La tecnología del deepfake sexual lleva en circulación en su forma moderna desde 2017. Durante nueve años, la capacidad de generar imágenes y vídeos sexualmente explícitos realistas de personas que no han dado su consentimiento para aparecer en ellos pasó de ser una curiosidad técnica oscura a un fenómeno masivo que afecta a millones de personas en todo el mundo, con un impacto desproporcionado sobre mujeres y menores.
Hasta el 7 de mayo de 2026, cuando la Unión Europea alcanzó un acuerdo político para prohibir los sistemas de IA que permitan crear ese tipo de contenido, ninguna legislación de gran escala había conseguido regular la práctica de forma efectiva. El 19 de mayo, Estados Unidos comenzó a aplicar su propia ley federal sobre la materia. Dos grandes potencias regulando simultáneamente el mismo problema. El problema es que llegan casi una década después de que ese problema empezara a causar daño real.
Lo que prohíbe el acuerdo europeo
El acuerdo europeo tiene dos prohibiciones centrales. La primera es la generación o manipulación de imágenes, vídeos o audios realistas —deepfakes— de partes íntimas o que identifiquen a personas en actividades sexuales sin consentimiento expreso del afectado. La segunda es la prohibición de sistemas capaces de generar o manipular pornografía infantil. Ambas prohibiciones se aplicarán mediante modificaciones a la Ley de IA de la Unión Europea.
El proceso que llevó a este acuerdo arrancó en España. El gobierno español propuso una enmienda a la Ley de IA en respuesta a la polémica pública generada por Grok —la herramienta de IA de xAI de Elon Musk— y su capacidad de generar imágenes explícitas. La Comisión Europea incorporó la enmienda y la negoció en un proceso tripartito entre el Parlamento, el Consejo y la Comisión que culminó en la madrugada del 7 de mayo.
Calendarios de aplicación — UE y EE.UU.
- UE: prohibición de deepfakes sexuales no consentidos · obligaciones desde diciembre 2026
- UE: obligaciones para sistemas de IA de alto riesgo (biometría, empleo, educación) · diciembre 2027
- UE: watermarking obligatorio de contenido generado por IA · aplazado hasta 2028
- EE.UU.: ley federal en vigor desde 19 mayo 2026 · plazo de 48 horas para retirar contenido denunciado
- EE.UU.: FTC obliga a plataformas a habilitar canal directo de denuncia para víctimas
La ley americana: 48 horas para retirar el contenido
La regulación federal de Estados Unidos, que empezó a aplicarse el 19 de mayo de 2026, funciona de forma diferente a la europea. En lugar de prohibir los sistemas generadores, la ley americana se centra en la obligación de las plataformas de actuar rápidamente cuando se denuncia la existencia de ese contenido. La Comisión Federal de Comercio (FTC) dictaminó que los portales web deben habilitar un canal directo de denuncia para las víctimas, y que las empresas tecnológicas tienen un plazo máximo de 48 horas para retirar el material denunciado.
La ley también penaliza la distribución digital de montajes sexuales explícitos creados mediante algoritmos de uso comercial. Es un enfoque más pragmático que el europeo en el sentido de que no intenta prohibir la tecnología —lo cual sería técnicamente casi imposible de hacer cumplir— sino crear consecuencias legales para la distribución y obligaciones concretas para las plataformas que la albergan.
El problema estructural de regular lo que ya existe masivamente
La crítica más fundamentada a ambas regulaciones no es que sean innecesarias —claramente lo son— sino que llegan cuando el daño ya se ha normalizado. Según estimaciones de organizaciones de defensa digital, existen en este momento decenas de miles de sitios web especializados en deepfakes sexuales no consentidos, con millones de imágenes y vídeos de personas reales. La mayor parte de ese contenido existirá mañana, pasado y dentro de un año, independientemente de las nuevas regulaciones.
Esto no es un argumento contra regular: es un argumento sobre el momento en que se regula. La tecnología del deepfake fue identificada como un riesgo serio para los derechos de las personas casi desde el momento en que apareció. En 2019, investigadores y activistas ya presentaban ante legisladores europeos y americanos evidencias del daño concreto que estaba causando. Los procesos regulatorios tardaron siete años en producir resultados legalmente vinculantes.
La tecnología escala en semanas. La regulación requiere años. Cuando la norma llega, el problema ya se ha masificado. Esa brecha no es un fallo de voluntad política. Es una característica estructural del sistema.
El caso Grok y la presión de la sociedad civil
El catalizador inmediato del acuerdo europeo fue la polémica en torno a Grok, el modelo de IA de xAI de Elon Musk. La herramienta generó atención mediática masiva en Europa cuando se hizo evidente que podía generar imágenes sexualmente explícitas con escasas restricciones. La indignación pública —amplificada por la cobertura mediática y la presión de organizaciones de defensa de los derechos digitales— creó el ambiente político necesario para que una enmienda al AI Act, que llevaba meses estancada en negociaciones, avanzara rápidamente.
Es un patrón conocido en la regulación tecnológica: la indignación pública genera la voluntad política que el proceso técnico no había conseguido generar. El problema es que ese patrón significa que la regulación llega impulsada por casos que ya han causado daño, en lugar de por la anticipación del daño.
El watermarking —el marcado digital que permitiría identificar automáticamente si un contenido fue generado por IA— forma parte del AI Act pero ha sido aplazado hasta 2028 para su aplicación obligatoria. Es una de las herramientas técnicas más prometedoras para el problema del deepfake a largo plazo, pero también una de las más difíciles de implementar de forma que no pueda ser eludida fácilmente. Que su aplicación se haya retrasado es un reconocimiento tácito de que la tecnología de verificación no está lista para ser mandatoria todavía.
Compartir este artículo



