El cierre del año parece estar acelerando las decisiones políticas. En los últimos días y semanas, a lo largo de todo el mundo se ha puesto el pie en el acelerador para aprobar o impulsar nuevas leyes relacionadas con la ciberseguridad y la privacidad. Algunas buscan proteger a ciudadanos y empresas frente al aumento de ciberataques; otras, han encendido alarmas por su potencial impacto en los derechos digitales, la libertad de expresión y el anonimato en línea.

Leyes bien recibidas en Reino Unido y EE.UU.

Una de las medidas más destacadas es una iniciativa del gobierno británico, la Cyber Security and Resilience Bill, que fue presentada al Parlamento tras más de cuatro años de desarrollo y múltiples demoras. Esta ley busca ampliar considerablemente el ámbito de la regulación en sectores como energía, transporte, sanidad, agua y ciertas empresas de infraestructura digital, imponiendo estándares reforzados de ciberseguridad y penalizaciones elevadas para las organizaciones que no cumplan.

La esperada ley fue bien recibida por especialistas, ya que busca evitar “incidentes que significan un impacto importante en la disponibilidad, integridad y confidencialidad del sistema”, incluso si no han derivado todavía en interrupciones del servicio. Además, el gobierno estima que los ataques cibernéticos le cuestan al país más de 19 mil millones de dólares al año en pérdidas directas, lo que refuerza la necesidad de una legislación más robusta.

Por otra parte, en Estados Unidos, el Congreso dio un paso también bien valorado al mover la extensión de la Cybersecurity Information Sharing Act de 2015, una ley clave que había expirado el 1 de octubre y cuya caducidad dejó sin protección legal a las empresas que comparten información sobre amenazas cibernéticas. La iniciativa aprobada en el Senado restablece ese marco hasta el 30 de enero de 2026, incluyendo exenciones, protecciones de responsabilidad y normas antimonopolio para fomentar el intercambio de inteligencia en tiempo real.

Leyes más controvertidas: identificación, VPN y privacidad

En muchas jurisdicciones, las leyes que exigen verificación de identidad están empezando a generar efectos contraproducentes. Según un reciente informe, estos marcos obligan a las organizaciones a recopilar grandes volúmenes de documentos de identidad gubernamentales (pasaportes, libretas de conducir, etc.), lo que rompe con el viejo principio de “no recopilar más datos de los que puedes proteger”. Debido a esto, cada nuevo repositorio puede convertirse en una brecha emergente.

Por otro lado, un análisis de Electronic Frontier Foundation (EFF), dio a conocer que legisladores en estados de EE. UU. como Wisconsin, están impulsando proyectos de ley que buscan prohibir las redes privadas virtuales (VPN) en el contexto de mandatos de verificación de edad. Este abordaje es criticado por la organización como una política que pone en riesgo la privacidad, la seguridad y la libertad de expresión de usuarios, periodistas, activistas y víctimas vulnerables. Además de considerarla absurda, ya que plantea bloquear geográficamente las conexiones por VPN, cuando justamente, la ubicación geográfica es una de las características que oculta una VPN.

En Europa, el polémico y ya conocido Chat Control, cuyo objetivo original era obligar a plataformas y servicios de mensajería a escanear comunicaciones privadas antes de cifrarlas, con el supuesto fin de reportar material de abuso sexual infantil, avanzó hacia una versión más moderada que permite un “escaneo voluntario” en lugar de obligatorio. Aun así, organizaciones de la sociedad civil advierten que esta voluntariedad no elimina el riesgo de que los proveedores se sientan indirectamente obligados a escanear contenido para evitar sanciones, lo cual plantea inquietudes sobre censura, vigilancia y cifrado.