El Estado de vigilancia — Lo que ya ha sido construido

Comencemos por la capa física. El mundo contiene ya aproximadamente 1.000 millones de cámaras de vigilancia —una cifra que se ha duplicado desde 2019—. China opera alrededor de 200 millones de ellas, pero la métrica de densidad revela una realidad más elocuente. Estados Unidos cuenta con 15,28 cámaras de circuito cerrado por cada 100 habitantes, frente a las 14,36 de China [2]. ✓ Hecho establecido El Reino Unido, considerado habitualmente el referente de la vigilancia en democracia, tiene 7,5 por cada 100 personas. La City de Londres —un solo distrito— alcanza las 75,31 cámaras por cada 1.000 habitantes [2]. No se trata de instalaciones teóricas. Son activas, están en red y se conectan de forma creciente a sistemas de reconocimiento facial.

La capa comercial avanza en paralelo. El mercado global del reconocimiento facial alcanzó los 9.300 M $ en 2025 y se proyecta que crecerá hasta 36.750 M $ en 2035 —una tasa de crecimiento anual compuesta del 14,73 % [14]—. ✓ Hecho establecido Más de 176 millones de estadounidenses ya utilizan tecnología de reconocimiento facial, y siete de cada diez gobiernos en todo el mundo la despliegan de forma extensiva [14]. Se espera que el 90 % de los teléfonos inteligentes incorpore reconocimiento facial biométrico, lo que abarcará más de 800 millones de dispositivos a escala global. La capa biométrica no está emergiendo. Ya ha llegado.

Detrás de las cámaras se encuentra la infraestructura de datos. Las transacciones financieras se monitorizan en tiempo real a través de las redes SWIFT y los sistemas contra el blanqueo de capitales. Los metadatos de telecomunicaciones se conservan y son consultables bajo mandatos de inteligencia. Las plataformas de redes sociales generan perfiles de comportamiento a escala. Los datos de localización son recopilados por intermediarios comerciales y revendidos a gobiernos. La convergencia de estos sistemas —vigilancia física, identificación biométrica, monitorización financiera y seguimiento digital— constituye una arquitectura de vigilancia de alcance sin precedentes. Ninguna civilización anterior ha poseído la capacidad técnica para monitorizar a su población con esta resolución.

La arquitectura difiere en su marco legal según los regímenes. China encuadra sus sistemas como mecanismos de gobernanza social y confianza económica. Las democracias occidentales presentan los suyos como herramientas de seguridad nacional, cumplimiento legal e innovación comercial. Sin embargo, las capacidades técnicas convergen estructuralmente —y en varias dimensiones medibles, el aparato occidental supera al chino tanto en profundidad como en alcance—. Este informe examina lo que existe, cómo funciona y qué dice la evidencia sobre adónde conduce.

La magnitud de lo que se ha construido resulta difícil de exagerar. La infraestructura de datos por sí sola —la base de datos de 60.000 millones de imágenes de Clearview AI, la plataforma de crédito chino con 80.700 millones de registros, el registro biométrico indio con 1.380 millones de personas— supone un salto cuántico en la capacidad del Estado y las corporaciones para identificar, localizar y rastrear individuos. La pregunta que se plantea no es si esta infraestructura podría emplearse con fines autoritarios, sino si los marcos legales e institucionales que impiden tal uso son suficientes para contener la arquitectura que pretenden regular.

La narrativa popular —una puntuación numérica única asignada a cada ciudadano que determina su acceso al transporte, la vivienda y la educación— es en gran medida inexacta. ◈ Evidencia sólida En enero de 2026, la mayoría de los ensayos de puntuación individual integral habían concluido, y la temida puntuación ciudadana nacional no se había materializado [15]. Lo que sí existe es considerablemente más matizado —y en su dimensión corporativa, considerablemente más extenso de lo que se suele entender—. La Plataforma Nacional de Intercambio de Información de Crédito ha recopilado más de 80.700 millones de registros que abarcan aproximadamente 180 millones de empresas [3]. ✓ Hecho establecido

El sistema opera principalmente mediante la inclusión en listas negras, no a través de una puntuación. Aproximadamente 200.000 individuos adicionales fueron incluidos en listas negras en 2025, con un 46 % de los casos relacionados con disputas contractuales —y no con disidencia política [15]—. La inclusión en una lista negra desencadena consecuencias específicas: restricciones de viaje en avión y tren, limitaciones en compras de lujo y barreras para determinadas actividades comerciales. El mecanismo es selectivo y punitivo —más próximo a una agencia de calificación crediticia con capacidad ejecutiva que al panóptico distópico de la imaginación occidental—.

En marzo de 2025, la dirección del Partido Comunista publicó una directiva de política de 23 puntos orientada explícitamente a mejorar el sistema de crédito social, pero con un notable énfasis en las salvaguardas en torno a la seguridad de la información, los derechos individuales y las protecciones contra la recopilación excesiva de datos [3]. Esto no indica liberalización. Indica que incluso Pekín reconoce los riesgos políticos de una vigilancia descontrolada —un reconocimiento que debería hacer reflexionar a los gobiernos occidentales que cuentan con menores controles internos sobre sus propios sistemas—.

Sin embargo, el aparato de vigilancia chino se extiende mucho más allá del crédito social. Las aproximadamente 200 millones de cámaras de circuito cerrado de China —con la ciudad de Taiyuan operando en solitario 117 por cada 1.000 habitantes [2]— se integran de forma creciente con reconocimiento facial, análisis de la marcha y predicción de comportamiento mediante inteligencia artificial. Los programas Skynet y Sharp Eyes aspiran a lograr una cobertura integral de los espacios públicos urbanos. En Xinjiang, estas tecnologías se han desplegado como instrumentos de persecución étnica — ✓ Hecho establecido — documentados por Amnistía Internacional, Human Rights Watch y la Oficina del Alto Comisionado de las Naciones Unidas para los Derechos Humanos [7].

El modelo chino no es, por lo tanto, un sistema único, sino un ecosistema: crédito social para la gobernanza económica, reconocimiento facial para la vigilancia física, censura de internet para el control de la información y represión selectiva para la gestión política. Es más fragmentado y menos coherente técnicamente de lo que sugiere la narrativa popular —pero su alcance acumulativo es formidable—. La pregunta que plantea a los observadores democráticos es si los sistemas occidentales, construidos mediante procesos diferentes y para objetivos declarados distintos, han llegado a un destino estructuralmente similar.

La evidencia sugiere que sí —y que en algunas dimensiones lo han superado—.

El caso de Xinjiang merece una atención especial porque demuestra el techo operativo de la vigilancia integrada. En esa región, los controles de reconocimiento facial, el escaneo de teléfonos móviles, la recopilación de datos biométricos y los algoritmos de predicción policial se han desplegado como instrumentos de control étnico contra las poblaciones uigur y otros musulmanes turcos. La Oficina del Alto Comisionado de las Naciones Unidas para los Derechos Humanos documentó estas prácticas en una evaluación histórica de 2022. Los componentes tecnológicos utilizados en Xinjiang —reconocimiento facial, predicción de comportamiento, bases de datos biométricas, interceptación de comunicaciones— no son exclusivos de China. Todos ellos tienen un equivalente comercial occidental. La diferencia radica en la decisión política de desplegarlos contra una población definida. Es esa decisión, y no la tecnología, la que separa la vigilancia de la persecución.

La Sección 702 de la Ley de Vigilancia de Inteligencia Extranjera (FISA) permite a la NSA recopilar comunicaciones de objetivos extranjeros —pero en la práctica, esto arrastra cantidades ingentes de datos estadounidenses—. En abril de 2024, el Congreso no solo reautorizó la Sección 702, sino que la amplió mediante la Ley de Reforma de la Inteligencia y Seguridad de América (RISAA), ampliando la definición de «proveedor de servicios de comunicaciones electrónicas» y autorizando el uso de los datos de vigilancia para la verificación de inmigración y los fines de lucha contra los narcóticos [4]. Diez mil personas tienen actualmente autorización para consultar la base de datos. En febrero de 2025, un tribunal federal resolvió que deberían exigirse órdenes judiciales para las búsquedas referidas a ciudadanos estadounidenses —pero el programa sigue operando mientras los recursos legales avanzan—. La Sección 702 expira en abril de 2026, y en diciembre de 2025 se celebró una audiencia en el Congreso para valorar posibles reformas [4].

El sistema británico opera en paralelo. El Government Communications Headquarters (GCHQ) solicitó y obtuvo acceso a los datos recopilados por la NSA bajo la Sección 702, y su propio programa Tempora aporta aproximadamente el 10 % de la recopilación de la NSA. Es determinante que los datos recopilados por el GCHQ no estén sujetos a las restricciones estadounidenses, lo que habilita un acuerdo de reciprocidad en el que la agencia de inteligencia de cada nación recopila datos que el marco legal interno del otro le prohíbe recopilar directamente [4]. ◈ Evidencia sólida

La Ley de Poderes de Investigación del Reino Unido —actualizada en abril de 2024— va aún más lejos. Los códigos de prácticas enmendados incluyen el requisito de que los operadores de telecomunicaciones puedan «eliminar el cifrado» de todo el contenido de sus servicios, incluidos los mensajes cifrados de extremo a extremo [13]. En la práctica, esto significa que el Home Office puede exigir a las empresas que inserten puertas traseras en los sistemas cifrados. Cuando el gobierno del Reino Unido emitió una Notificación de Capacidad Técnica secreta exigiendo a Apple que modificara el cifrado de iCloud, Apple optó por retirar completamente su función Advanced Data Protection del Reino Unido —con efecto a partir de febrero de 2025— en lugar de comprometer la seguridad de todos sus usuarios [13]. ✓ Hecho establecido

La implicación estructural es profunda. Un gobierno democrático exigió a una empresa privada que debilitara el cifrado que protege a cientos de millones de usuarios. La empresa se negó —pero al hacerlo, retiró las protecciones de seguridad de toda una nación—. Los ciudadanos británicos tienen ahora menos protección de cifrado que los de la mayoría de las democracias desarrolladas; no por un mandato al estilo chino, sino por la propia exigencia de acceso de vigilancia de su gobierno.

La predicción policial mediante algoritmos representa otra dimensión de la vigilancia occidental sin equivalente directo chino en contextos democráticos. Los algoritmos entrenados con datos históricos sobre criminalidad se utilizan para dirigir los recursos policiales a ubicaciones específicas y, en algunos casos, para señalar a individuos concretos para un escrutinio intensificado. Los datos sobre eficacia son demoledores. Las tasas de precisión varían del 90 % en estudios académicos controlados al 0,6 % en el despliegue real por parte del software Geolitica del Departamento de Policía de Plainfield [7]. ⚖ Controvertido La Operación LASER en Los Ángeles fue suspendida tras una auditoría que no encontró evidencias suficientes de reducción de la criminalidad y documentó preocupaciones sobre derechos civiles, incluyendo una aplicación inconsistente, falta de transparencia y ausencia de rendición de cuentas.

El mecanismo de amplificación del sesgo está bien documentado. Los datos históricos sobre delincuencia reflejan de forma desproporcionada los patrones de actuación policial en comunidades racializadas. Los algoritmos entrenados con estos datos dirigen recursos policiales adicionales hacia esas mismas comunidades, generando más detenciones, lo que refuerza el sesgo de los datos en un ciclo que se autoperpetúa [7]. ◈ Evidencia sólida La tecnología no elimina el sesgo humano. Lo industrializa.

La alianza de inteligencia de los Cinco Ojos —integrada por Estados Unidos, el Reino Unido, Canadá, Australia y Nueva Zelanda— formaliza la arquitectura de vigilancia recíproca a nivel de tratado. Cada Estado miembro recopila datos que los marcos legales domésticos de los demás les prohíben recopilar sobre sus propios ciudadanos. Esos datos se comparten después a través de canales de inteligencia, eludiendo efectivamente las protecciones de privacidad nacionales de todos los países participantes. No se trata de una teoría conspirativa. Es un acuerdo operativo documentado, confirmado por las revelaciones de Snowden e investigaciones parlamentarias posteriores en el Reino Unido, Australia y Alemania [4]. ✓ Hecho establecido La arquitectura legal de la privacidad democrática queda así socavada no por la legislación de ninguna nación en particular, sino por el acuerdo de cooperación entre agencias de inteligencia aliadas para recopilar lo que a cada una le está individualmente prohibido recopilar.

La investigación de Amnistía Internacional y S.T.O.P., publicada en noviembre de 2025, documentó que el Departamento de Policía de Nueva York empleó herramientas de vigilancia —incluido el reconocimiento facial y la monitorización de redes sociales— contra manifestantes y comunidades racializadas de maneras que violaban la política departamental y las protecciones constitucionales [7]. Más de 170 organizaciones en todo el mundo han reclamado la prohibición de la tecnología de vigilancia biométrica. Sin embargo, la tecnología sigue proliferando, impulsada por los mismos incentivos comerciales que convierten el mercado de intermediarios de datos —estimado en más de 200.000 M $ anuales— en una de las industrias menos reguladas y más influyentes de la economía global.

Clearview AI constituye el caso de estudio más ilustrativo. La empresa construyó una base de datos de más de 60.000 millones de imágenes faciales extrayendo sistemáticamente fotografías de plataformas de redes sociales, sitios de noticias y otras fuentes en línea de acceso público —sin el conocimiento ni el consentimiento de los individuos retratados [5]—. ✓ Hecho establecido Esta base de datos se vende a organismos de seguridad y, en 2025, Clearview firmó un contrato de 10 M $ con el Departamento de Seguridad Nacional —su mayor acuerdo federal hasta la fecha [5]—. Las consecuencias de los errores no son teóricas: al menos ocho personas han sido detenidas injustamente a fecha de 2026 debido a falsos positivos de la aplicación.

La respuesta legal ha sido sustancial, pero insuficiente. En marzo de 2025, un juez de distrito estadounidense aprobó un acuerdo colectivo nacional que otorgó a los miembros de la clase una participación de capital del 23 % en Clearview AI, valorada en aproximadamente 51,75 M $ [5]. En septiembre de 2024, la Autoridad de Protección de Datos holandesa multó a Clearview con 30,5 millones de euros por construir una base de datos ilegal al amparo del RGPD [5]. Sin embargo, la empresa sigue operando, su base de datos continúa creciendo y sus contratos gubernamentales siguen expandiéndose. Las multas son, en la práctica, un coste empresarial asumible.

Palantir Technologies representa la capa de integración. Fundada con capital de riesgo de la CIA, la plataforma Gotham de Palantir agrega datos de bases de datos gubernamentales dispares en un entorno analítico unificado. Los contratos federales de la empresa crecieron de 4,4 M $ en 2009 a 970,5 M $ en 2025 —un incremento de 220 veces en 16 años [10]—. ✓ Hecho establecido En julio de 2025, el Ejército de Estados Unidos adjudicó a Palantir un contrato de 10.000 M $ a diez años, consolidando 75 contratos preexistentes y otorgando a la empresa acceso a todas las bases de datos y operaciones del Ejército [10].

Para la aplicación de la legislación de inmigración, Palantir desarrolló ImmigrationOS —un sistema de 30 M $ para el ICE que integra pasaportes, números de la Seguridad Social, registros del IRS, datos de matrículas vehiculares, seguimiento de teléfonos móviles y reconocimiento facial en una única plataforma [10]—. Las organizaciones de libertades civiles han advertido de que sistemas de este tipo, una vez construidos para una población objetivo, pueden ampliarse fácilmente para abarcar a cualquier otra. La infraestructura no distingue entre sus objetivos declarados y el resto de la población. Simplemente procesa datos.

La industria de intermediarios de datos constituye la cadena de suministro. Investigadores de la Universidad de Duke demostraron que es posible adquirir de intermediarios comerciales datos sensibles sobre militares estadounidenses en activo —incluyendo nombres, domicilios, geolocalización, patrimonio neto y religión— por tan solo 0,12 $ por registro [6]. ✓ Hecho establecido Una investigación conjunta de 2024 de WIRED, Bayerischer Rundfunk y Netzpolitik.org reveló que los intermediarios de datos vendían datos de localización capaces de rastrear a militares en bases estadounidenses en el extranjero —incluidos sus desplazamientos a ubicaciones fuera de la base, como colegios, bares y domicilios particulares [6]—.

La red de timbres inteligentes Ring de Amazon extiende la vigilancia comercial hasta el nivel residencial. La empresa ha establecido asociaciones con 2.161 departamentos de policía y bomberos a través de su portal Neighbors Public Safety Service, que permite a las fuerzas del orden solicitar imágenes de cualquier cámara Ring en un área geográfica y temporal determinada —sin orden judicial, resolución judicial ni ningún tipo de proceso legal [12]—. ✓ Hecho establecido En abril de 2025, Ring lanzó nuevas integraciones policiales con Axon, que permiten a los agentes solicitar imágenes directamente a través del sistema de gestión de evidencias de Axon. Las imágenes de Ring se han utilizado para vigilar a manifestantes [12].

El sistema Aadhaar de India demuestra la convergencia de la vigilancia estatal y comercial a escala nacional. La base de datos biométrica abarca a 1.380 millones de personas —el 96 % de la población—, lo que la convierte en el sistema de identificación biométrica más grande de la historia de la humanidad [11]. ✓ Hecho establecido En octubre de 2023, los registros biométricos de aproximadamente 850 millones de ciudadanos indios se filtraron en la dark web —la mayor brecha de datos biométricos conocida en la historia [11]—. En febrero de 2025, el gobierno indio comenzó a otorgar a empresas privadas acceso a la tecnología de reconocimiento facial de Aadhaar, transformando la arquitectura de vigilancia de una herramienta estatal en una plataforma comercial, sin que existiera una legislación integral de protección de datos.

El software espía Pegasus del NSO Group sigue siendo el caso más documentado. El Proyecto Pegasus —una investigación colaborativa de Forbidden Stories y 17 organizaciones de medios— identificó a más de 1.000 propietarios de teléfonos que figuraban en una lista de objetivos filtrada: 189 periodistas, 85 activistas de derechos humanos, 65 directivos empresariales y más de 600 políticos y funcionarios gubernamentales [8]. ✓ Hecho establecido Pegasus es un exploit de clic cero: no requiere ninguna acción de la víctima para instalarse, proporciona acceso completo al dispositivo —incluidas la cámara, el micrófono, los mensajes y la localización— y opera de forma invisible. Las investigaciones han confirmado su despliegue en más de 50 países [8].

En diciembre de 2024, un tribunal estadounidense declaró al NSO Group responsable de los ataques a aproximadamente 1.400 usuarios de WhatsApp. En mayo de 2025, un jurado ordenó al NSO Group pagar 167,3 M $ en daños punitivos y 444.719 $ en daños compensatorios a Meta Platforms [8]. ✓ Hecho establecido Sin embargo, a comienzos de 2026, el NSO Group persigue activamente su entrada en el mercado estadounidense —con inversores americanos que tomaron el control en finales de 2025 y la empresa publicando un «informe de transparencia» para argumentar su retirada de la Lista de Entidades de Estados Unidos y su acceso a contratos federales—.

El Consorcio Intellexa —una compleja red internacional de empresas que comercializa el software espía Predator— operó a través de Chipre, Singapur y Hungría para eludir las restricciones comerciales. El Departamento del Tesoro de Estados Unidos sancionó en 2024 a personas y entidades vinculadas a Intellexa por atacar a ciudadanos estadounidenses, incluyendo funcionarios gubernamentales, periodistas y expertos en política [8]. Sin embargo, en diciembre de 2025, la administración Trump levantó las sanciones sobre tres ejecutivos vinculados a Intellexa —revirtiendo parcialmente las medidas de rendición de cuentas [8]—. ⚖ Controvertido En marzo de 2026, un tribunal griego condenó a ejecutivos de Intellexa en lo que los observadores describieron como un punto de inflexión global para la rendición de cuentas en materia de software espía.

Cellebrite, la empresa israelí de informática forense, ofrece otro vector de acceso. Su herramienta UFED permite a las fuerzas del orden extraer datos de teléfonos inteligentes bloqueados, y ha sido vendida a gobiernos con historiales documentados de abusos contra los derechos humanos. En febrero de 2025, Cellebrite suspendió sus servicios en Serbia tras que Amnistía Internacional documentara que los servicios de seguridad serbios utilizaron la herramienta para atacar a periodistas y activistas de la sociedad civil [7]. Bangladesh gastó un estimado de 190 millones de dólares en vigilancia y software espía entre 2015 y 2025, con al menos 40 millones en tecnologías de origen israelí —adquisiciones que se dispararon antes de las elecciones nacionales de 2018 y 2024 [7]—.

El mercado del software espía actúa como multiplicador de fuerza para la gobernanza autoritaria. Un país que carece de capacidad técnica para desarrollar sus propias herramientas de vigilancia puede simplemente adquirirlas. Los regímenes de control de exportaciones concebidos para evitarlo —el Arreglo de Wassenaar, las designaciones de la Lista de Entidades de Estados Unidos, las regulaciones de exportación de la UE— han demostrado ser porosos. Las empresas de software espía se reestructuran a través de empresas fantasma en múltiples jurisdicciones. Las sanciones impuestas por una administración son levantadas por la siguiente. El mercado persiste porque la demanda persiste —y la demanda persiste porque la vigilancia es políticamente útil para gobiernos de toda orientación ideológica—.

El Reglamento de IA entró en vigor el 1 de agosto de 2024, y las prácticas prohibidas —incluidas la puntuación social, la IA manipuladora y la identificación biométrica remota en tiempo real— son aplicables desde el 2 de febrero de 2025 [9]. ✓ Hecho establecido El Reglamento prohíbe expresamente la manipulación dañina, la extracción masiva e indiscriminada de imágenes faciales, el reconocimiento de emociones en lugares de trabajo y centros educativos, y la categorización biométrica basada en características sensibles. Para las fuerzas del orden, la prohibición de la identificación biométrica remota en tiempo real en espacios de acceso público constituye la medida central —y es genuinamente significativa—.

Pero las excepciones importan. La policía puede seguir utilizando el reconocimiento facial en tiempo real para localizar a personas desaparecidas, prevenir amenazas terroristas inminentes e identificar sospechosos en investigaciones penales graves [9]. La identificación biométrica remota posterior a los hechos —el análisis de grabaciones de vigilancia a posteriori— se clasifica únicamente como «alto riesgo», no como práctica prohibida. Esta distinción es crítica. Un sistema que grabe el rostro de todos y analice las imágenes 24 horas después es funcionalmente idéntico, en términos de capacidad de vigilancia, a un sistema en tiempo real. Introduce simplemente un retardo de procesamiento. La invasión de la privacidad es la grabación, no el momento del análisis.

En Estados Unidos, la regulación está fragmentada hasta el punto de resultar disfuncional. No existe ninguna ley federal que regule el reconocimiento facial. Ninguna ley federal regula de forma integral a los intermediarios de datos. La Sección 702 fue ampliada en lugar de reformada. La Ley de Privacidad de la Información Biométrica (BIPA) de Illinois dio lugar al acuerdo con Clearview AI, pero sigue siendo una excepción estatal y no un estándar nacional. La Autoridad Antilavado de Dinero de la UE (AMLA), creada en 2024 y puesta en marcha en 2025, representa un avance hacia una supervisión centralizada de la vigilancia financiera —pero su mandato consiste explícitamente en reforzar la capacidad de monitorización, no en restringirla [9]—.

La evaluación de Freedom House para 2025 es inequívoca: incluso entre los países clasificados como «libres», la mitad experimentó retrocesos en la libertad en internet durante el período analizado [1]. ✓ Hecho establecido Los gobiernos represivos de Myanmar, Rusia y Venezuela bloquearon la plataforma de mensajería cifrada Signal durante 2024. Pero también los gobiernos democráticos impusieron límites a las herramientas de privacidad —siendo el ejemplo más destacado la exigencia de una puerta trasera de cifrado por parte del Reino Unido—. La tendencia regulatoria en todo el espectro democrático apunta hacia una mayor capacidad de vigilancia, no menor —siendo la UE un contraejemplo parcial e imperfecto—.

El enfoque de Australia ilustra una filosofía regulatoria diferente. El país prohibió las redes sociales para menores de 16 años en diciembre de 2025 —una medida que requiere verificación de edad a escala del lado de las plataformas—. Aunque se encuadra como legislación de protección infantil, la infraestructura de verificación de edad implica necesariamente sistemas de verificación de identidad que podrían reutilizarse para una vigilancia más amplia. El mismo gobierno que aprobó la prohibición de las redes sociales promulgó también en 2018 la Ley de Modificación de Telecomunicaciones y Otras Legislaciones (Asistencia y Acceso), que —al igual que la Ley de Poderes de Investigación del Reino Unido— faculta a las agencias de seguridad para obligar a las empresas a proporcionar acceso a las comunicaciones cifradas. El patrón es consistente en todas las democracias: la legislación de seguridad crea infraestructura de vigilancia, y la legislación de seguridad ciudadana la amplía.

El panorama regulatorio revela una asimetría estructural. La infraestructura de vigilancia la construyen empresas privadas bien financiadas y agencias de inteligencia que operan a escala y velocidad. La regulación la desarrollan los parlamentos mediante deliberación democrática —un proceso intrínsecamente más lento, más condicionado y más susceptible a las presiones de los grupos de interés—. El Reglamento de IA de la UE tardó cuatro años desde su propuesta hasta su aplicación. En ese tiempo, la base de datos de Clearview AI creció de 3.000 millones a 60.000 millones de imágenes. La maquinaria supera a la ley por diseño.

Los partidarios de ampliar la capacidad de vigilancia esgrimen varios argumentos que merecen un examen riguroso. Los organismos de seguridad señalan necesidades operativas genuinas: el reconocimiento facial se ha utilizado para identificar a autores de explotación infantil, localizar a personas desaparecidas y resolver crímenes violentos. La Oficina de Aduanas y Protección Fronteriza de Estados Unidos ha procesado a más de 300 millones de viajeros mediante comparación facial biométrica y ha impedido la entrada al país a más de 1.800 impostores [14]. ✓ Hecho establecido Las agencias de inteligencia argumentan que la vigilancia de comunicaciones ha desarticulado planes terroristas, interceptado transferencias de armas y proporcionado avisos tempranos de acciones hostiles de Estados extranjeros. Estas afirmaciones no son fabricadas. Sin embargo, se presentan de forma selectiva —y el análisis de coste-beneficio que omiten es determinante—.

El contraargumento no es que la vigilancia carezca de beneficios. Es que la infraestructura necesaria para obtenerlos genera riesgos que los superan. La observación de Edward Snowden —«No ha existido ningún sistema de vigilancia masiva en ninguna sociedad que conozcamos hasta este momento que no haya sido objeto de abuso»— no es una afirmación teórica. Es una constatación histórica [1]. ◈ Evidencia sólida La Sección 702 de FISA se creó para el contraterrorismo. Hoy se utiliza para la aplicación de la ley de inmigración y las investigaciones de narcóticos. Los timbres Ring se vendieron para la seguridad del hogar. Ahora se utilizan para vigilar a manifestantes. Aadhaar se construyó para la distribución de subsidios. Sus datos de reconocimiento facial están ahora disponibles para empresas privadas. El patrón es consistente: las herramientas de vigilancia se expanden más allá de su mandato original.

La evidencia empírica se inclina decididamente hacia el argumento libertario —no porque los beneficios de la seguridad sean imaginarios, sino porque todos los indicadores medibles demuestran que la infraestructura de vigilancia se expande en alcance, se contrae en supervisión y resiste toda limitación significativa una vez desplegada—. El marco teórico de la rendición de cuentas democrática no se corresponde con la realidad operativa de cómo se utilizan, amplían y eximen del escrutinio estos sistemas. ◈ Evidencia sólida

Además, el argumento de que «quien nada hace, nada teme» contiene un error lógico fundamental. La privacidad no es el derecho a ocultar conductas ilícitas. Es el derecho a existir sin ser observado. El valor de la privacidad no está condicionado a tener algo que ocultar —sino a la asimetría de poder entre quien observa y quien es observado—. Un gobierno capaz de monitorizar todas las comunicaciones puede identificar la disidencia antes de que se organice, atacar a la oposición antes de que se movilice y reprimir la libre expresión sin necesidad de procesar un solo caso. La vigilancia no necesita utilizarse para ser efectiva. Su mera existencia es suficiente.

El sistema de crédito social de China se construyó sobre la premisa de que la monitorización integral mejora la confianza social. Los sistemas de vigilancia occidentales se construyen sobre la premisa de que la monitorización integral mejora la seguridad nacional. Las premisas difieren. La infraestructura es estructuralmente idéntica. Y el registro histórico no ofrece ningún ejemplo de una sociedad que haya construido semejante infraestructura y haya declinado permanentemente utilizarla para el control social.

La convergencia estructural entre la vigilancia autoritaria y la democrática es el hallazgo central de este análisis. China opera un sistema de crédito social fragmentado centrado en el cumplimiento corporativo y las listas negras selectivas. Estados Unidos opera un sistema de vigilancia fragmentado centrado en la seguridad nacional y la aplicación de la ley —pero con 3 millones de búsquedas anuales sin orden judicial sobre ciudadanos, un contratista de vigilancia privado valorado en 970 M $, y 60.000 millones de imágenes faciales extraídas en una base de datos comercial, la capacidad funcional es comparable—. El Reino Unido exige puertas traseras de cifrado. India filtra 850 millones de registros biométricos. Los intermediarios de datos venden ubicaciones de personal militar por céntimos. La distinción entre estos sistemas y el de China no es de capacidad. Es de restricción legal —y esas restricciones están retrocediendo de forma demostrable—.

La dimensión comercial es determinante. La vigilancia en las democracias occidentales no es principalmente un proyecto estatal —es un mercado—. Los ingresos de Palantir dependen de ampliar la integración de datos gubernamentales. El modelo de negocio de Clearview AI exige hacer crecer su base de datos facial. Los intermediarios de datos se lucran vendiendo información personal cada vez más granular. La red Ring de Amazon genera valor ampliando sus asociaciones policiales. La industria de vigilancia comercial tiene ingresos, accionistas, grupos de presión y objetivos de crecimiento. Todos los incentivos del sistema comercial empujan hacia más vigilancia, más recopilación de datos, más integración —y el aparato regulatorio concebido para limitar todo esto opera a la velocidad democrática frente a la velocidad comercial—.

El mercado del software espía añade una dimensión transnacional. Cualquier gobierno con presupuesto suficiente puede adquirir hoy capacidades de vigilancia de grado militar de proveedores comerciales. El régimen de control de exportaciones ha demostrado ser incapaz de contener este mercado. Las sanciones se aplican y retiran según ciclos políticos. Las empresas se reestructuran en múltiples jurisdicciones para eludir restricciones. El Proyecto Pegasus documentó el despliegue en 50 países. El número real es casi con certeza mayor. La democratización de la tecnología de vigilancia no es una característica. Es una consecuencia del diseño de tratar la vigilancia como un producto comercial en lugar de como un sistema de armas.

La trayectoria no es ambigua. La libertad en internet ha declinado durante 15 años consecutivos. Las bases de datos de reconocimiento facial crecen a razón de miles de millones de imágenes al año. Las autoridades de inteligencia se están ampliando, no limitando. El cifrado —la protección de privacidad masiva más eficaz— está bajo ataque legislativo en el Reino Unido, Australia y la UE. La respuesta regulatoria, allí donde existe, está estructuralmente superada por las fuerzas comerciales y políticas que impulsan la expansión de la vigilancia.

El Estado de vigilancia no es un escenario futuro. Es una condición presente. Las cámaras están instaladas. Las bases de datos están pobladas. Los algoritmos están en funcionamiento. El software espía está desplegado. Los intermediarios de datos están vendiendo. La pregunta que queda no es técnica. Es política: ¿sirve la infraestructura a la sociedad, o sirve la sociedad a la infraestructura? La evidencia, a fecha de abril de 2026, sugiere que la respuesta avanza en la dirección equivocada —y lo hace tanto en democracias como en autocracias—.