Volver al archivo

Edición 06 · 13 de julio de 2026

Edition 06

Chat Control regresa por un truco procedimental, cuatro gobiernos ante los tribunales por NIS2, 281 VPNs gratuitas con fugas, Meta utilizando tu cara por defecto y un sistema operativo que te vigila salvo que lo impidas.

Por Christophe Mazzola, CISO en activo y fundador de Cyber Academy.

Recibe el próximo GRC Brief en tu correo.

Suscribirse a The GRC Brief

Una mayoría de eurodiputados votó en contra. Se aprobó igualmente.

Dos denominaciones, dos cosas muy distintas. Chat Control 1.0 es la derogación voluntaria que permite a las plataformas escanear mensajes no cifrados en busca de CSAM. Expiró en abril cuando el Parlamento se negó a renovarla. El 2 de julio el Consejo la revivió y remitió su posición al Parlamento mediante un procedimiento de urgencia, cronometrado para la última sesión antes del receso de verano. El 9 de julio, bloquearla requería mayoría absoluta: 361 de 720 eurodiputados. El rechazo obtuvo 314 votos frente a 276; es decir, más miembros se opusieron que los que la respaldaron, pero se quedó 47 votos corto y el texto prosperó. El Parlamento sí aprobó enmiendas separadas que excluyen los servicios con cifrado de extremo a extremo, que ahora vuelven al Consejo. La versión permanente y obligatoria, Chat Control 2.0, la que podría forzar el escaneo del lado del cliente en aplicaciones cifradas, sigue bloqueada en trílogo; la próxima ronda es en septiembre. Sus promotores, incluidas grandes plataformas estadounidenses, argumentan que el escaneo voluntario es imprescindible para seguir detectando y denunciando abusos.

Fuente: My full analysis · christophemazzola.fr

Mi análisis

Esto es lo más grave de esta edición, y debería indignarte. Dejando aparte el procedimiento: más eurodiputados votaron en contra de revivir el escaneo masivo de mensajes que a favor, y se aprobó de todas formas. El umbral para rechazar una posición del Consejo es deliberadamente elevado, mayoría absoluta, pero la votación se apresuró bajo un procedimiento de urgencia y se programó para la última sesión antes del verano, cuando buena parte de la cámara ya se había marchado. La mayoría dijo no. El calendario dijo sí.

Ahora la parte que la mayoría de la cobertura mediática malinterpreta, y que tú no debes. Lo que ha regresado es la versión 1.0, el escaneo voluntario de mensajes no cifrados, no el escaneo obligatorio del lado del cliente en aplicaciones cifradas. La exclusión del cifrado fue aprobada, por lo que Signal, WhatsApp e iMessage quedan formalmente fuera de esto. La versión peligrosa, la 2.0, sigue viva en trílogo y llega en septiembre. El avance para el cifrado es real pero estrecho, y la batalla que importa está a tres meses vista.

Si asesoras a alguien que gestiona un producto cifrado, o a un equipo de política que sigue este asunto, apunta septiembre en el calendario ahora. El precedente fijado esta semana es procedimental, no técnico. Pero el apetito es evidente, y quienes quieren escanear todo acaban de comprobar que pueden ganar una votación que habían perdido.

Cuatro gobiernos ignoraron la ley de ciberseguridad. La UE los llevó ante los tribunales.

El 8 de julio la Comisión Europea remitió a Irlanda, España, Francia y los Países Bajos al Tribunal de Justicia por no haber transpuesto NIS2, la directiva de ciberseguridad insignia de la UE, al derecho nacional. El plazo de transposición era octubre de 2024, por lo que los cuatro acumulan más de veinte meses de retraso. La Comisión solicita al Tribunal que imponga una cantidad a tanto alzado más sanciones diarias hasta que cada uno notifique la transposición completa. Para tener perspectiva sobre la frecuencia de este retraso: en enero de 2025, solo seis de los veintisiete estados miembros la habían transpuesto. Algunos de los cuatro ya se están moviendo; los Países Bajos aprobaron su ley el 7 de julio, el día antes de la remisión, e Irlanda espera notificar antes de fin de año. Y el momento tiene su punta de ironía: Irlanda asumió la presidencia rotatoria del Consejo de la UE el 1 de julio, una semana antes de ser llevada ante el máximo tribunal de la propia UE.

Fuente: European Commission · Commission referral, 8 Jul 2026

Mi análisis

Lee esto junto al punto anterior y el contraste es el resumen de todo el boletín. La única ley de la UE que obliga a las organizaciones a defenderse realmente, NIS2, lleva veinte meses sin implementarse en cuatro países, el mío incluido. Bruselas puede agilizar un régimen de escaneo en una semana, pero la directiva que protege hospitales y redes eléctricas espera dos años y una citación judicial.

El punto práctico es rotundo, y lo repito en cada clase. El retraso de tu gobierno no es tu escudo. El plazo venció en octubre de 2024. Las obligaciones, gestión del riesgo, notificación de incidentes, deberes en la cadena de suministro, son hacia donde se dirige el sector con independencia de cuándo Madrid o París terminen el papeleo. Si gestionas una entidad regulada y has estado esperando a la ley nacional como excusa, has estado acumulando deuda, y la factura se concentra en el momento en que el texto aterrice.

Y saborea el momento. Irlanda asumió la presidencia del Consejo de la UE el 1 de julio y fue llevada ante el propio tribunal de la UE el 8 de julio. Quienes debían liderar en materia ciber no fueron capaces de implementar la ley ciber. Si necesitabas prueba de que la concienciación y el cumplimiento son cosas distintas, ahí la tienes.

281 VPNs gratuitas analizadas. La privacidad era teatro.

Investigadores sometieron a prueba 281 de las VPNs gratuitas para Android más populares, con más de 2.400 millones de instalaciones conjuntas, mediante un nuevo marco de auditoría llamado MVPNalyzer, desarrollado por equipos de Michigan, Nuevo México e IIT Delhi. Los fallos son básicos. 29 aplicaciones filtran tráfico fuera del túnel, incluyendo las consultas DNS que revelan los sitios que visitas. 61 envían algunos datos en texto claro, y cinco de ellas obtienen su archivo de configuración sin cifrar, lo que permite a un atacante en la misma red redirigir la conexión a un servidor bajo su control. Más del 80 por ciento contactó con servidores conocidos de publicidad y seguimiento, 76 enviaron el identificador publicitario del dispositivo y una de ellas transmitía las coordenadas GPS exactas del teléfono. El argumento que los investigadores repiten: una VPN traslada tu confianza de tu proveedor de internet a quien desarrolló la aplicación, y la insignia Verified de Play Store funciona más como marketing que como garantía de seguridad.

Fuente: The Hacker News · MVPNalyzer study, 10 Jul 2026

Mi análisis

La misma lección que el bloqueador de anuncios de hace unas semanas, con distinto disfraz. La gente las instala para estar más segura y entrega su tráfico a quien escribió la aplicación. 2.400 millones de instalaciones, y lo básico está roto: fuga de DNS, archivos de configuración en texto claro, rastreadores por todas partes, una aplicación enviando tu GPS a casa. La insignia Verified no sirvió de nada, porque una insignia es una etiqueta de marketing, no un control.

Para tu organización esto no es una nota al margen para consumidores. Es Shadow IT en los endpoints que tocan tus datos. Alguien de tu equipo instala una VPN gratuita en el teléfono que lee el correo corporativo, y ahora tu tráfico circula por un operador que nunca has evaluado, posiblemente en texto claro. Las VPNs gratuitas no son una herramienta de privacidad. Son un modelo de negocio, y tú eres el inventario.

El único filtro real es la procedencia. Una auditoría independiente reciente, titularidad clara, un negocio que se paga con dinero en lugar de con tus datos. Todo lo demás, incluidas las declaraciones de no-logs, es un punto de partida, no una prueba.

Meta convertirá tus fotos públicas en imágenes de IA por defecto.

Meta lanzó Muse Image, un nuevo modelo de IA que permite a los usuarios mencionar con @ una cuenta pública de Instagram y generar imágenes a partir de las fotos, vídeos y reels públicos de esa persona. Está activado por defecto. Cualquiera puede etiquetar un perfil público para crear contenido reutilizando parte o la totalidad de sus publicaciones, y dependiendo de la configuración ese contenido generado por IA puede aparecer en resultados de búsqueda. Las personas no reciben notificación cuando sus imágenes son reutilizadas de este modo. Cambiar la cuenta a privada durante más de un día elimina los reels y publicaciones que otros generaron a partir de tu contenido, pero cualquier contenido ya generado con las funciones de IA permanece. Meta afirma que los usuarios tienen control total y pueden desactivarlo, enterrado en Configuración, luego en Compartir y reutilizar. Es el mismo patrón de opt-out por defecto que Google acaba de emplear para incorporar los medios de usuarios conectados a sus modelos de IA.

Fuente: The Hacker News · Meta Muse Image, 9 Jul 2026

Mi análisis

Activado por defecto, y ni siquiera te avisan cuando ocurre. Reflexiona sobre eso. Meta tomará tus fotos públicas, permitirá que un desconocido te mencione con @, y generará imágenes tuyas, y la primera vez que lo sabrás es nunca. El control, en la narrativa de Meta, significa un interruptor que no sabías que existía, enterrado tres menús adentro, que no elimina nada de lo ya generado.

Este es el problema del consentimiento que toda la industria está ignorando a toda velocidad. El opt-out por defecto no es consentimiento, es teatro del consentimiento, y en la UE eso no es un debate de UX, es un debate sobre GDPR. Google hizo lo mismo este mes con tus medios y su IA. El patrón lo dice todo: primero toman, luego ofrecen un interruptor enterrado, y no notifican nunca.

Dos minutos de mantenimiento si usas Instagram: Configuración, Compartir y reutilizar, desactiva publicaciones y reels. Hazlo también para las cuentas públicas que gestionas. Y recuerda que solo impide la próxima reutilización, no las que ya están ahí fuera.

El identificador de Windows que no puedes desactivar acaba de atrapar a un hacker.

Una denuncia federal estadounidense recién hecha pública ha revelado un identificador de Windows que la mayoría de las personas nunca había oído: el Global Device Identifier, o GDID. Es un ID persistente a nivel de dispositivo que Microsoft asigna cuando inicias sesión con una cuenta Microsoft; vincula la actividad que tu PC reporta a Microsoft a una única identidad, y sobrevive a las actualizaciones de Windows. No existe pantalla de consentimiento ni interruptor real para desactivarlo: no puedes impedir que Windows lo genere sin romper la activación, y reinstalar el sistema solo te da un nuevo número que Microsoft puede vincular de nuevo a través de la misma cuenta. Hasta este caso, Microsoft lo había documentado en una única frase, en una tabla de referencia empresarial de Azure. El caso en cuestión: un presunto miembro de Scattered Spider de 19 años vulneró una joyería estadounidense mediante ingeniería social a su servicio de asistencia técnica y operó tras proxies VPN. Esas IPs de proxy eran callejones sin salida, pero los registros de Microsoft situaron el GDID de su máquina en el momento del registro del atacante y en el sitio de la víctima en los mismos minutos, e investigadores luego relacionaron ese mismo ID con sus cuentas personales en cuatro países a lo largo de ocho meses. La VPN rotaba. El GDID no.

Fuente: Windows Latest · GDID / FBI complaint, 10 Jul 2026

Mi análisis

Dos puntos más arriba, las VPNs gratuitas te estaban filtrando. Aquí está la versión más dura de la misma lección: incluso una VPN que funciona perfectamente no sirve de nada si tu propio sistema operativo estampa un ID permanente en todo lo que haces. El hacker usó proxies. Eran callejones sin salida. El identificador de Windows que había debajo no lo era. El anonimato no es una sola herramienta, es el eslabón más débil de toda la cadena, y el sistema operativo suele ser ese eslabón.

Nadie lamenta la suerte de un miembro de Scattered Spider, y este identificador es también el mecanismo con el que Microsoft gestiona las licencias y el fraude, lo cual es razonable. Lo que debería incomodarte es la asimetría. Apple y Google sitúan sus identificadores de dispositivo detrás de una solicitud de consentimiento y una opción de restablecimiento. Microsoft incorpora uno sin aviso, sin restablecimiento, con una sola frase de documentación pública, vinculado a tu cuenta en lugar de a ti, y el público solo supo que existía porque un escrito judicial lo explicitó.

Para tu modelo de amenazas, sé preciso sobre lo que te aporta una VPN: oculta tu ruta de red, no la identidad de tu máquina. Si la identidad en sí misma es el riesgo, periodismo, activismo, una persona en situación de riesgo, la conversación es sobre cuenta local, Linux o Tails, no sobre VPNs. Para una flota gestionada, es una razón más por la que tu estrategia de identidad en endpoints no puede detenerse en la capa de red.

¿Te gustó esta? Recibe la próxima.

Aterriza en la próxima.

Cinco cosas que se movieron en GRC, todos los lunes. Análisis honesto, sin reciclar notas de prensa.

Suscribirse a The GRC Brief