¿El fin de la privacidad? Puertas traseras, la Online Safety Act y la respuesta de los ecosistemas soberanos

Wed, 10 Jun 2026 00:00:00 +0000

Londres se ha convertido en el epicentro de una batalla mundial por el futuro de la privacidad digital. Con la adopción de la Online Safety Act 2023 (OSA) y las recientes propuestas de revisión de la Investigatory Powers Act (IPA) — apodada la “Carta de los espías” por sus detractores —, el gobierno británico se arroga el derecho de imponer obligaciones de vigilancia en el corazón mismo de las comunicaciones privadas. El punto de ruptura es el poder conferido al regulador OFCOM para exigir que las plataformas desplieguen “tecnología acreditada” para detectar contenidos de abuso sexual infantil (CSEA) o terrorismo, incluso dentro de las comunicaciones cifradas de extremo a extremo.

Para las grandes plataformas digitales, el mensaje de Westminster es inequívoco: o facilitan el acceso estatal a sus infraestructuras, o se exponen a multas de hasta el 10 % de sus ingresos mundiales. La respuesta fue inmediata: servicios como Signal y WhatsApp amenazaron públicamente con retirarse del mercado británico, negándose a comprometer la seguridad de sus usuarios para satisfacer a una sola jurisdicción. El argumento técnico es difícilmente cuestionable: no existe una llave maestra reservada únicamente para los actores legítimos. Una puerta abierta para las fuerzas del orden es, por diseño, una puerta abierta para los ciberdelincuentes y los servicios de inteligencia extranjeros.

El modelo de negocio de las grandes plataformas: un obstáculo estructural para el Zero-Knowledge

La resistencia de las grandes plataformas a la adopción del cifrado de tipo Zero-Knowledge no se explica por una incapacidad técnica, sino por una incompatibilidad económica fundamental. Empresas como Alphabet y Meta se basan en modelos de monetización fundamentados en la recopilación sistemática de datos de comportamiento. Este modelo es, además, reconocido implícitamente por la Ley de Mercados Digitales (DMA) de la Unión Europea, que califica a estos “guardianes de acceso” (gatekeepers) como entidades cuya posición dominante se alimenta precisamente de la acumulación de datos a una escala sin parangón. Para estos actores, adoptar una arquitectura Zero-Knowledge equivaldría a privar a sus sistemas publicitarios de la identificación continua de los usuarios que constituye su combustible. Por lo tanto, no se trata de una opción técnica, sino de una compensación entre la privacidad de los usuarios y la viabilidad de su modelo de negocio.

El riesgo estratégico: la amenaza “Harvest Now, Decrypt Later”

Más allá del debate sobre la privacidad, el debilitamiento del cifrado plantea una cuestión de seguridad nacional de un alcance completamente diferente. La estrategia conocida como Harvest Now, Decrypt Later (HNDL) consiste, para los adversarios estatales, en interceptar y almacenar hoy volúmenes masivos de comunicaciones cifradas, a la espera de futuras capacidades de descifrado cuántico. Al debilitar los estándares de cifrado actuales, el marco legislativo británico facilita objetivamente este tipo de operaciones contra las comunicaciones gubernamentales, diplomáticas o industriales.

Es precisamente en este contexto de déficit de confianza que ecosistemas como el de Arpokrat adquieren relevancia operativa. Al operar bajo el régimen de la Ley Federal de Protección de Datos (FADP) suiza, con una arquitectura que no recopila ningún identificador civil, Arpokrat ofrece una ruptura técnica con las infraestructuras sujetas a la jurisdicción británica — garantizando que el sistema permanezca inaudible ante los mandatos previstos por la OSA.

El conflicto de normas: OSA e IPA contra el derecho europeo

El análisis jurídico de las nuevas prerrogativas estatales británicas revela un choque directo con los fundamentos del derecho europeo en materia de protección de datos y confidencialidad de las comunicaciones.

OSA contra la prohibición de la vigilancia generalizada

El artículo 121 de la OSA introduce la posibilidad de que OFCOM emita órdenes que obliguen a las plataformas a implementar un escaneo del lado del cliente (client-side scanning). Esta medida contraviene frontalmente el principio, derivado del derecho europeo e incluido en la jurisprudencia del TJUE, que prohíbe las obligaciones de vigilancia general. Al imponer una “vulnerabilidad por diseño”, también sitúa a las empresas en una situación de doble vínculo: al debilitar su seguridad para cumplir con un mandato estatal, incumplen su obligación de garantizar un nivel de seguridad adecuado al tratamiento, consagrada por el artículo 32 del RGPD.

La Directiva ePrivacy y la confidencialidad de las comunicaciones

El escaneo de mensajes privados entra en contradicción directa con el artículo 5, apartado 1, de la Directiva 2002/58/CE (ePrivacy), que obliga a los Estados miembros a garantizar la confidencialidad de las comunicaciones electrónicas y prohíbe cualquier forma de interceptación o vigilancia sin el consentimiento explícito de los usuarios afectados.

Los Technical Capability Notices y el bloqueo de actualizaciones de seguridad

Bajo el régimen de la IPA 2016, el gobierno británico pretende ahora utilizar los Technical Capability Notices (TCN) para oponerse a las actualizaciones de seguridad antes de su implementación. Este mecanismo crea un conflicto irresoluble con la obligación, establecida por el artículo 32 del RGPD, de garantizar de forma continua la seguridad de los sistemas de tratamiento — una obligación que exige precisamente la capacidad de aplicar parches sin demora ni interferencias externas.

Riesgos de cumplimiento para las empresas que operan en Europa

Las revisiones de la IPA tienen como objetivo obligar a las empresas a notificar al gobierno británico de cualquier modificación técnica que afecte a la seguridad, antes de su implementación, otorgándole así un derecho de veto sobre la evolución de los productos. Esta injerencia crea una considerable inseguridad jurídica para los proveedores que operan en el mercado europeo: la adecuación británica al derecho europeo — ya frágil — podría ponerse en duda si el Reino Unido ya no garantiza una protección sustancialmente equivalente a la del RGPD. Por lo tanto, las transferencias de datos al Reino Unido bajo este nuevo marco probablemente expondrían a las empresas a sanciones en virtud del RGPD.

La defensa por la imposibilidad técnica: el principio Zero-Knowledge como escudo jurídico

La jurisprudencia internacional, consolidada por las sentencias Schrems I y Schrems II del TJUE, ha establecido un principio determinante: la única salvaguarda sólida contra una vigilancia desproporcionada es la imposibilidad técnica de acceder a ella. Las arquitecturas Zero-Knowledge aplican este principio en tres capas de protección:

Ausencia de custodia: al no poseer la plataforma las claves de descifrado, cualquier orden de escaneo de mensajes es técnicamente inoperante;
Soberanía del sistema operativo: el control de ArpokratOS elimina la telemetría que alimenta la recopilación de inteligencia a nivel del dispositivo;
Anclaje jurisdiccional suizo: al alojar su infraestructura en Suiza, Arpokrat opera bajo un régimen legal que exige solicitudes de asistencia judicial internacional individualizadas y motivadas, neutralizando la ejecución automatizada de los escaneos masivos previstos por la OSA.

Conclusión

Las disposiciones de la OSA y las revisiones de la IPA no constituyen únicamente una amenaza para la privacidad de las personas: representan una ruptura de la seguridad jurídica para todos los datos europeos que transitan por infraestructuras sujetas a la jurisdicción británica. Al legitimar el debilitamiento del cifrado en nombre de la seguridad pública, Londres expone paradójicamente a sus aliados y socios comerciales a riesgos de espionaje industrial y estatal que las arquitecturas Zero-Knowledge están diseñadas precisamente para prevenir.

La integridad de las comunicaciones profesionales e institucionales exige ahora una respuesta estructural: la migración hacia ecosistemas descentralizados que garanticen la soberanía digital, desde el nivel del código hasta el anclaje jurisdiccional.

Investigatory Powers Act on Arpokrat