dijous, de juliol 09, 2026

 Client-side scanning es la parte más polémica de Chat Control 2.0. Te explico cómo funcionaría y qué proponen los expertos para no cargarse el cifrado.

1. ¿Cómo funcionaría técnicamente el “client-side scanning”?

La idea es escanear el contenido antes de que se cifre y salga de tu móvil. Así el proveedor puede decir “yo no rompo el cifrado de extremo a extremo porque escaneo antes”.

Flujo paso a paso:

  1. Vas a enviar algo: Escribes un mensaje, adjuntas la foto de tu hijo en la piscina, la ecografía o el PDF al abogado.
  2. Escaneo local: Una librería de software instalada en WhatsApp, iMessage o tu app de correo analiza el contenido en tu propio móvil. Hay 2 técnicas principales:
    • Hash matching: La foto se convierte en un “hash perceptivo” tipo PhotoDNA. Ese hash se compara con una base de datos de hashes de CSAM conocido. Si coincide, salta la alerta. Es lo que usa Apple en iCloud.
    • IA clasificadora: Un modelo de machine learning corre en tu móvil buscando “contenido nuevo/sospechoso” que no esté en la base de datos. Esto detecta material nuevo, pero tiene muchos más falsos positivos.
  3. Decisión automática: Si el sistema cree que es CSAM, puede hacer 3 cosas según la implementación:
    • Bloquear el envío y avisar.
    • Enviarlo cifrado pero con una “marca” para que el servidor lo revise.
    • Enviar un reporte al “EU Centre on Child Sexual Abuse” con la imagen + metadatos.
  4. Revisión humana: El reporte llega a moderadores que deciden si avisar a la policía.

Los 3 problemas técnicos clave:

Problema

Por qué importa

Rompe el modelo de amenaza del cifrado

El cifrado E2E promete que solo tú y el receptor leéis el mensaje. Con client-side scanning, tu propio móvil se vuelve “chivato”. Como dice Signal: “anula el propósito mismo del cifrado”.

Falsos positivos a escala

La IA se equivoca. Un dibujo anatómico, un meme, la foto de la piscina o una imagen médica pueden marcarse como CSAM. Una vez marcada, tu conversación privada entra en un circuito de revisión del que no controlas la salida.

Es una puerta trasera

Si el móvil puede escanear fotos “malas”, mañana un gobierno puede pedir que escanee fotos de protestas, documentos de periodistas o memes políticos. Criptógrafos lo llaman “vulnerabilidad masiva”. Es imposible hacer un sistema que solo detecte “lo malo” y que nadie más pueda abusar.

2. Alternativas que proponen expertos sin romper el cifrado

El consenso entre EFF, investigadores de Princeton, Max Planck y hasta Europol es: “Atacar en los metadatos y en el contexto, no en el contenido privado”.

Alternativas concretas:

  1. Metadata + Pattern analysis

    • Los servidores sí pueden ver metadatos: quién habla con quién, a qué hora, con qué frecuencia, tamaño de archivos.
    • Comportamientos de grooming siguen patrones: adultos que contactan decenas de cuentas nuevas de menores en poco tiempo. Eso se detecta sin leer mensajes.
    • Meta ya usa esto en Messenger y reportó 20M de casos a NCMEC en 2023.
  2. User reporting + PhotoDNA en lo público

    • El 90% del CSAM detectado hoy viene de gente que lo reporta o de escaneo en plataformas públicas: Facebook, foros, nubes sin cifrar.
    • Reforzar los canales de denuncia y el escaneo de lo que ya es público da mucho resultado sin tocar chats privados.
  3. Device-based protections opcionales para menores

    • Apple implementó “Communication Safety” en iOS: si un menor va a enviar/recibir un desnudo, el móvil le avisa y ofrece ayuda. Todo local, opt-in de los padres, sin reportes automáticos a terceros.
    • Es prevención, no vigilancia.
  4. Hash matching solo al subir a la nube

    • Escanear cuando el usuario decide subir fotos a iCloud/Google Photos, no al enviarlas por chat. Ahí el usuario ya renuncia a E2E, y se compara con hashes de CSAM conocido. Casi sin falsos positivos.
  5. Más recursos para investigación policial tradicional

    • El Max Planck Institute publicó que “más monitorización no es más protección”. Piden invertir en las unidades policiales que investigan los reportes que ya existen, en vez de generar millones de falsos positivos nuevos.

Resumen en 1 frase: Client-side scanning mete el Gran Hermano dentro de tu móvil para escanear antes de cifrar; las alternativas vigilan alrededor del cifrado usando metadatos, reportes y prevención, manteniendo tus mensajes ilegibles para todos menos el receptor.

El propio texto del Consejo de la UE ya añadió: “Nothing in this Regulation should be understood as imposing any detection obligations on providers”, justo por la presión técnica contra el escaneo.