cuyas consecuencias técnicas para cualquier developer que construya aplicaciones son mucho más profundas.
Esa historia más amplia se llama Chat Control 2.0.
Chat Control 1.0 vs Chat Control 2.0: la diferencia que importa
El error más común en la cobertura de este tema es tratar ambas regulaciones como si fueran la misma cosa. No lo son. Las diferencias son técnicas, legales y en términos de impacto — y entenderlas es el punto de partida para cualquier developer que necesite evaluar qué le aplica hoy versus qué podría aplicarle en el futuro.
Chat Control 1.0 — ahora formalmente Regulación (EU) 2021/1232 en su extensión de julio 2026 — es una derogación temporal a la Directiva ePrivacy. Lo que hace es crear una excepción que permite a los proveedores de servicios de comunicaciones procesar voluntariamente datos de comunicaciones usando tecnologías diseñadas para detectar y reportar abuso sexual infantil en línea. La palabra clave es "voluntariamente". No obliga a nadie a escanear. Crea el marco legal para que quienes quieran hacerlo puedan hacerlo sin violar la normativa de privacidad.
El alcance real de Chat Control 1.0 es específico: aplica a comunicaciones no cifradas. El Parlamento Europeo incluyó en su posición de julio de 2026 una exclusión explícita de las comunicaciones cifradas de extremo a extremo del régimen de escaneo temporal. Servicios como Signal, y las comunicaciones cifradas de extremo a extremo en WhatsApp y otras plataformas, quedan fuera del ámbito de la derogación actual.
Google, Meta y Microsoft optaron por participar en el escaneo voluntario desde el primer día. Sus plataformas — Gmail, Messenger, Skype, Xbox — escanean mensajes no cifrados bajo este framework.
Chat Control 2.0 — formalmente la propuesta de Reglamento sobre Abuso Sexual Infantil (CSAR, Child Sexual Abuse Regulation) — es la propuesta permanente que llevaría esto a un nivel completamente diferente. Y aquí está el problema técnico que hace que la comunidad de criptografía y seguridad haya reaccionado con una alarma que raramente se ve en ese ecosistema.
Chat Control 2.0, en algunas de sus versiones propuestas, incluiría mandatos de escaneo obligatorio que también aplicarían a servicios con cifrado de extremo a extremo. La única forma técnica de hacer eso sin romper el cifrado es escanear el contenido antes de que sea cifrado, directamente en el dispositivo del usuario, antes de que el mensaje sea enviado. Esto es lo que se llama client-side scanning.
Como explicó con precisión el análisis técnico publicado en AB-Arts: Chat Control 2.0 no rompe técnicamente el algoritmo de cifrado. En cambio, mandatería el escaneo antes de que la encriptación sea aplicada, directamente en tu dispositivo. El resultado práctico es el mismo: el cifrado de extremo a extremo permanece arquitectónicamente intacto pero prácticamente sin sentido desde una perspectiva de privacidad.
La cronología: cinco años y todavía sin acuerdo
Para entender el estado actual del debate, la cronología es esencial.
2021: La UE aprueba la derogación temporal de la Directiva ePrivacy — Chat Control 1.0 — permitiendo escaneo voluntario de CSAM en plataformas no cifradas. Validez hasta 2024.
Mayo 2022: La Comisión Europea presenta la propuesta de regulación permanente — Chat Control 2.0 — que incluiría escaneo obligatorio aplicable también a servicios cifrados de extremo a extremo.
Consulta pública: Más del 80% de los respondentes se oponen a aplicar el escaneo a comunicaciones cifradas de extremo a extremo.
Noviembre 2023: El Parlamento adopta una posición negociadora que bloquea el client-side scanning obligatorio de mensajes cifrados.
Finales 2025: La presidencia danesa del Consejo propone una versión que elimina las detection orders pero mantiene evaluaciones de riesgo y obligaciones de mitigación para los proveedores, y propone hacer el escaneo voluntario permanente.
26 de marzo de 2026: El Parlamento Europeo vota 307-306, con 24 abstenciones, para rechazar la extensión de las reglas temporales. El comité de libertades civiles LIBE ya había rechazado el borrador 38-28. La derogación expira.
Semana del 6-12 de julio de 2026: Los embajadores del Consejo maniobran para impulsar una extensión temporal de la derogación de escaneo voluntario — la misma que el Parlamento había votado para dejar expirar. Defensores de privacidad lo califican como un desafío directo a la autoridad democrática del Parlamento.
9 de julio de 2026: El Parlamento aprueba Chat Control 1.0 con un resultado que invierte el conteo de votos (314 contra, 276 a favor) pero que no alcanza la mayoría absoluta requerida para el rechazo. La regulación está vigente hasta 2028.
29 de junio de 2026: Quinta y última ronda de trilogo programada para Chat Control 2.0, bajo la presidencia chipriota. Termina sin acuerdo — el quinto fracaso consecutivo. Una sexta ronda se espera bajo la presidencia irlandesa, probablemente en septiembre de 2026.
El estado actual, en una sola oración: Chat Control 1.0 es ley hasta 2028. Chat Control 2.0 no tiene acuerdo todavía, con las negociaciones continuando en septiembre.
El problema técnico que hace imposible lo que Chat Control 2.0 propone
Hay algo en este debate que merece espacio que raramente recibe en la cobertura mainstream: la opinión de los criptógrafos.
Más de 300 investigadores de seguridad y criptografía firmaron una carta abierta oponiéndose al client-side scanning obligatorio. No como posición política. Como afirmación técnica. El argumento es preciso: crear un mecanismo de escaneo en el dispositivo del usuario, antes del cifrado, es técnicamente equivalente a crear una puerta trasera universal en el sistema de cifrado.
La razón es matemática, no ideológica. Una vez que existe el mecanismo de escaneo en el dispositivo, hay tres problemas que no tienen solución técnica:
El primero es el problema de la especificación del contenido prohibido. El mecanismo de client-side scanning necesita una base de datos de hashes o modelos de clasificación que definen qué contenido debe ser reportado. Esa base de datos es mantenida por alguna autoridad — ya sea el gobierno, una ONG, o la empresa. Si esa autoridad puede actualizar la base de datos unilateralmente, puede expandir el alcance del escaneo sin que el usuario sepa. Un sistema diseñado para detectar CSAM puede, con un update a la base de datos, detectar cualquier otra categoría de contenido.
El segundo es el problema de la exfiltración. Un mecanismo que puede extraer información del dispositivo del usuario antes del cifrado — por definición — puede ser comprometido por actores maliciosos para hacer lo mismo. Una puerta trasera para el gobierno es una vulnerabilidad para cualquier atacante que la encuentre.
El tercero es el problema de la escalabilidad de la vigilancia. Signal, la aplicación de mensajería cifrada más utilizada por periodistas, activistas, abogados y poblaciones vulnerables, tendría que implementar el mecanismo en su codebase para cumplir con la regulación. El CEO de Signal ya anunció que abandonaría el mercado europeo antes de implementar client-side scanning. Apple hizo una declaración similar cuando el gobierno del Reino Unido propuso algo equivalente.
La Electronic Frontier Foundation lo formuló directamente: no existe una versión de client-side scanning que sea segura, privada y efectiva al mismo tiempo. Las tres propiedades son mutuamente excluyentes en el diseño técnico.
Por qué los trilogos fallaron cinco veces seguidas
Cinco rondas de negociación. Cinco fracasos. La razón no es falta de voluntad política — es una brecha técnica y filosófica que no tiene punto medio obvio.
La posición del Parlamento es clara: el escaneo de comunicaciones privadas debe estar limitado a usuarios individuales o grupos específicos bajo sospecha de vínculos con abuso sexual infantil, y debe requerir una orden judicial para su implementación.
La posición del Consejo — que representa a los gobiernos de los estados miembros — quiere ir más lejos. La versión del Consejo de 2025 requería que los proveedores de servicios de comunicaciones cifradas verificaran la edad de los usuarios. En la práctica, eso significa que cada ciudadano europeo necesitaría presentar un ID, datos biométricos, o prueba equivalente antes de acceder a email o apps de mensajería cifradas. Los defensores de privacidad argumentan que eso termina con la comunicación digital anónima en Europa para periodistas, whistleblowers y personas vulnerables.
El punto donde el trilogo se atasca en cada ronda es el mismo: si la regulación permanente incluirá o no las aplicaciones con cifrado de extremo a extremo, y si incluirá o no alguna forma de client-side scanning obligatorio.
Mientras ese punto permanezca sin resolver, no hay acuerdo. Y la presidencia irlandesa que toma el relevo en septiembre hereda exactamente el mismo punto sin resolver que las presidencias anteriores no pudieron superar.
Qué significa esto para tu aplicación hoy y mañana
La distinción entre lo que es ley hoy (Chat Control 1.0) y lo que podría ser ley en el futuro (Chat Control 2.0) define dos conjuntos de implicaciones diferentes para cualquier developer con usuarios en Europa.
Lo que aplica hoy con Chat Control 1.0:
Si tu aplicación maneja comunicaciones no cifradas entre usuarios en la UE — mensajería de texto sin cifrado de extremo a extremo, email estándar, comentarios y mensajes en plataformas sociales — puedes encontrarte en el ámbito de la regulación si decides participar voluntariamente en el escaneo. La regulación no te obliga, pero crea el framework legal para hacerlo.
Si tu aplicación usa cifrado de extremo a extremo, estás fuera del ámbito de Chat Control 1.0 según la posición del Parlamento de julio de 2026.
La auditoría que cualquier equipo debería hacer ahora: mapear exactamente qué tipos de datos de comunicación maneja tu aplicación, si están cifrados de extremo a extremo o no, y si tu empresa cae en el ámbito de "proveedor de servicios de comunicaciones" bajo la definición de la regulación.
Lo que podría aplicar con Chat Control 2.0:
Si la versión permanente incluye client-side scanning obligatorio para aplicaciones con cifrado de extremo a extremo, las implicaciones técnicas son fundamentales. No se trataría de añadir una feature de compliance. Se trataría de rediseñar la arquitectura de privacidad de tu aplicación de forma que es incompatible con lo que hace que el cifrado de extremo a extremo funcione como garantía de privacidad.
Las decisiones de arquitectura que vale la pena tomar hoy, antes de que eso ocurra:
Diseña tu sistema de mensajería con cifrado de extremo a extremo implementado en el cliente, no en el servidor. Si el cifrado ocurre en el servidor, tienes acceso al contenido — y por lo tanto podrías ser sujeto a órdenes judiciales de divulgación. Si el cifrado ocurre en el cliente y las llaves nunca salen del dispositivo, técnicamente no puedes acceder al contenido ni si quisieras.
Construye tu arquitectura de compliance como módulo separable. Si eventualmente hay una regulación que requiere algún tipo de reporte, el mecanismo debería ser un componente que puedes activar o desactivar sin tocar la arquitectura core de cifrado.
Documenta tu diseño de privacidad ahora. Las regulaciones de privacidad, incluyendo GDPR, favorecen a empresas que pueden demostrar que tomaron decisiones deliberadas de arquitectura para proteger datos de usuarios. Tener esa documentación antes de que llegue la regulación es más valioso que construirla en respuesta a ella.
Las posiciones que dividen a Europa
El debate de Chat Control no tiene un frente político claro — lo que lo hace políticamente más interesante y técnicamente más incierto.
Alemania anunció que votaría contra el escaneo obligatorio sin sospecha previa, lo que fue el factor determinante que bloqueó el acuerdo del Consejo en 2024. Con el cambio de gobierno en Alemania en 2025 y las negociaciones de coalición que siguieron, la posición alemana en 2026 bajo la nueva administración es menos predecible.
El Partido Popular Europeo — el grupo parlamentario más grande — cambió en 2026 hacia posiciones más favorables a controles más fuertes de mensajería, lo que debilitó la resistencia del Parlamento que en años anteriores había bloqueado propuestas del Consejo.
Los grupos de derechos digitales — incluyendo EDRi, Fight Chat Control, y la EFF — han mantenido una campaña sostenida que logró mantener la exclusión del cifrado de extremo a extremo en Chat Control 1.0. Pero la dinámica política de 2026, con el cambio en el EPP y la presión del Consejo de reactivar Chat Control 1.0 a pesar del voto parlamentario de marzo, sugiere que la resistencia tiene menos fuerza que en años anteriores.
El estado del debate en julio de 2026 es genuinamente incierto. Los que predicen que Chat Control 2.0 nunca pasará porque el Parlamento siempre lo bloqueará están ignorando que el Parlamento acaba de aprobar Chat Control 1.0 a pesar de una mayoría de votos en contra. Los que predicen que Chat Control 2.0 con client-side scanning pasará fácilmente están ignorando los cinco trilogos fallidos y la posición técnicamente incompatible entre los dos co-legisladores.
Lo que no es incierto es que las negociaciones continúan, que la sexta ronda es en septiembre, y que cualquier acuerdo que emerja tendrá consecuencias concretas para cualquier aplicación con usuarios europeos.
Por qué esto importa especialmente para LATAM
Para founders y developers en América Latina que tienen o planean tener usuarios en Europa, hay una dimensión específica que el debate europeo generalmente omite.
El GDPR estableció el precedente de que las regulaciones europeas de privacidad tienen alcance extraterritorial: si procesas datos de ciudadanos europeos, la regulación aplica independientemente de dónde esté tu empresa. Chat Control opera bajo el mismo marco.
Si tu SaaS tiene usuarios en España, Portugal, o cualquier país de la UE — y si maneja cualquier tipo de mensajería, email, o comunicación entre usuarios — necesitas entender qué te aplica hoy y qué podría aplicarte en el futuro.
La brecha de recursos entre una startup latinoamericana y una empresa europea grande es real, pero el riesgo regulatorio no se escala con el tamaño de la empresa. Una startup de cinco personas con 200 usuarios en Alemania está sujeta a las mismas obligaciones de GDPR que una corporación con 50,000 empleados. Chat Control seguiría el mismo patrón.
La recomendación práctica para equipos en LATAM con usuarios europeos es la misma que para cualquier empresa global: auditar ahora qué datos de comunicación procesas, implementar cifrado de extremo a extremo donde sea técnicamente posible, y seguir el estado de las negociaciones de Chat Control 2.0 porque las implicaciones pueden materializarse más rápido de lo que los plazos legislativos europeos sugieren.
Lo que el debate de fondo revela sobre privacidad y seguridad
Hay una tensión en el corazón de Chat Control que ningún análisis técnico o jurídico puede resolver, y que merece nombrarse directamente.
El objetivo declarado de la regulación — proteger a los niños del abuso sexual en línea — es legítimo, urgente y moralmente indiscutible. Las imágenes de abuso sexual infantil son uno de los contenidos más dañinos que circulan en internet, y los mecanismos actuales de detección y reporte son insuficientes.
El problema técnico es que el único mecanismo que puede detectar CSAM en comunicaciones cifradas de extremo a extremo — el client-side scanning — es también el mecanismo que permite vigilancia masiva de todas las comunicaciones privadas de todos los usuarios, no solo de los sospechosos de distribuir CSAM.
No existe una versión técnica de ese mecanismo que sea "solo para CSAM". Las llaves no distinguen el propósito. El mecanismo que puede escanear antes del cifrado en busca de CSAM puede escanear en busca de cualquier otra cosa con un update a la base de datos de clasificación.
Esa es la razón por la que más de 300 criptógrafos firmaron la carta. No porque no les importe la protección de menores. Sino porque entienden que el mecanismo propuesto no puede hacer lo que propone hacer sin destruir simultáneamente la privacidad de las comunicaciones digitales para todos.
La sexta ronda de trilogo en septiembre tiene que resolver esa tensión. Cinco rondas anteriores no pudieron hacerlo. La razón no es falta de buena voluntad. Es que no existe una solución técnica que satisfaga simultáneamente ambas posiciones.
Para concluir: qué hacer antes de septiembre
El timeline es concreto: la sexta ronda de negociaciones de Chat Control 2.0 está prevista para septiembre de 2026 bajo la presidencia irlandesa. Si esa ronda produce un acuerdo político, el texto iría a adopción formal — lo que podría tomar varios meses más, pero establece la dirección regulatoria.
Para cualquier developer con aplicaciones con usuarios en Europa, las tres acciones prioritarias son claras.
Primero, audita tu arquitectura de comunicaciones ahora. Mapea qué datos de mensajería o comunicación entre usuarios procesa tu aplicación, si están cifrados de extremo a extremo, y si tu empresa cae bajo la definición de "proveedor de servicios de comunicaciones" según la regulación.
Segundo, implementa cifrado de extremo a extremo donde aún no lo tienes. No como respuesta a Chat Control — como práctica de seguridad básica que además te posiciona mejor independientemente de cómo evolucione la regulación.
Tercero, sigue las negociaciones de septiembre. No a través de la cobertura mainstream, que tiende a simplificar la distinción entre Chat Control 1.0 y 2.0 de formas que llevan a conclusiones incorrectas. Fuentes como Fight Chat Control, EDRi, y el live tracker de closednetwork.io ofrecen seguimiento técnico y jurídico preciso.
La regulación más disruptiva para developers que viene en camino todavía no es ley. Pero las negociaciones que la definirán ocurren en septiembre. Y el tiempo para prepararse es ahora, no después de que el texto esté firmado.
¿Tienes usuarios en Europa y ya revisaste qué tipo de datos de comunicación maneja tu app? ¿Usas cifrado de extremo a extremo en tu stack de mensajería? Cuéntalo en los comentarios — y si quieres una guía de arquitectura para implementar E2EE en aplicaciones Next.js que cumpla con GDPR y esté preparada para Chat Control, déjalo abajo.


Comentarios