A principios de mayo de 2022, días antes de promover una de las propuestas de reglamento más polémicas de Bruselas en años, la comisaria de Interior de la Unión Europea (UE), Ylva Johansson, envió una carta a la organización estadounidense Thorn, fundada en 2012 por las estrellas de cine Demi Moore y Ashton Kutcher y especializada en desarrollar herramientas de inteligencia artificial para detectar imágenes de abusos sexuales contra menores en Internet.
El objetivo del reglamento propuesto por Johansson era evitar la difusión de este tipo de contenidos en las aplicaciones de mensajería.
“Hemos compartido muchos momentos en el camino hacia esta propuesta”, escribió la política sueca a Julie Cordua, directora de Thorn, de acuerdo con una copia de la carta a la que tuvo acceso la red de periodismo de investigación de los Balcanes BIRN.
En su carta, Johansson pedía a Cordua que siguiera haciendo campaña para conseguir la aprobación de la propuesta: “Ahora me dirijo a ti para que contribuyas a convertir esta iniciativa en un éxito”.
La propuesta de Johansson, que ya ha sido objeto de un acalorado debate, enfrenta una prueba importante este octubre, cuando se someterá a votación en la Comisión de Libertades Civiles del Parlamento Europeo. La normativa obligaría a plataformas digitales y portales de juegos online a detectar y notificar cualquier indicio de pornografía infantil (o CSAM, por las siglas en inglés de contenidos con abusos sexuales contra menores). Plataformas como Facebook, Telegram, Signal, Snapchat, TikTok y Clouds, entre otras, tendrían que buscar esos contenidos en sus sistemas y dentro de los chats privados de sus usuarios.
La ley introduciría una compleja arquitectura jurídica basada en herramientas de inteligencia artificial (IA) capaces de detectar imágenes, vídeos y conversaciones (el llamado ‘escaneado del lado del cliente’) que incluyan abusos sexuales contra menores o intentos de captación de niños.
Aunque ha sido bien recibida por varias organizaciones de protección a la infancia, la propuesta ha despertado la alarma entre defensores de la privacidad y especialistas en tecnología que alertan por un nuevo sistema de vigilancia masiva que pone en riesgo el sistema de encriptación de extremo a extremo (en la actualidad, la forma más segura de proteger a las comunicaciones digitales de miradas indiscretas).
Wojciech Wiewiorowski, máximo responsable de protección de datos en la UE, advirtió a Johansson sobre estos riesgos en 2020, cuando la comisaria le informó de sus planes. Entrevistado para este reportaje, Wiewiorowski dijo que la legislación supondría “cruzar un Rubicón” en lo que se refiere a la vigilancia masiva de los ciudadanos de la UE. Cambiaría “los fundamentos de Internet y de la comunicación digital tal y como los conocemos”, añadió.
Johansson no pestañeó. “Los defensores de la privacidad hacen mucho ruido”, dijo durante un discurso en noviembre de 2021. “Pero alguien tiene que hablar por los niños”.
A partir de decenas de entrevistas, de filtraciones de documentos, y de informes sobre las deliberaciones internas de la Comisión, la presente investigación ha trazado el mapa de los actores clave dentro de la financiación y organización de la campaña para hacer aprobar la propuesta de reglamento de Johansson, además de exponer los vínculos directos que hay entre estos actores, la comisaria Johansson, y los miembros de su equipo.
El compendio de la investigación deja al descubierto el cuestionable nivel de influencia que algunas partes interesadas ejercen en la elaboración de políticas de la UE. Entre esas partes hay empresas de IA y grupos de Defensa con un respaldo financiero importante.
Según Arda Gerkens, ex directora de la primera línea telefónica de Europa para denunciar abusos contra menores en internet, el reglamento propuesto está excesivamente “influenciado por empresas que se hacen pasar por ONG pero que actúan más bien como empresas tecnológicas”. “Grupos como Thorn lo apostarán todo a sacar adelante esta legislación, no solo porque consideren que es el camino a seguir para evitar el abuso sexual contra los niños, sino porque tienen un interés comercial”.
Según los críticos, se corre el riesgo de añadir nuevas vulnerabilidades si la normativa amenaza el sistema de encriptación. “¿Quién se beneficiará de esta legislación?”, se pregunta Gerkens. “Los niños, no”.
El papel de WeProtect Global Alliance
WeProtect Global Alliance es el resultado de la fusión en 2016 de dos iniciativas gubernamentales, una cofundada por Estados Unidos y la Comisión Europea, y la otra por el Reino Unido.
En abril de 2020, mientras ganaba impulso la propuesta de usar tecnología de escaneo del lado del cliente para detectar pornografía infantil, WeProtect dejaba de ser una entidad financiada por el gobierno británico para convertirse en una “fundación”, supuestamente independiente y registrada en un domicilio de Lisse, en la costa de Holanda sobre el Mar del Norte.
Entre los miembros hay directivos de grandes tecnológicas, poderosas agencias de seguridad, varias ONG, un montón de gobiernos, y Antonio Labrador Jiménez, uno de los más altos cargos en el gabinete de Johansson, donde es responsable del equipo de la Comisión contra la pornografía infantil.
“La UE no acepta que los niños no puedan ser protegidos y se conviertan en víctimas de políticas que anteponen otros valores o derechos antes que su protección, sean estos los que sean”, escribió Labrador Jiménez en un correo electrónico a sus colegas de la Comisión minutos después de que en mayo de 2023 se presentara la propuesta de reglamento. “[Espero] veros a muchos de vosotros en Bruselas durante la cumbre de WeProtect Global Alliance” el próximo mes, añadió.
Labrador Jiménez entró oficialmente en la Junta Directiva de WeProtect en julio de 2020, después de que la Comisión decidiera unirse y dotarla de financiación por ser “la organización central en la coordinación y racionalización de los esfuerzos globales y las mejoras legislativas” en la lucha contra la pornografía infantil. Sin embargo, los documentos públicos de WeProtect muestran a Labrador Jiménez participando de las reuniones de la junta de WeProtect desde diciembre de 2019.
Durante la elaboración de este reportaje, la Comisión comunicó que Labrador Jiménez “no recibe ningún tipo de compensación por su participación en el consejo de administración de WeProtect Global Alliance” y que “desempeña esta función como parte de sus obligaciones en la Comisión”.
Pero la posición de Labrador Jiménez en el consejo de administración de WeProtect abre interrogantes sobre la manera en que la Comisión usa su participación en la organización para promover la iniciativa legal de Johannson.
Cuando en julio de 2022 Labrador Jiménez informó a los otros miembros de la junta de WeProtect acerca de la propuesta de reglamento de Johannson, “la junta debatió la estrategia mediática que requeriría la legislación” (según las notas de la reunión).
Labrador Jiménez también ha sido fundamental en la redacción y promoción del reglamento de Johansson, la misma propuesta por la que WeProtect hace campaña activa con fondos de la UE. Junto a Labrador Jiménez, en el consejo se sientan Julie Cordua, de Thorn; autoridades de los gobiernos de EEUU y del Reino Unido [en Londres también se está tramitando ahora mismo una proposición de ley sobre seguridad en Internet]; la Interpol; y el coronel de los Emiratos Árabes Unidos, Dana Humaid Al Marzouqi, que participa en numerosos grupos de trabajo policiales internacionales y preside algunos de ellos.
Entre 2020 y 2023, la Dirección General de Johansson concedió casi un millón de euros a WeProtect para organizar la cumbre de junio de 2022 en Bruselas, dirigida a la lucha contra la pornografía infantil y a mejorar la colaboración entre las fuerzas del orden.
En WeProtect no respondieron directamente a preguntas sobre los acuerdos de financiación con la Comisión, ni hasta qué punto las tácticas que emplean para defender sus intereses están determinadas por los gobiernos y por otras partes interesadas que también son miembros de su consejo de administración.
En un comunicado, WeProtect indicó que la organización era dirigida por “un Consejo Global de Política en el que hay muchas partes interesadas; entre los miembros hay representantes de países, de organizaciones internacionales y de la sociedad civil, así como de la industria tecnológica”.
La financiación
Además de Labrador Jiménez, otro miembro de la junta de WeProtect es Douglas Griffiths, ex alto cargo del Departamento de Estado de EEUU y actual presidente de la Oak Foundation. Con sede en Ginebra, la Oak Foundation agrupa a organizaciones filantrópicas de todo el mundo que conceden subvenciones “para hacer del mundo un lugar más seguro, justo y sostenible para vivir”.
De acuerdo con las cuentas anuales que WeProtect presentó para el año 2021, la Oak Foundation otorgó a WeProtect “un apoyo generoso para comunicaciones estratégicas”.
Las cuentas anuales de la Oak Foundation, por su parte, reflejan un compromiso claro y de largo plazo en la ayuda a ONG que luchan contra el abuso infantil. La Oak Foundation también otorga financiación a la red formada por grupos de presión y organismos de la sociedad civil que apoyan el reglamento europeo propuesto por Johansson, muchos de los cuales han contribuido en la creación de una entidad paraguas: el Grupo Europeo para el Avance de las Leyes contra el Abuso Sexual Infantil (el ECLAG, por sus siglas en inglés).
El ECLAG, que abrió su página web pocas semanas después de que Johansson anunciara en mayo de 2022 su propuesta de reglamento, actúa como plataforma de coordinación para algunas de las organizaciones más activas en la implementación de leyes contra la pornografía infantil. Dentro de su comité directivo figuran Thorn y una serie de conocidas organizaciones de defensa de los derechos del niño, como ECPAT, Eurochild, Missing Children Europe, Internet Watch Foundation y Terre des Hommes.
Otro de los miembros es Brave Movement, nacida en abril de 2022 (un mes antes de que se anunciara la propuesta de reglamento europeo de Johansson) gracias a la aportación de 10,3 millones de dólares [unos 9,6 millones de euros] que Oak Foundation hizo a la ONG estadounidense contra la violencia sexual infantil Together for Girls. La Oak Foundation también ha concedido donaciones a Thorn: cinco millones de dólares en 2019 [unos 4,7 millones de euros].
En 2020, la Oak Foundation otorgó 250.000 dólares a ECPAT [unos 234.000 euros] para convencer a “los responsables políticos de que tengan en cuenta el interés de los niños a la hora de revisar la Ley de Servicios Digitales y el impacto del cifrado de extremo a extremo”; además de otros 100.000 dólares [unos 94.000 euros] para apoyar medidas que pongan fin al “abuso sexual infantil en Internet y la explotación de los niños en el espacio digital”.
Ese mismo año, la Oak Foundation autorizó una subvención de 990.000 dólares a Eurochild [unos 928.000 euros], otra alianza de ONG que defiende en Bruselas los derechos de la infancia.
En 2021, la Oak Foundation concedió a Thorn otros 250.000 dólares para mejorar su función coordinadora en Bruselas con el objetivo de garantizar “que cualquier instrumento y solución legislativa procedente de la UE se apoye en el actual ecosistema de organizaciones globales que trabajan para proteger a los niños en Internet”.
En 2022, la Oak Foundation concedió a ECPAT una financiación trianual de 2,79 millones de dólares [unos 2,62 millones de euros] “para garantizar que los derechos de la infancia estén en el centro de todos los procesos sobre política digital de la UE”. WeProtect Global Alliance recibió otros 2,33 millones de dólares [unos 2,18 millones de euros], también por tres años, “para unir a gobiernos, sector privado, sociedad civil y organizaciones internacionales en el desarrollo de políticas y soluciones que protejan a los niños contra la explotación y el abuso sexual en Internet”.
Consultada durante la elaboración de este reportaje, la Oak Foundation respondió que no “aboga por propuestas legislativas ni trabaja en el detalle de esas recomendaciones políticas”.
La Oak Foundation no respondió directamente a preguntas sobre las implicaciones que la proposición de ley de Johansson genera en el derecho a la intimidad. Un portavoz de la Oak Foundation dijo que apoyan a organizaciones que “abogan por nuevas políticas, con un interés específico en la UE, EEUU y el Reino Unido, donde existe la oportunidad de establecer un precedente para otros gobiernos”.
Campaña con víctimas
Los documentos internos de las campañas de Brave Movement dejan al descubierto una estrategia integral: cargar contra los críticos más destacados y hacer que se escuchen las voces de personas que fueron víctimas de abusos con el objetivo de recabar el apoyo que necesita la propuesta de reglamento de Johansson en las capitales europeas y en el más importante Parlamento Europeo.
Brave Movement ha disfrutado de un nivel considerable de acceso a Johansson. A finales de abril de 2022, recibió a la comisaria durante una “Cumbre de Acción Mundial de Supervivientes” organizada en Internet, un logro poco habitual en Bruselas para una organización que había sido creada apenas unas semanas antes.
Ese mismo año, un documento de estrategia interna de noviembre de 2022 despejaba todas las dudas sobre la función de Brave Movement como organización encargada de recabar apoyos para la propuesta de reglamento de Johansson. “El principal objetivo de la movilización de Brave Movement en torno a esta propuesta legislativa es que se apruebe y se aplique en toda la UE”, dice el documento. “Si se aprueba, esta legislación sentará un precedente positivo para otros países... a los que invitaremos a seguir adelante con legislaciones similares”.
En abril de 2023, Brave Movement organizó frente al Parlamento Europeo un “Día de Acción” para el que reunió a un grupo de personas que habían sufrido abusos sexuales en Internet cuando eran menores con el objetivo de “exigir a los líderes de la UE que sean valientes y actúen para proteger a millones de niños expuestos al riesgo de la violencia y el trauma”. Johansson participó en la sesión fotográfica de ese día.
Usar a personas que fueron víctimas de estos abusos es la clave de la estrategia de Brave Movement para ganarse el favor de eurodiputados influyentes. “Una vez que se establezca el grupo de trabajo Supervivientes UE y que tengamos claro cuáles son los supervivientes que se han movilizado, redactaremos una lista que emparejará a los supervivientes con los eurodiputados: 'dividiremos y conquistaremos' a los eurodiputados poniendo en primer lugar a los supervivientes de los países de origen de los eurodiputados”, dice la estrategia de campaña.
Algunos miembros del Parlamento Europeo consideran la táctica como moralmente cuestionable. No piensa así el eurodiputado conservador español Javier Zarzalejos. Como negociador principal del tema en el Parlamento Europeo, y de acuerdo con el documento de estrategia de Brave Movement, Zarzalejos ya ha pedido “una gran movilización de supervivientes en países clave como Alemania”.
Los vínculos de Brave Movement con la Dirección General de Interior y Migración son aún más estrechos: la jefa de campañas de Brave Movement para Europa, Jessica Airey, trabajó entre octubre de 2022 y febrero de 2023 en el departamento de comunicaciones de la Dirección General promoviendo la legislación de Johansson.
Según su perfil en LinkedIn, Airey trabajó “estrechamente con el equipo de políticas que desarrolló la legislación [sobre imágenes con pornografía infantil] en D.4 [donde trabaja Labrador Jiménez] y con socios como Thorn”. También “trabajó de manera horizontal con eurodiputados, con WeProtect Global Alliance y con EPCAT”.
Tras una consulta por la posibilidad de un conflicto de intereses (dentro de Brave Movement, Airey trabaja en el mismo expediente legislativo), la Comisión Europea respondió que Airey había trabajado en calidad de becaria, por lo que no era necesario ningún permiso formal. A pesar de eso, la Comisión sí dijo que “los becarios deben mantener una estricta confidencialidad sobre todos los conocimientos adquiridos durante la formación”. “Está estrictamente prohíbida la divulgación no autorizada de información o documentos que no sean públicos, y esta obligación se extiende más allá del periodo de capacitación”, respondieron.
“Orgullosos de las diversas alianzas que hemos establecido y del equipo de expertos que hemos contratado, de manera abierta, para alcanzar nuestros objetivos estratégicos”, dicen en Brave Movement, donde señalan que solo en 2022 recibieron en su línea telefónica para la seguridad en Internet un total de 32 millones de denuncias por contenidos con abusos sexuales a menores.
Brave Movement se ha valido de la ayuda de expertos. Su estrategia de campaña fue redactada con la participación de la consultora británica Future Advocacy; y fue la consultora Purpose (su rama europea la controla la francesa Capgemini SE) la que supuestamente coescribió el conjunto de medidas en su “caja de herramientas”, diseñada para convertirse en un “tambor de apoyo a una legislación integral para la protección de los niños” en la Unión Europea.
Purpose se ha especializado en el diseño de campañas para empresas globales y agencias de la ONU, valiéndose de “la movilización del público y de la narración de historias” para “cambiar las políticas y cambiar el relato en el debate público”.
Desde 2022, la Oak Foundation ha concedido subvenciones a Purpose por un valor de 1,9 millones de dólares [en torno a 1,8 millones de euros] para “contribuir a que Internet sea más seguro para los niños”.
Representantes de Purpose se reúnen periódicamente dese abril de 2022 con miembros de ECLAG (la red de grupos de presión y organizaciones de la sociedad civil que hacen campaña contra el abuso sexual infantil) para perfeccionar la estrategia de comunicación en Europa. Según los documentos a los que ha tenido acceso esta investigación, también se reunían con miembros del equipo de Johansson.
En enero de este año se celebró una reunión del 'Grupo de Trabajo BeBrave Europe' en la que participaron directivos de ECLAG, Purpose EU, Justice Initiative y el equipo de Labrador Jiménez dentro de la Dirección General
De acuerdo con sus propias notas de la reunión, la Comisión “recomendó a las organizaciones que cuando fueran a hablar con las partes interesadas en la negociación no olvidaran transmitir la urgencia y la necesidad de llegar a un acuerdo sobre la legislación este año”.
Esa coordinación en el mensaje produjo la difusión este año de un vídeo en redes sociales en el que aparecen Johansson, Zarzalejos y representantes de las organizaciones detrás del ECLAG promocionando una petición en favor de la propuesta de reglamento europeo.
Vulneración de derechos
Unos 200 kilómetros al norte de Bruselas, una luminosa oficina al borde del famoso barrio rojo de Ámsterdam es la primera línea en la batalla para identificar y erradicar la pornografía infantil de Europa.
Antes conocida como Agencia de Expertos sobre el Abuso Infantil Online (EOKM), la actual Offlimits opera la línea de atención telefónica más antigua de Europa para niños y adultos que quieren denunciar abusos, tanto si ocurren a puerta cerrada como si se ven en vídeos que circulan por internet.
Sus siete analistas tramitaron 144.000 denuncias solo en 2022, en un 60% relacionadas con contenidos ilegales. Los trabajadores de esta línea telefónica de denuncia envían solicitudes de retirada de contenidos a los proveedores de alojamiento web. Cuando el material se considera especialmente grave, también lo envían a la policía y a Interpol.
Como directora de Offlimits entre el año 2015 y septiembre de 2023, Arda Gerkens es una gran conocedora de la política europea en esta materia. Pero no ha tenido la misma suerte que organismos como Thorn para acceder a Johansson. “La invité a venir, pero nunca vino”, dijo. “La comisaria Johansson y su equipo visitaron Silicon Valley y a grandes empresas estadounidenses”, añadió Gerkens, que ha sido diputada del Partido Socialista en el parlamento neerlandés.
Según Gerkens, que ve “un interés comercial” en Thorn y en otros grupos similares, empresas que se presentan como ONG y que luego actúan como compañías tecnológicas han tenido influencia en la propuesta legislativa de Johansson.
En su opinión, la lucha contra el abuso infantil debe mejorar profundamente con un enfoque integral que aborde el bienestar, la educación y la necesidad de proteger la privacidad de los niños, junto con un “enfoque que integre a las múltiples partes dentro de Internet”. “La encriptación también es clave para proteger a los niños”, dijo. “Los depredadores piratean las cuentas en busca de imágenes”.
Su postura refleja algunas de las preocupaciones expresadas por los Países Bajos durante las actuales negociaciones para llegar a un texto de consenso en el Consejo de la UE. Entre ellas, la necesidad de un enfoque menos intrusivo que proteja el cifrado de las comunicaciones y se dirija exclusivamente contra el material que las autoridades y los grupos de vigilancia hayan identificado y designado como pornografía infantil.
“En los Países Bajos hay serias preocupaciones con la propuesta actual para la detección del acoso sexual a menores y de pornografía infantil, ya que la tecnología actual produce un número elevado de falsos positivos”, dijo en off the record un alto cargo del gobierno neerlandés. “La consiguiente vulneración de derechos fundamentales no es proporcionada”.
Vigilancia masiva
En junio de 2022, poco después de que Johansson presentara su propuesta de reglamento, varios representantes de Thorn se reunieron con Monika Maglione, integrante del gabinete de la comisaria. Según un informe interno de la reunión al que tuvo acceso esta investigación, Thorn quería saber cómo se irían abordando “los cuellos de botella en el proceso que va desde la evaluación de riesgos hasta la orden de detección”.
En la ley propuesta por Johansson las órdenes de detección juegan un papel crucial dentro del procedimiento porque determinan el número de personas a ser vigiladas y la frecuencia de esa vigilancia.
Según fuentes del Parlamento Europeo, el ponente de la propuesta Javier Zarzalejos ha defendido en reuniones técnicas la conveniencia de usar órdenes de detección que no se centren necesariamente en individuos o grupos de sospechosos, sino que estén diseñadas para permitir la exploración de contenidos sospechosos.
Para los expertos, sería una forma de abrir la puerta a la vigilancia generalizada de los ciudadanos de la UE, lo que también se conoce como vigilancia masiva.
“Ahora mismo el expediente está siendo debatido a puerta cerrada por los ponentes alternativos y de momento no estamos haciendo ningún comentario”, respondieron desde la oficina de Zarzalejos cuando se les pidió una aclaración.
En la reunión con Maglione, los representantes de Thorn expresaron su “voluntad de colaborar estrechamente con la COM [por Comisión Europea] y aportar su experiencia siempre que sea útil, especialmente en lo relacionado a la creación de la base de datos de indicadores que albergará el Centro de la UE”, así como de preparar “material de prensa sobre el abuso sexual infantil en Internet”.
En la propuesta de Johansson se crearía un Centro de la UE para evitar el abuso sexual infantil y luchar contra él, desempeñando una función clave en la asistencia a Estados miembros y empresas sobre la forma de aplicar la ley. El Centro de la UE serviría para revisar, aprobar y adquirir tecnologías de escaneado, que también ofrecería a pequeñas y medianas empresas.
Thorn es una de los desarrolladoras de este tipo de tecnologías de escaneado. De ahí que para la empresa tenga tanta importancia comercial el desempeño de una responsabilidad en la creación de la base de datos del Centro de la UE.
Según Meredith Whittaker, presidenta de Signal Foundation (la fundación estadounidense sin ánimo de lucro detrás de la aplicación de chat cifrado Signal), las empresas de IA que producen sistemas de escaneado se han dado cuenta del potencial que tiene el mercado y se están vendiendo a sí mismas como parachoques de responsabilidad y cámaras de compensación para las gigantes tecnológicas.
“Cuanto más logren que en el discurso público y entre los reguladores esto sea percibido como un gran problema, mayor será el incentivo de las grandes tecnológicas para externalizar en ellas la gestión del problema”, dijo Whittaker durante una entrevista para este reportaje.
En la práctica, dijo Whittaker, estas empresas de IA ofrecen a las empresas tecnológicas una “tarjeta que las exime de responsabilidad” con la lógica siguiente: “páguenos y nosotros nos ocuparemos de alojar los resúmenes criptográficos, de mantener el sistema de IA, haremos lo que sea para solucionar este problema mágicamente”.
“Sea cual sea su grado de adhesión, está muy claro que tienen su propio interés en hacer que la explotación infantil sea percibida como un problema que ocurre 'en Internet', para luego proponer soluciones técnicas rápidas (y rentables) como el remedio de algo que en realidad es un profundo problema social y cultural”, añadió.
“No creo que los gobiernos hayan comprendido lo caros y falibles que son estos sistemas, que no estamos ante un pago único”, dijo. “Teniendo en cuenta la escala de lo que se está proponiendo, nos enfrentamos a cientos de millones de dólares pagados de manera indefinida”.
Falta de aportes científicos
Johansson desmiente la idea de que su enfoque vaya a desencadenar algo nuevo o radical. El año pasado dijo ante los eurodiputados que era “totalmente falso afirmar que una nueva normativa traería nuevas posibilidades de detección que ahora mismo no existen”. Pero los expertos cuestionan los fundamentos científicos de su enfoque.
Según Matthew Daniel Green, criptógrafo y tecnólogo de seguridad en la Universidad John Hopkins, la elaboración de su reglamento sufría de una evidente escasez de aportaciones científicas. “En la primera evaluación de impacto de la Comisión Europea casi no hubo aportes científicos de fuera, y eso es algo realmente sorprendente, ya que Europa tiene una maravillosa infraestructura científica, con los mejores investigadores del mundo en criptografía y seguridad informática”, dijo.
Green advirtió de que la tecnología de escaneado basada en la IA atentaba contra el cifrado y podía exponer a las plataformas digitales a ataques maliciosos. “Al tocar los modelos de cifrado incorporados se introducen vulnerabilidades”, dijo. “La idea de que vamos a poder mantener conversaciones cifradas es totalmente incompatible con estos sistemas automatizados de escaneado, y está diseñado para que sea así”.
El gigante tecnológico estadounidense Apple propinó un revés a los que defienden la detección de contenidos de pornografía infantil con herramientas de IA cuando comunicó a finales de agosto que era imposible implantar el escaneado CSAM manteniendo al mismo tiempo la privacidad y seguridad de las comunicaciones digitales.
También en agosto las autoridades británicas admitieron en privado a las empresas tecnológicas que no había ninguna tecnología capaz de escanear mensajes con cifrado de extremo a extremo sin atentar contra la privacidad de los usuarios.
De acuerdo con una investigación publicada en mayo por Ana-Maria Cretu y Shubham Jain, académicos del Imperial College, los sistemas de escaneado del lado del cliente basados en IA pueden ser modificados discretamente para hacer reconocimientos faciales en los dispositivos sin que sus usuarios lo sepan.
La investigación advertía de más vulnerabilidades aún por determinar. “Una vez que se implanta esta tecnología en miles de millones de dispositivos de todo el mundo, ya no hay vuelta atrás”, dijeron.
Las fuerzas de seguridad ya están estudiando las posibilidades de la tecnología.
Monique Pariat, jefa de la Dirección General de Johansson, visitó Europol en julio de 2022 para hablar sobre las contribuciones que la agencia policial de la UE podía hacer en la lucha contra la pornografía infantil. Catherine de Bolle, directora ejecutiva de Europol, también estuvo presente en esa reunión.
Las autoridades de Europol plantearon la posibilidad de usar el Centro de la UE previsto en el reglamento para rastrear más contenidos y no solo pornografía infantil. “Hay otras áreas de investigación criminal que se beneficiarían de la detección”, dijeron a la Comisión. Según las actas de la reunión, un alto cargo de la Comisión “expresó su comprensión por los deseos adicionales” pero “señaló la necesidad de ser realistas en cuanto a lo que se podía esperar, teniendo en cuenta las muchas sensibilidades en torno a la propuesta”.
Según Ross Anderson, catedrático de Ingeniería de Seguridad en la Universidad de Cambridge, el debate en torno al escaneado basado en la IA para detectar pornografía infantil ha pasado por alto la posibilidad de que las fuerzas de seguridad abusen de la tecnología. “Los servicios de seguridad y de espionaje siempre se han valido de temas que asustan a los legisladores, como los niños o como el terrorismo, para atentar contra la privacidad en Internet”, dijo.
“Todos sabemos cómo funciona esto, cuando llegue el próximo atentado terrorista, ningún legislador se opondrá a que se amplíe la exploración y pase de buscar solo contenidos de abuso a menores a buscar delitos políticos y violentos graves”, concluyó.
Garantías de privacidad “profundamente engañosas”
Protagonista de muchos éxitos de Hollywood y del programa 'Aquellos maravillosos 70', Ashton Kutcher (45) dimitió como integrante del consejo de administración de Thorn a mediados de septiembre debido al revuelo provocado por la carta que había escrito a un juez en apoyo de Danny Masterson (compañero de reparto en 'Aquellos maravillosos 70') durante un juicio por violación en el que Masterson terminó saliendo condenado.
Pero hasta su dimisión, Kutcher llevaba años siendo la cara más visible de la lucha contra la pornografía infantil en Internet, una función que le daba un nivel de acceso importante a los altos cargos de Bruselas.
En el registro de transparencia de la UE la organización Thorn declaró reuniones de Kutcher con miembros del equipo de altos cargos de la Comisión que cuentan con voz y voto en la política digital y de seguridad del bloque. Entre ellos, Ylva Johansson; la zar antimonopolio, Margrethe Vestager; el vicepresidente de la Comisión, Margaritis Schinas; y el comisario de Mercado Interior, Thierry Breton.
En noviembre de 2020 fue el turno de la presidenta de la Comisión, Ursula von der Leyen, que participó en una videoconferencia con Kutcher y WeProtect Global Alliance, una organización registrada en la pequeña ciudad holandesa de Lisse.
En la base de datos de lobbies de la UE, Thorn está registrada como una organización benéfica, pero sus herramientas de IA se venden en el mercado con ánimo de lucro. El Departamento de Seguridad Nacional de Estados Unidos, sin ir más lejos, ha comprado licencias de software a Thorn por un total de 4,3 millones de dólares desde el año 2018 [unos 4 millones de euros].
El software de Thorn es usado por cuerpos de seguridad de todo el mundo y por empresas como Vimeo, Flickr y OpenAI, la creadora del chatbot ChatGPT (y una de las muchas depositarias de las inversiones de Kutcher en el sector de tecnologías de la información).
Kutcher y Johansson participaron como ponentes en una cumbre organizada y moderada en noviembre de 2022 por Eva Kaili, la entonces vicepresidenta del Parlamento Europeo que tres semanas después fue detenida y destituida durante la investigación por el escándalo de corrupción Qatargate.
Seis meses antes de que dimitiera por su apoyo a Masterson, Kutcher se dirigió en marzo de 2022 a los legisladores en Bruselas para tranquilizarlos sobre los posibles abusos de la tecnología y sus deficiencias. Dijo que el software era capaz de escanear los materiales sospechosos sin violar la privacidad, una afirmación que la asociación European Digital Rights ha calificado de “profundamente engañosa”.
La Comisión se ha resistido a respetar los mecanismos previstos en la UE para garantizar la libertad de información evitando dar los detalles de la relación entre Thorn y el equipo de Johansson. La Comisión se negó a revelar el correo electrónico con que Cordua respondió a la carta de Johansson de mayo de 2022, y tampoco accedió a hacer públicos los argumentos que Thorn compartió con los miembros del equipo de Johansson para hacer más atractiva la iniciativa legislativa. Replicando el razonamiento de Thorn, la Comisión dijo que la divulgación de esa información “socavaría el interés comercial de la organización”.
Tras la intervención de la Defensora del Pueblo Europeo y después de pedir durante siete meses el acceso a los documentos, la Comisión tuvo que hacer pública a principios de septiembre una serie de correos electrónicos intercambiados entre Thorn y la Dirección General de Interior y Migración de la Comisión Europea.
Los correos electrónicos sugieren que en los meses posteriores a la presentación de la propuesta de reglamento contra la pornografía infantil en Internet, hubo una relación de trabajo estrecha y continua entre las dos partes, con la Comisión facilitando en repetidas ocasiones el acceso de Thorn a lugares clave para la toma de decisiones debido a la asistencia de ministros y representantes de los Estados miembros de la UE.
La Defensora del Pueblo Europeo está ahora mismo investigando la negativa de la Comisión a permitir el acceso a muchos otros documentos internos relacionados con la propuesta de Johansson.
FGS Global, una conocida empresa de lobby contratada por Thorn (solo en 2022, Thorn le pagó un mínimo de 600.000 euros), comunicó que su cliente Thorn no haría comentarios para este reportaje. Johansson tampoco respondió a la solicitud de entrevista.
Unos de los pocos rastros que hay de Thorn en el registro de transparencia de la UE es una contribución de 2021 por un importe de 219.000 euros a WeProtect Global Alliance, la misma organización que a finales de 2020 había celebrado una videoconferencia con Kutcher y con Von der Leyen.
Esta investigación ha sido sufragada por el fondo IJ4EU, coeditada por Balkan Insight, y desarrollada en colaboración con Die Zeit, Le Monde, De Groene Amsterdammer, IRPI Media y Solomon.