La Unión Europea está preparando una legislación que obligaría a las empresas tecnológicas a implementar puertas traseras (backdoors) en las aplicaciones de mensajería cifradas de extremo a extremo y a extender los requisitos de retención obligatoria de datos a los servicios enfocados en la privacidad en los 27 estados miembros. La iniciativa, denominada ProtectEU, ha sido calificada por expertos en derechos digitales como "Chat Control 2.0" y podría ilegalizar de facto los servicios sin registros (no-log) en Europa ya en 2026.
¿Qué es ProtectEU?
ProtectEU es la nueva Estrategia de Seguridad Interior de la UE, adoptada formalmente por la Comisión Europea el 1 de abril de 2025 (COM(2025) 148 final). En la superficie, se presenta como una respuesta a las crecientes amenazas terroristas, el crimen organizado y la guerra híbrida. Sin embargo, entre sus páginas se oculta un plan que, según los defensores de la privacidad, socava fundamentalmente la arquitectura de seguridad que protege a cientos de millones de europeos en internet.
La estrategia ordena a la Comisión desarrollar una Hoja de ruta tecnológica sobre el cifrado, un plan técnico para otorgar a las fuerzas del orden acceso a las comunicaciones cifradas sin requerir que los proveedores de servicios entreguen el texto en claro. Se espera que la hoja de ruta esté lista a finales de 2025, y se prevé un proyecto de ley para junio de 2026.
Dicha hoja de ruta se está elaborando en estrecha colaboración con el Grupo de Alto Nivel (HLG) sobre el Acceso a Datos para una Aplicación Efectiva de la Ley, un organismo intergubernamental que defiende desde hace tiempo el concepto de "acceso legal por diseño". Esto implica integrar mecanismos de acceso directamente en la arquitectura de las plataformas, en lugar de añadirlos a posteriori. Los críticos argumentan que esto es funcionalmente idéntico a una puerta trasera, independientemente de la terminología empleada.
La red de Derechos Digitales Europeos (EDRi) calificó el plan como "un paso más hacia un futuro digital distópico", advirtiendo que cualquier puerta trasera técnica construida para acceso policial será inevitablemente explotada por cibercriminales y servicios de inteligencia hostiles. ENISA, la propia agencia de ciberseguridad de la UE, ha advertido reiteradamente que debilitar el cifrado incrementa los riesgos en lugar de reducirlos.
Retención obligatoria de datos: la amenaza silenciosa
Junto a la hoja de ruta de cifrado, ProtectEU propone expandir el marco de retención de datos de la UE para cubrir explícitamente a los proveedores de servicios de comunicaciones cifradas, incluidos aquellos que actualmente operan bajo una estricta política de no registro. Bajo las propuestas actuales, los servicios que operan en Europa podrían estar obligados a registrar los metadatos de conexión: marcas de tiempo, conexiones de servidores y potencialmente las identidades de los suscriptores, reteniendo esa información para el acceso de las fuerzas del orden bajo demanda.
Para los usuarios europeos que confían en servicios privados precisamente porque no recopilan información, esto supondría un desafío de cumplimiento imposible. O los proveedores comienzan a registrar datos, destruyendo su promesa central de privacidad, o abandonan por completo el mercado de la UE. Varios proveedores importantes ya han señalado que preferirían la salida antes que el cumplimiento si estas medidas se convierten en ley.
Por qué los expertos lo llaman "Chat Control 2.0"
El apodo hace referencia al intento previo de la UE de exigir el escaneo en el lado del cliente de los mensajes cifrados, la denominada regulación Chat Control, que fue rechazada por los estados miembros en 2024 tras una intensa oposición de organizaciones de libertades civiles, investigadores de seguridad y empresas tecnológicas. Los críticos afirman que ProtectEU es simplemente Chat Control empaquetado con un lenguaje más suave y un calendario retrasado.
El problema criptográfico fundamental sigue siendo el mismo: no hay manera de construir una puerta trasera que solo puedan usar los buenos. Una debilidad matemática introducida para el acceso policial es igualmente accesible para la inteligencia rusa, los hackers estatales chinos y las bandas de ransomware. No es una preocupación teórica. La brecha de Salt Typhoon en la infraestructura estadounidense de interceptación legal de telecomunicaciones en 2024 demostró exactamente cómo los mecanismos de acceso se convierten en la entrada para actores estatales hostiles.
El panorama legislativo global
ProtectEU no surge en el vacío. Al otro lado del Atlántico, los legisladores estadounidenses debaten medidas similares de expansión de la vigilancia vinculadas a la renovación de la Sección 702 de la FISA. En el Reino Unido, la Investigatory Powers Act ya se ha utilizado para presionar a Apple con el fin de debilitar el cifrado de iCloud para los usuarios británicos. Los gobiernos democráticos parecen coordinar un esfuerzo para revertir los avances en privacidad de la última década.
La convergencia de estas iniciativas indica que la generación actual de tecnologías de privacidad (cifrado robusto por defecto en aplicaciones de mensajería, navegadores y servicios sin registros) se enfrenta a su mayor amenaza regulatoria desde que comenzó su adopción masiva hace diez años.
Cronograma y próximos pasos
- Abril de 2025: Adopción de la estrategia ProtectEU (COM(2025) 148 final)
- Finales de 2025: Presentación de la Hoja de ruta tecnológica sobre el cifrado por la Comisión
- Junio de 2026: Se espera el proyecto de ley sobre acceso al cifrado y retención de datos
- 2027+: Transposición potencial a la legislación nacional de los estados miembros de la UE
Organizaciones de derechos digitales como EDRi, Access Now y Privacy International ya coordinan la oposición antes de la propuesta legislativa de junio de 2026. Se espera que una coalición de empresas tecnológicas envíe comentarios formales durante el periodo de consulta de la Comisión, que comenzó en mayo de 2026.
Qué significa esto para la privacidad en Europa
Para los ciudadanos europeos, las consecuencias son graves. El cifrado de extremo a extremo en aplicaciones como Signal y WhatsApp garantiza actualmente que ni siquiera las empresas que operan los servicios puedan leer los mensajes. Las puertas traseras cambiarían eso: no solo para el acceso policial, sino para cualquiera que descubra o explote la vulnerabilidad. La misma lógica se aplica a las herramientas de navegación privada y los servicios no-log, que estarían obligados a almacenar registros de conexión que actualmente nunca crean.
Los requisitos de registro obligatorio eliminarían una de las últimas herramientas disponibles para el uso anónimo de internet en la UE, un recurso crucial no solo para usuarios conscientes de su privacidad, sino también para periodistas que protegen sus fuentes, activistas en entornos represivos e informantes que reportan corrupción corporativa o estatal.
Para los usuarios que priorizan su seguridad, es el momento de asegurarse de que las herramientas que emplean estén basadas en jurisdicciones fuera del alcance regulatorio de la UE. Una VPN no-log que funcione bajo una estricta política de privacidad y con sede fuera de la UE ofrece la protección más sólida frente a la retención obligatoria de datos que plantea ProtectEU.
