BRIEFING DE SEGURIDAD · 15.07.2026 DEENFRES

Estrategia y Gobernanza

Control de chats de la UE 2026: Por qué las puertas traseras de cifrado también afectan a las empresas

Por Tobias Massow · 27 de marzo de 2026 · 15 min de lectura

6 minutos de lectura

502 criptógrafos advierten, Signal amenaza con el retiro del mercado europeo, el Tribunal Constitucional Federal declara partes de la ley de criptografía inconstitucional y la UE continúa negociando sobre la control de mensajes. La ordenanza CSAR se encuentra en el trilog, la excepción de ePrivacy para el escaneo voluntario expira el 3 de abril de 2026. ¿Qué significa esto para las empresas que se encargan de la comunicación cifrada?

Lo más importante en resumen

  • Concilio sin obligación de escaneo: El 26 de noviembre de 2025, el Concilio de la UE aprobará una posición sin órdenes de detección obligatorias. En su lugar, se requerirá una evaluación de riesgos y un escaneo voluntario. Alemania lideró la minoría en contra (comunicado de prensa del Concilio de la UE).
  • Trilog en curso: Segundo trilog el 26 de febrero de 2026, tercero el 4 de mayo, cuarto el 29 de junio. La excepción de ePrivacy para el escaneo voluntario expira el 3 de abril de 2026.
  • Sentencia del BVerfG: En junio de 2025, el Tribunal Constitucional Federal declarará partes de la ley de criptografía inconstitucional. La vigilancia masiva de comunicaciones cifradas sin motivo es probable que fallará en este nivel.
  • Amenaza de Signal: La presidenta de Signal, Meredith Whittaker, anunció que la empresa retirará del mercado europeo si el escaneo de cliente se convierte en obligatorio (verificado por publicación en X, mayo de 2024).
  • 502 criptógrafos con credenciales en criptografía y seguridad informática califican el escaneo de cliente como «tecnicamente no viable» y advierten sobre vulnerabilidades para hackers y estados hostiles.

El uso de proxies SOCKS5 en Europa ha aumentado casi un 1.770 por ciento, según Telecom Reseller, un claro indicador de que los usuarios y empresas avanzadas ya están preparando. Cualquier empresa que planea comunicaciones empresariales debe considerar la posibilidad de que los mensajeros cifrados se vean afectados por la presión regulatoria. Esto no solo afecta a las aplicaciones de mensajería, sino también a los servicios de correo electrónico cifrado, almacenamiento en la nube con cifrado Zero-Knowledge y proveedores de VPN. La ordenanza CSAR define «servicios de alojamiento» y «servicios de comunicación interpersonales» de manera amplia.

Un aspecto que muchas empresas pasan por alto: la cuestión de la responsabilidad. Si un proveedor de plataforma implementa escaneo después de la entrada en vigor de una órdenanza de detección y, al hacerlo, revela datos confidenciales de la empresa a terceros gracias a un error de software o una actualización comprometida, ¿quién es responsable? El proveedor de la plataforma que implementó el mecanismo de escaneo o el legislador que lo impuso? Esta pregunta es legalmente incierta y solo se responderá después de un primer incidente, lo que será tarde para las empresas afectadas.

Este artículo resume lo que se ha decidido, lo que todavía está pendiente y lo que las empresas alemanas deben preparar.

Lo que el consejo ha decidido – y lo que no

La discusión se presenta a menudo como un debate entre la protección infantil y la privacidad personal. Para los equipos de seguridad cibernética, es más concreto: cualquier debilidad legal en el cifrado es una debilidad para todos, incluyendo los atacantes.

Tras tres años de negociaciones, el Consejo de la UE aprobará una posición común sobre la regulación CSAR (Child Sexual Abuse Regulation) el 26 de noviembre de 2025. El núcleo del acuerdo es: No hay órdenes de detección obligatorias. Los proveedores de plataformas deben realizar evaluaciones de riesgos y pueden escanear voluntariamente, pero nadie será obligado por ley a examinar mensajes antes de su cifrado.

Alemania, junto con una minoría bloqueadora, había detenido un borrador anterior que incluía escaneos obligatorios. La ministra de Justicia, Stefanie Hubig, formuló la posición del gobierno con claridad: el control de chats sin motivo es un tabú en un estado de derecho. La Comisión de Protección de Datos, bajo la presidencia de la Autoridad de Protección de Datos de Berlín, Meike Kamp, pidió explícitamente al gobierno federal alemano que rechazara el control de chats.

502
Criptógrafos y investigadores en seguridad firmaron un carta abierta en contra del escaneo en el lado del cliente
Fuente: CyberInsider, 2025

Sin embargo, el acuerdo incluye una cláusula de revisión: la Comisión de la UE debe revisar en tres años si las obligaciones de detección son «necesarias y factibles». Los expertos en privacidad y la Electronic Frontier Foundation advierten sobre la expansión gradual de la misión – la puerta trasera para el escaneo obligatorio permanece abierta en el texto del ley.

El trilogio entre el Consejo, el Parlamento y la Comisión comenzó en diciembre de 2025. La segunda reunión se llevó a cabo el 26 de febrero y la tercera reunión está programada para el 4 de mayo. Una línea clave: la excepción de ePrivacy, que permitió actualmente el escaneo voluntario legalmente, expira el 3 de abril de 2026. Sin una extensión o nueva ley, se pierde la base legal.

¿Por qué los backdoors no funcionan técnicamente?

Client-Side Scanning significa que las mensajes se examinan en el dispositivo del usuario antes de ser cifradas. Esto parece un acuerdo, ya que la cifrado se mantiene intacto, pero el escaneo se realiza antes. En la práctica, es lo contrario: el código de escaneo en cada dispositivo se convierte en un objetivo atractivo para los ataques. Cualquier mecanismo que proporcione acceso a los autores de la ley también proporcionará acceso a los hackers, a los fabricantes de spyware y a los servicios secretos hostiles.

502 científicos con credenciales en criptografía y ingeniería de seguridad han emitido una advertencia en un correo electrónico abierto: estas medidas no son técnicamente posibles y subirían la seguridad y la privacidad de todos los ciudadanos europeos. Los firmantes incluyen Cas Cremers (CISPA Helmholtz Center), Bart Preneel (KU Leuven), Carmela Troncoso (EPFL) y René Mayrhofer (JKU Linz).

El argumento se reduce a un solo punto: Un backdoor que solo esté accesible para «buenos» actores no existe. Cualquier mecanismo que proporcione acceso a los autores de la ley también proporcionará acceso a los hackers, a los fabricantes de spyware y a los servicios secretos hostiles. La historia lo demuestra: el Clipper Chip de la NSA de los años 1990, un chip de cifrado con un acceso estatal incorporado, fracasó en 1994 cuando Matt Blaze de AT&T Bell Labs demostró que el mecanismo de depósito era manipulable.

La misma discusión está ocurriendo en Canadá. El Bill C-8, casi idéntico en contenido al Bill C-26, que falló, autoriza al gobierno a pedir a los proveedores de telecomunicaciones que reduzcan los estándares de cifrado. El término «vulnerabilidad sistémica» no está definido en el texto del ley – una brecha que es intencional o negligente, pero en ambos casos peligrosa. El Citizen Lab de la Universidad de Toronto ha emitido una declaración formal sobre los resultados para la seguridad cibernética. Este patrón es global: los gobiernos intentan forzar backdoors en el cifrado, los criptógrafos advierten, los tribunales lo frenan – y el presión comienza desde la cima.

Para los CISOs y los directores de TI en empresas de Alemania, Austria y Suiza, la consecuencia es práctica: la control de chat no está decidida, pero tampoco está del todo descartada. La cláusula de revisión en el texto del consejo mantiene abierta la opción para un escaneo obligatorio. Quien planea hoy su infraestructura de comunicaciones debe calcular esta incertidumbre en su arquitectura – con una arquitectura flexible suficientemente para cambiar a otros proveedores o sistemas descentralizados si fuera necesario. Esto no es una alarmada. Es gestión de riesgos.

«Una vigilancia masiva sin motivo, que pone a millones de ciudadanos de la UE bajo sospecha general, es desproporcionada.»
– Meike Kamp, Datenschutzbeauftragte de Berlín / Presidenta del DSK (BfDI, octubre de 2025)

BVerfG Trojaner II: La frontera constitucional

El 24 de junio de 2025, el Tribunal Federal de Constitución (BVerfG) declaró partes de la vigilancia de telecomunicaciones de origen (Quellen-TKÜ) como ilegales y violatorias de la constitución con el decisión «Trojaner II» (1 BvR 180/23). El tribunal estableció claras fronteras para los intrusos estatales en las comunicaciones cifradas.

Las ideas clave: la Quellen-TKÜ no puede ser utilizada para delitos con una pena máxima de menos de tres años. El acceso solo está permitido a la comunicación que también habría sido capturada mediante una vigilancia de telecomunicaciones tradicional (principio de sincronización). Y: se protegen tanto el derecho a la privacidad de las comunicaciones (Artículo 10 GG) como el derecho de garantía de sistemas informáticos (IT-Grundrecht).

Esta decisión es relevante para la discusión sobre la control de chat. Si el BVerfG ya considera la Quellen-TKÜ basada en motivos para delitos menores como desproporcionada, entonces una vigilancia masiva sin motivo de todas las mensajes cifrados estaría claramente fuera de la ley. El IT-Grundrecht del juicio de búsqueda en línea de 2008 protege la integridad de los dispositivos finales – el Client-Side Scanning viola exactamente esta integridad.

Para la economía alemana, la decisión tiene un impacto directo. Las empresas que utilizan comunicaciones cifradas de punto a punto – lo que representa el 58 por ciento de todas las empresas con más de 20 empleados, según Bitkom – operan sobre una base legalmente protegida. Una directiva de la UE que obligue a Client-Side Scanning probablemente sería inmediatamente impugnada en Alemania. La pregunta no es si, sino cuándo, un tal ley llegará al BVerfG o al EuGH.

¿Qué significa esto para el negocio?

Las consecuencias no son teóricas. Si las órdenes de detección se vuelvan obligatorias en una versión posterior de la regulación, afectarán a todas las plataformas cifradas: Microsoft Teams, Slack, Signal, WhatsApp – y cualquier solución de correo electrónico con cifrado de punto a punto.

Para los equipos de cumplimiento, hay tres riesgos concretos. Primero: la comunicación interna – negociaciones de contrato, procesos de M&A, archivos de personal, código fuente – se analizará automáticamente, con una tasa de errores probada en la detección. Los falsos positivos podrían enviar datos confidenciales de la empresa a las autoridades sin el conocimiento de la empresa.

Segundo: las diferentes exigencias en la UE y EE. UU. hacen que una arquitectura de cifrado global uniforme sea imposible. Las empresas tendrían que operar canales de comunicación separados para contextos UE y no UE.

Tercero: El pérdida de confianza. La presidenta de Signal, Meredith Whittaker, ha anunciado que abandonaría el mercado de la UE si el escaneo en el lado del cliente se convierte en obligatorio. Para las empresas que utilizan Signal como canal de comunicación seguro – y hay muchas, especialmente en el sector de seguridad – esto sería una pérdida directa de infraestructura.

3 de abril
Fin de la excepción de ePrivacy
4 de mayo
Tercer trilogio planeado
29 de junio
Cuarto trilogio (probablemente último)
Fuentes: Factually.co, EDRi, Consejo de la UE 2025-2026

¿Qué deben hacer los equipos de seguridad de TI ahora?

Primero: Documentar la infraestructura de mensajería. ¿Qué canales cifrados utiliza la empresa? Signal, WhatsApp, Teams? ¿Quién se comunica por dónde? Esta evaluación es la base para cualquier adaptación que sea necesaria.

Segundo: Revisar la política de cifrado. ¿Qué comunicación se realiza de punto a punto cifrada, y cuál solo transporte cifrada? Si la orden de detección se convierte en obligatoria, la comunicación de punto a punto cifrada sería afectada, no la transporte cifrada. El entendimiento de la propia arquitectura es crucial.

Tercero: Seguir activamente el desarrollo regulatorio. Las negociaciones del trilogio se extenderán hasta al menos junio de 2026. Cualquier empresa con un departamento de cumplimiento debe tener en su monitoreo la colección de documentos de EDRi y las comunicaciones oficiales del Consejo.

Cuarto: Evaluar canales de comunicación alternativos. Si Signal dejara el mercado de la UE en efecto, Teams necesitará una alternativa con un nivel de seguridad comparable. Wire (proveedor suizo), Threema (también Suiza) y Matrix/Element ( descentralizado, de código abierto) son candidatos – todos con su propio perfil de cumplimiento.

La debate sobre la control de chat muestra un patrón fundamental: la regulación que debilita el cifrado afecta a todos, no solo a la mera meta. El TGUE ha marcado las fronteras constitucionales con el dictamen Trojaner-II. Los 502 criptógrafos han marcado las fronteras técnicas. Si la política respetará estas fronteras, se decidirá en los próximos meses.

Uno de los aspectos es inquietante: el cifrado no es un lujo y no es un obstáculo para la persecución penal. Es la base de la comunicación comercial confidencial, del protección de denunciantes, del suministro de fuentes periodísticas y del confianza en la infraestructura digital. Cualquier intento de debilitarlo debilita el sistema completo – lo que los 502 criptógrafos han confirmado, lo que el TGUE ha confirmado y lo que la historia del Clipper Chip demuestra. La pregunta no es si el cifrado debe protegerse. La pregunta es si Europa lo entiende antes de ser demasiado tarde.

Preguntas frecuentes

Cada pregunta está bloqueada. Un toque desbloquea la respuesta.

¿Qué es la control de chat de la UE?

La reglamentación CSAR (Child Sexual Abuse Regulation) tiene como objetivo obligar a los proveedores de plataformas a examinar sus servicios para contenido ilegal. Los críticos advierten sobre la posibilidad de una vigilancia masiva de la comunicación cifrada. El texto del actual plan no contiene órdenes de detección obligatorias, pero sí una cláusula de revisión.

¿La control de chat ha sido ya decidida?

No. El comité ha aprobado una posición en noviembre de 2025, y se ha estado llevando a cabo una negociación con el parlamento y la comisión desde diciembre de 2025. Se espera que se lleve a cabo una acuerdo final al menos en verano de 2026.

¿Signal se retiraría de la UE?

Meredith Whittaker, la presidenta de Signal, ha anunciado que la empresa se retiraría del mercado de la UE si la escaneo en el cliente se convierte en obligatoria. Dado que el texto actual del plan no contiene una obligación de escaneo, Signal ha permanecido en el mercado hasta el momento.

¿Qué dice el BVerfG sobre la vigilancia de la comunicación cifrada?

El fallo del Trojaner-II del junio de 2025 declara partes de la vigilancia de la comunicación de origen (TKÜ) como violatorias de la constitución. Una vigilancia masiva sin motivo es probable que fracase en este nivel, ya que afecta tanto al derecho a la privacidad de las comunicaciones como al derecho informático.

¿Qué significa la control de chat para las empresas?

Si se implementan órdenes de detección obligatorias, todas las plataformas cifradas (Teams, Slack, Signal) deben implementar un escaneo en el cliente. Los falsos positivos podrían enviar datos confidenciales de la empresa a las autoridades sin el conocimiento de la empresa.

¿Qué es el escaneo en el cliente?

Los mensajes se examinan en el dispositivo del usuario antes de ser cifrados. El mismo mecanismo de escaneo se convierte en un objetivo potencial de ataque. 502 criptógrafos han advertido que esto puede poner en peligro la seguridad de todos los usuarios.

¿Hay alternativas a Signal en Suiza?

Wire y Threema son proveedores suizos con cifrado de punto a punto. Matrix/Element es descentralizado y de código abierto. Todos tres estarían menos directamente afectados por una obligación de escaneo de la UE que los proveedores basados en los Estados Unidos.

La utilización de proxies en Europa muestra que las empresas y los usuarios no esperan a la regulación. Según un reseller de telecomunicaciones, la utilización de proxies SOCKS5 en Europa aumentó casi un 1.770%. Esto es un indicador de que se están tomando medidas proactivas. La pregunta es si la UE puede implementar una regulación que pueda ser evadida técnicamente y atacada legalmente, o si respetará el compromiso del texto del comité: evaluación de riesgos en lugar de vigilancia masiva, prevención en lugar de backdoors.

Selección de la redacción

RecomendadoCopilot como riesgo de seguridad: cuando el asistente de IA filtra secretos empresarialesRecomendadoAtaque a la cadena de suministro de Trivy: Cuando el escáner de seguridad se convierte en el arma

Lectura adicional

Una revista de Evernine Media GmbH