El silencioso rediseño de la privacidad en línea en la UE y más allá

Por Hans Rempel, CEO de Diode.

¡Descubre las principales noticias y eventos del sector fintech!

Suscríbete al boletín de FinTech Weekly

Leído por ejecutivos de JP Morgan, Coinbase, Blackrock, Klarna y más

En todo el mundo, los gobiernos están convergiendo en una nueva teoría de seguridad en línea: para hacer internet más seguro, la comunicación privada debe ser inspeccionable.
Lo que está cambiando ahora no es solo cómo se viola la privacidad, sino cómo se define en la ley y en el código.

La propuesta de Control de Chat de la UE es el ejemplo más visible, pero no es una excepción. Estados Unidos, Reino Unido, Australia y varias jurisdicciones asiáticas están avanzando en variaciones de la misma idea mediante mandatos de verificación de edad, escaneo en el lado del cliente, ampliación de la responsabilidad de las plataformas y marcos de detección ‘voluntarios’.

A pesar de los diferentes sistemas políticos, estas propuestas comparten la misma suposición fundamental de que la comunicación privada debe ser técnicamente accesible a los reguladores.

Cada propuesta se presenta como algo limitado y dirigido, pero juntas representan un cambio estructural de la vigilancia de contenido dañino a la monitorización preventiva de la comunicación, y de regular plataformas a regular la infraestructura de los mensajes privados en sí.

Es un rediseño global de lo que significa la privacidad en línea.

Privacidad reescrita

Durante años, la erosión de la privacidad se culpó a brechas de datos, empresas malintencionadas o agencias de inteligencia excesivamente invasivas. Hoy, los cambios más importantes ocurren dentro de la política misma. La privacidad no se rompe accidentalmente; se rediseña desde la arquitectura de internet.

La justificación casi siempre es la seguridad. Pero el mecanismo siempre es el mismo: ampliar el alcance de lo que los gobiernos y plataformas deben inspeccionar.

Y una vez que existe la infraestructura de inspección, rara vez se limita a su propósito original. El escaneo dirigido se expande rápidamente con la verificación de identidad, el monitoreo del comportamiento y la retención de datos, que se convierten en requisitos básicos “por si acaso”.

La comunicación privada ya no se ve como un derecho a proteger, sino como una superficie de riesgo a gestionar, creando así un internet donde la privacidad se vuelve condicional en lugar de fundamental.

La normalización de la vigilancia ‘voluntaria’

Uno de los desarrollos más sutiles es el auge de los marcos de escaneo ‘voluntarios’. A menudo se presentan como un compromiso en el que las plataformas pueden escanear mensajes privados, pero no están obligadas a hacerlo.

Sin embargo, una vez que el escaneo se legaliza, se incentiva o se estandariza técnicamente, la infraestructura se vuelve permanente. El debate ya no se centra en si los mensajes privados deben ser escaneados, sino en quién tiene acceso y en qué circunstancias.

El escaneo voluntario ciertamente suaviza la vigilancia, pero también la normaliza, desplazando la ventana de Overton de “¿deberían escanearse los mensajes privados en absoluto?” a “¿cuánto escaneo es apropiado?”.

Los debates sobre el escaneo en el lado del cliente muestran cómo la detección ‘opcional’ rápidamente se convierte en una expectativa básica.

El paraíso no se perdió, sino que se centralizó

Tim Berners-Lee ha lamentado que la web abierta e interoperable que imaginaba ha sido reemplazada por un sistema dominado por puntos de control corporativos y incentivos de recolección de datos. En esa deriva, los sistemas centralizados invitan al control centralizado.

Cuando la comunicación privada fluye a través de unos pocos puntos de control, estos inevitablemente se convierten en objetivos. Las plataformas dominantes se vuelven puntos de apalancamiento natural para políticas y vigilancia.

La IA generativa ha convertido la seguridad centralizada en un riesgo

El auge de la IA generativa ha acelerado esta tendencia. Los ataques de phishing, la recopilación de credenciales y las campañas de ingeniería social ahora están automatizados, son personalizadas y mucho más efectivos. La respuesta de la industria de la seguridad ha sido predecible… desplegar más defensas impulsadas por IA que requieren analizar más datos de la empresa.

Esto crea una paradoja peligrosa. Un proveedor de seguridad con acceso a datos sensibles se convierte en el cebo definitivo. Si un atacante logra vulnerar al proveedor, obtiene acceso no solo a la información de una empresa, sino a los datos agregados de todos los clientes. Algunos arquitectos de seguridad argumentan que en una carrera armamentística de IA, la única estrategia ganadora es eliminar completamente el objetivo. En lugar de construir perímetros defensivos cada vez mayores alrededor de bases de datos centralizadas, es necesario un cambio hacia una seguridad granular y de conocimiento cero, donde los proveedores no puedan acceder a los datos del usuario incluso si quisieran.

En estas arquitecturas, los datos nunca tocan la infraestructura del proveedor. No hay servidores que comprometer, ni bases de datos que filtrar. Todo se enruta de igual a igual con cifrado automatizado, eliminando el problema del cebo.

La historia demuestra que cuando la regulación apunta a la infraestructura en lugar del comportamiento, los usuarios se adaptan. Se trasladan a plataformas offshore, redes informales o herramientas diseñadas para evitar puntos de control centralizados por completo. Tales regulaciones no detienen el comportamiento; simplemente cambian quién asume el costo.

Está surgiendo una nueva respuesta arquitectónica

En respuesta a la presión regulatoria y a la explotación impulsada por IA, los tecnólogos están replanteando la arquitectura de la comunicación. En lugar de enrutar mensajes privados a través de servidores centralizados que pueden ser obligados, escaneados o vulnerados, están construyendo sistemas donde los usuarios poseen su identidad, datos y conexiones.

Este es el cambio arquitectónico que Berners-Lee esperaba: un regreso a una web peer-to-peer donde el control se distribuye, no se concentra. Las cadenas de bloques públicas como Internet Computer (ICP) ya están apoyando proyectos que encarnan este modelo, combinando transparencia con privacidad y restaurando derechos reales de propiedad digital. Múltiples proyectos en todo el ecosistema están explorando modelos de comunicación peer-to-peer donde la identidad, los datos y el enrutamiento permanecen completamente controlados por el usuario. En estos sistemas, la privacidad se convierte en una propiedad de la arquitectura. No hay servidores en los que confiar, ni intermediarios que comprometer, ni autoridades centrales que presionar.

La verdadera pregunta

El debate sobre la seguridad en línea a menudo se enmarca como una compensación entre privacidad y protección. Pero la pregunta real es mucho más fundamental: ¿queremos un internet donde la privacidad sea condicional — concedida cuando conviene y retirada cuando es necesario — o un internet donde la privacidad sea la base sobre la que la regulación debe trabajar?

Porque una vez que la privacidad se vuelve condicional, deja de ser un derecho. Se convierte en un permiso. Y los permisos siempre pueden ser revocados.

Sobre el autor

Hans Rempel es el CEO de Diode, una empresa que construye infraestructura de comunicación peer-to-peer y seguridad de conocimiento cero. Trabaja en la intersección de la privacidad, la arquitectura descentralizada y los protocolos de internet de próxima generación. Su investigación y escritura se centran en cómo la regulación y la tecnología moldean el futuro de la autonomía digital.