Chatkontrolle der EU: Was Unternehmen jetzt wissen müssen

6 min de lectura

502 criptógrafos advierten, Signal amenazó con abandonar el mercado europeo y el Tribunal Constitucional Federal declaró nulas partes de la interceptación de comunicaciones en origen; pese a ello, la UE sigue negociando la regulación del control de chats. El reglamento CSAR está en fase de trilogos y la excepción de ePrivacy para el escaneo voluntario expira el 3 de abril de 2026. ¿Qué implica esto para las empresas que dependen de la comunicación cifrada?

El debate suele enmarcarse como una batalla entre protección infantil y privacidad. Para los equipos de seguridad informática, es mucho más concreto: cualquier debilidad forzada legalmente en los sistemas de cifrado afecta a todos – incluidos los atacantes.

En resumen

• El Consejo acordó sin obligación de escaneo: El 26 de noviembre de 2025, el Consejo de la UE adoptó una posición sin órdenes obligatorias de detección. En su lugar: obligaciones de evaluación de riesgos y escaneo voluntario. Alemania lideró la minoría bloqueante (comunicado de prensa del Consejo de la UE).
• Los trilogos continúan: El segundo trilogo está previsto para el 26 de febrero de 2026, el tercero para el 4 de mayo y el cuarto para el 29 de junio. La excepción de ePrivacy para el escaneo voluntario expira el 3 de abril de 2026.
• Tribunal Constitucional Federal, caso «Trojaner II» (junio de 2025): Declaró inconstitucionales y nulas partes de la interceptación de comunicaciones en origen. La vigilancia masiva generalizada de comunicaciones cifradas probablemente fracasaría ante este estándar.
• La amenaza de Signal sigue vigente: Meredith Whittaker, presidenta de Signal, anunció que la empresa abandonará el mercado europeo si el escaneo en el dispositivo cliente se vuelve obligatorio (confirmado mediante publicación en X, mayo de 2024).
• 502 científicos con reconocimiento internacional en criptografía y seguridad informática califican el escaneo en el dispositivo cliente como «técnicamente inviable» y advierten sobre nuevas vulnerabilidades para hackers y Estados hostiles.

Según Telecom Reseller, el uso de proxies SOCKS5 en Europa ha aumentado casi un 1.770 %, señal inequívoca de que usuarios técnicamente avanzados y empresas ya están tomando medidas preventivas. Quien hoy diseña infraestructuras de comunicación empresarial debe considerar la posibilidad de que los mensajeros cifrados caigan bajo presión regulatoria. Esto no afecta solo a aplicaciones de chat: también podrían verse implicados servicios de correo electrónico cifrado de extremo a extremo, almacenamiento en la nube con cifrado de conocimiento cero y proveedores de VPN. El reglamento CSAR define intencionalmente de forma amplia los «servicios de alojamiento» y los «servicios interpersonales de comunicación».

Otro aspecto que muchas empresas pasan por alto: la responsabilidad legal. Si un proveedor de plataformas implementa el escaneo tras la entrada en vigor de una orden de detección y, debido a un error de software o una actualización comprometida, divulga datos confidenciales empresariales a terceros no autorizados, ¿quién asume la responsabilidad? ¿El proveedor que implementó el mecanismo de escaneo? ¿O el legislador que lo impuso? Esta cuestión carece aún de claridad jurídica y solo se resolverá tras el primer incidente – demasiado tarde para las empresas afectadas.

Este artículo contextualiza qué se ha acordado, qué sigue pendiente y qué deben preparar las empresas alemanas.

Qué acordó el Consejo – y qué no

Tras tres años de negociaciones, el Consejo de la UE aprobó el 26 de noviembre de 2025 una posición común sobre el reglamento CSAR (Reglamento sobre Abuso Sexual Infantil). El núcleo del acuerdo: ya no existen órdenes obligatorias de detección. Los proveedores de plataformas deben realizar evaluaciones de riesgo y pueden optar libremente por escanear – pero nadie será obligado por ley a examinar mensajes antes de su cifrado.

Alemania, junto con una minoría bloqueante, detuvo un borrador anterior que sí incluía el escaneo obligatorio. La ministra de Justicia Stefanie Hubig formuló claramente la postura gubernamental: la vigilancia generalizada de chats sin causa justificada constituye un tabú en un Estado de derecho. La Conferencia de Protección de Datos, presidida por Meike Kamp, comisionada de protección de datos de Berlín, instó expresamente al Gobierno federal a rechazar el control de chats.

Pero el acuerdo contiene una cláusula de revisión: la Comisión Europea deberá evaluar, dentro de tres años, si las órdenes obligatorias de detección son «necesarias y viables». Expertos en privacidad y la Electronic Frontier Foundation advierten sobre el riesgo de ampliación progresiva del alcance – la puerta trasera para el escaneo obligatorio permanece explícitamente contemplada en el texto legal.

El trilogo entre el Consejo, el Parlamento y la Comisión comenzó en diciembre de 2025. La segunda reunión tuvo lugar el 26 de febrero y la tercera está programada para el 4 de mayo. Una fecha crítica: la excepción de ePrivacy, que actualmente permite legalmente el escaneo voluntario, expira el 3 de abril de 2026. Sin prórroga o nueva normativa, desaparecerá la base jurídica.

Por qué las puertas traseras no funcionan técnicamente

El escaneo en el dispositivo cliente implica analizar los mensajes directamente en el terminal, antes de que se cifren. Parece un compromiso: el cifrado permanece intacto y el escaneo ocurre previamente. En la práctica, es exactamente lo contrario: el código de escaneo instalado en cada dispositivo se convierte en un objetivo altamente atractivo para los atacantes.

502 científicos con experiencia reconocida en criptografía e ingeniería de seguridad advirtieron en una carta abierta que estas medidas son técnicamente inviables y socavarían la seguridad y la privacidad de todos los ciudadanos europeos. Entre los firmantes figuran Cas Cremers (Centro Helmholtz CISPA), Bart Preneel (KU Leuven), Carmela Troncoso (EPFL) y René Mayrhofer (JKU Linz).

El argumento se reduce a una frase: No existe una puerta trasera accesible únicamente para actores «buenos». Todo mecanismo que otorgue acceso a las fuerzas del orden también lo otorgará a hackers, fabricantes de spyware y servicios de inteligencia hostiles. La historia lo demuestra: el chip Clipper de la NSA, desarrollado en los años noventa como un sistema de cifrado con acceso estatal integrado, fracasó en 1994 cuando Matt Blaze, de AT&T Bell Labs, demostró que su mecanismo de custodia era manipulable.

La misma discusión tiene lugar simultáneamente en Canadá. El proyecto de ley C-8, prácticamente idéntico al fallido C-26, autoriza al Gobierno a exigir a los operadores de telecomunicaciones que reduzcan los estándares de cifrado mediante orden administrativa. El término «vulnerabilidad sistémica» no está definido en el texto legal – una laguna que bien puede ser intencional o producto de negligencia, pero en ambos casos peligrosa. El Citizen Lab de la Universidad de Toronto advierte formalmente sobre las consecuencias para la ciberseguridad. El patrón es global: los gobiernos intentan imponer puertas traseras en los sistemas de cifrado, los criptógrafos alertan, los tribunales frenan y la presión comienza de nuevo.

Para los directores de seguridad de la información (CISO) y los responsables de TI en empresas de DACH, la conclusión es pragmática: el control de chats no está aprobado, pero tampoco descartado. La cláusula de revisión incluida en el texto del Consejo mantiene abierta la opción del escaneo obligatorio. Quien hoy diseña su infraestructura de comunicación debe incorporar esta incertidumbre – con una arquitectura lo suficientemente flexible como para migrar, si fuera necesario, a otros proveedores o sistemas descentralizados. No se trata de alarmismo. Es gestión de riesgos.

«La vigilancia masiva generalizada, que somete a millones de ciudadanos de la UE a sospecha generalizada, es desproporcionada.»
– Meike Kamp, comisionada de protección de datos de Berlín / presidenta de la Conferencia de Protección de Datos (BfDI, octubre de 2025)

BVerfG «Trojaner II»: El límite constitucional

El 24 de junio de 2025, el Tribunal Constitucional Federal emitió la sentencia «Trojaner II» (1 BvR 180/23), declarando inconstitucionales y nulas partes de la interceptación de comunicaciones en origen. El tribunal estableció límites claros para las injerencias estatales en la comunicación cifrada.

Las conclusiones clave: la interceptación en origen no podrá aplicarse a delitos castigados con penas máximas inferiores a tres años. Su uso queda limitado a comunicaciones que también podrían haberse interceptado mediante métodos tradicionales de vigilancia telefónica (principio de sincronía). Además, se ven afectados tanto el secreto de las telecomunicaciones (artículo 10 de la Ley Fundamental) como el derecho fundamental informático: el derecho a la confidencialidad y la integridad de los sistemas informáticos.

Esto resulta directamente relevante para el debate sobre el control de chats. Si el Tribunal Constitucional Federal ya considera desproporcionada la interceptación en origen basada en causas específicas para delitos leves, la vigilancia masiva generalizada de todos los mensajes cifrados fracasaría aún más rotundamente ante ese mismo criterio. El derecho fundamental informático, establecido en la sentencia sobre registros informáticos de 2008, protege la integridad de los dispositivos finales – y el escaneo en el dispositivo cliente rompe precisamente esa integridad.

Esta sentencia tiene consecuencias directas para la economía alemana. Las empresas que utilizan comunicación cifrada de extremo a extremo – y según Bitkom, el 58 % de todas las empresas con más de 20 empleados lo hace – operan sobre una base protegida constitucionalmente. Un reglamento europeo que impusiera el escaneo en el dispositivo cliente sería impugnado de inmediato en Alemania. La cuestión no es si, sino cuándo, dicho reglamento acabaría ante el Tribunal Constitucional Federal o el Tribunal de Justicia de la UE.

Qué significa esto para las empresas

Las consecuencias no son teóricas. Si las órdenes de detección se vuelven obligatorias en una versión posterior del reglamento, afectarán a todas las plataformas cifradas: Microsoft Teams, Slack, Signal, WhatsApp – y cualquier solución de correo electrónico con cifrado de extremo a extremo.

Para los equipos de cumplimiento normativo surgen tres riesgos concretos. Primero: la comunicación interna – negociaciones contractuales, procesos de fusiones y adquisiciones, expedientes personales, código fuente – sería escaneada automáticamente, con una tasa de errores comprobada en la detección. Los falsos positivos podrían transmitir datos confidenciales empresariales a las autoridades sin conocimiento ni consentimiento de la empresa.

Segundo: los requisitos divergentes entre la UE y Estados Unidos hacen imposible una arquitectura de cifrado global uniforme. Las empresas deberían gestionar canales de comunicación separados para contextos dentro y fuera de la UE.

Tercero: La pérdida de confianza. Meredith Whittaker, presidenta de Signal, ha advertido que la empresa abandonará el mercado europeo si el escaneo en el dispositivo cliente se vuelve obligatorio. Para las empresas que usan Signal como canal seguro de comunicación – y son muchas, especialmente en el ámbito de la ciberseguridad – esto supondría una pérdida directa de infraestructura.

Qué deben hacer ahora los equipos de seguridad informática

Primero: documentar la infraestructura de mensajería. ¿Qué canales cifrados utiliza la empresa? ¿Signal, WhatsApp, Teams? ¿Quién comunica qué y con quién? Este inventario es la base para cualquier ajuste futuro.

Segundo: revisar la política de cifrado. ¿Qué comunicaciones se realizan con cifrado de extremo a extremo y cuáles solo con cifrado de transporte? En caso de una obligación de órdenes de detección, quedarían afectadas las comunicaciones E2EE, pero no las cifradas únicamente en transporte. Comprender la propia arquitectura es decisivo.

Tercero: seguir activamente la evolución regulatoria. Las negociaciones del trilogo continuarán hasta al menos junio de 2026. Toda empresa con un departamento de cumplimiento debería incluir en su monitoreo la colección de documentos de EDRi y los comunicados de prensa del Consejo.

Cuarto: evaluar canales alternativos de comunicación. Si Signal abandona efectivamente el mercado europeo, los equipos necesitarán una alternativa con un nivel de seguridad comparable. Wire (proveedor suizo), Threema (también suizo) y Matrix/Element (descentralizado y de código abierto) son candidatos – todos con perfiles propios de cumplimiento normativo.

El debate sobre el control de chats revela un patrón fundamental: toda regulación que debilite el cifrado debilita a todos – no solo al grupo objetivo. El Tribunal Constitucional Federal marcó los límites constitucionales con la sentencia «Trojaner II». Los 502 criptógrafos marcaron los límites técnicos. Que la política respete esos límites dependerá de las decisiones que se tomen en los próximos meses.

Una cosa es clara: el cifrado no es un lujo ni un obstáculo para la investigación penal. Es la base de la comunicación empresarial confidencial, de la protección de denunciantes, de las fuentes periodísticas y de la confianza en la infraestructura digital. Todo intento de debilitarlo debilita todo el sistema – lo han confirmado 502 científicos, lo ha confirmado el Tribunal Constitucional Federal y lo demuestra la historia del chip Clipper. La cuestión no es si el cifrado debe protegerse. La cuestión es si Europa lo entiende antes de que sea demasiado tarde.

Preguntas frecuentes

¿Qué es el control de chats de la UE?

El reglamento CSAR (Reglamento sobre Abuso Sexual Infantil) pretende obligar a los proveedores de plataformas a buscar contenidos ilegales en sus servicios. Los críticos advierten sobre una vigilancia masiva de la comunicación cifrada. El texto actual del Consejo ya no incluye órdenes obligatorias de detección, pero sí una cláusula de revisión.

¿Ya se ha aprobado el control de chats?

No. El Consejo adoptó una posición en noviembre de 2025; el trilogo con el Parlamento y la Comisión comenzó en diciembre de 2025. Se espera un acuerdo definitivo, como muy pronto, para el verano de 2026.

¿Abandonaría Signal la UE?

Meredith Whittaker, presidenta de Signal, ha anunciado que la empresa dejará el mercado europeo si el escaneo en el dispositivo cliente se vuelve obligatorio. Como el texto actual del Consejo no impone dicha obligación, Signal permanece, por ahora, en el mercado.

¿Qué dice el Tribunal Constitucional Federal sobre la vigilancia de la comunicación cifrada?

La sentencia «Trojaner II», emitida en junio de 2025, declara inconstitucionales partes de la interceptación de comunicaciones en origen. La vigilancia masiva generalizada fracasaría aún más claramente ante ese estándar, pues afecta tanto al secreto de las telecomunicaciones como al derecho fundamental informático.

¿Qué implica el control de chats para las empresas?

Si se imponen órdenes obligatorias de detección, todas las plataformas cifradas (Teams, Slack, Signal) deberían implementar el escaneo en el dispositivo cliente. Los falsos positivos podrían enviar datos confidenciales empresariales a las autoridades sin conocimiento ni consentimiento de la empresa.

¿Qué es el escaneo en el dispositivo cliente?

Los mensajes se analizan directamente en el terminal antes de ser cifrados. El propio mecanismo de escaneo se convierte así en un blanco de ataque. 502 criptógrafos han advertido que esto socava la seguridad de todos los usuarios.

¿Existen alternativas a Signal en Suiza?

Wire y Threema son proveedores suizos con cifrado de extremo a extremo. Matrix/Element es descentralizado y de código abierto. Los tres estarían menos expuestos directamente a una obligación de escaneo de la UE que los proveedores con sede en Estados Unidos.

El aumento del uso de proxies en Europa muestra que empresas y usuarios no esperan a que la regulación avance. Según Telecom Reseller, el uso de proxies SOCKS5 en Europa creció casi un 1.770 % – un indicador claro de que ya se están tomando medidas preventivas. La pregunta es si la UE logrará imponer una regulación que será técnicamente eludida y constitucionalmente impugnable, o si respetará el compromiso alcanzado por el Consejo: evaluación de riesgos en lugar de vigilancia masiva, prevención en lugar de puertas traseras.

Fuente de imagen: Pexels / Dan Nelson (px:4489171)

Hier schreibt Tobias Massow für Sie

Mehr Artikel vom Autor Tobias Massow