Un deepfake es un contenido audiovisual —vídeo, audio o imagen— generado o manipulado con inteligencia artificial para que parezca real. La palabra viene de "deep learning" (aprendizaje profundo) y "fake" (falso). La tecnología lleva décadas existiendo en formas rudimentarias, pero desde 2020 los modelos generativos han alcanzado un nivel de realismo que hace casi imposible distinguirlos a simple vista.

No todos los deepfakes son maliciosos: hay usos legítimos en cine, educación y entretenimiento. Pero su potencial de daño —para falsificar noticias, difamar personas, cometer fraudes o crear contenido no consentido— es enorme y está documentado en cientos de casos reales.

Aunque los deepfakes mejoran constantemente, todavía existen patrones que pueden delatar su origen artificial. Aprender a buscarlos es una habilidad crítica de ciudadanía digital.

El caso de Taylor Swift fue mediático, pero los deepfakes afectan con mayor frecuencia a personas comunes. En España, el caso de Almendralejo (2023) sacudió al país: varios jóvenes crearon con IA imágenes falsas de compañeras de instituto y las distribuyeron por grupos de WhatsApp. Las víctimas eran niñas de entre 12 y 14 años. Al menos 11 menores resultaron afectadas en lo que los expertos calificaron como una nueva forma de violencia sexual digital.

Estos casos muestran que la amenaza no está solo en grandes plataformas internacionales: ocurre en colegios, en chats privados, entre adolescentes que conocen a sus víctimas. La tecnología que hace esto posible está disponible gratuitamente en internet.

No toda situación incómoda en internet requiere alarmar a un adulto. Pero hay señales claras que sí exigen comunicación inmediata. La clave es entender que avisar a tiempo protege, no castiga.

El mayor obstáculo para que los menores pidan ayuda es el miedo a ser castigados: que les quiten el móvil, que los obliguen a cerrar sus cuentas o que les prohíban usar internet. Este miedo, aunque comprensible, en la mayoría de los casos no se corresponde con la realidad.

Los estudios del INCIBE y de organizaciones como Save the Children muestran que cuando los padres reaccionan de forma punitiva, los menores aprenden a ocultar los problemas futuros. Los adultos que crean un ambiente de confianza —donde el menor sabe que puede contar algo sin perder su privacidad digital automáticamente— reciben información antes y actúan más eficazmente.

Si te resulta difícil iniciar la conversación, puedes empezar con algo tan simple como: "Necesito contarte algo que me pasó en internet y no sé cómo manejarlo." No tienes que tener todas las respuestas. No tienes que haberlo hecho todo perfectamente. Lo importante es contar lo que pasó.

Si el adulto más cercano no te parece la opción adecuada, hay otras personas de confianza: un profesor, un orientador escolar, un familiar mayor. Y si ninguna de esas opciones es posible, la línea 017 ofrece apoyo confidencial sin necesidad de identificarte.

Bajo el RGPD europeo —la ley de privacidad más importante del mundo— los datos personales son "toda información sobre una persona física identificada o identificable". Esto incluye no solo tu nombre o dirección, sino también tu dirección IP, los lugares que visitas online, tus preferencias de compra, tu historial de búsquedas, y los patrones de comportamiento que revelan tu personalidad.

Las empresas de tecnología construyen perfiles cada vez más detallados de sus usuarios combinando estos datos de múltiples fuentes. Un modelo de IA entrenado con tus conversaciones puede inferir tu estado emocional, tus creencias políticas, tu situación económica y mucho más, incluso sin que nunca hayas declarado explícitamente esa información.

La mayoría de las plataformas digitales que usas de forma "gratuita" generan ingresos vendiendo publicidad dirigida. Para hacer esa publicidad efectiva, necesitan conocerte a fondo. Por eso, cuanto más tiempo pasas en una plataforma y más datos compartes, más valiosos eres para su modelo de negocio.

Esta dinámica no es neutral. Los algoritmos están diseñados para maximizar el tiempo que pasas en la plataforma, a menudo amplificando contenidos emocionalmente intensos —indignación, miedo, sorpresa— porque generan más interacción. Las IA recomendadoras de TikTok, YouTube o Instagram no te muestran lo que es mejor para ti: te muestran lo que hace que te quedes más tiempo.

La ley exige que des tu consentimiento antes de que tus datos sean procesados. En la práctica, este consentimiento se obtiene a través de términos y condiciones que nadie lee: un estudio de 2020 calculó que leer todos los términos y condiciones de los servicios que usa una persona promedio tomaría más de 200 horas al año.

Para los menores de 14 años en España, el consentimiento debe ser dado por sus padres o tutores legales. Pero muchas plataformas simplemente te preguntan tu fecha de nacimiento sin verificarla, lo que hace que la protección legal sea fácilmente eludible.

No toda la información falsa tiene la misma naturaleza ni la misma intención. Los investigadores distinguen entre tres categorías principales:

Los algoritmos de recomendación aprenden qué tipo de contenido te gusta y te muestran cada vez más de lo mismo. Con el tiempo, esto crea una "burbuja de filtro": solo ves información que confirma lo que ya crees, y raramente te expones a perspectivas diferentes.

Una "cámara de eco" va un paso más allá: es cuando un grupo de personas solo se comunica con quienes piensan igual, amplificando sus propias creencias hasta el extremo. Las redes sociales han demostrado ser especialmente eficaces creando este efecto, documentado en estudios del MIT, de la Universidad de Oxford y de la Universidad Autónoma de Barcelona, entre muchos otros.

La verificación de hechos —fact-checking— es la habilidad más valiosa de la ciudadanía digital avanzada. Antes de compartir cualquier información, pregúntate: ¿quién la publicó?, ¿cuándo?, ¿qué fuentes cita?, ¿otros medios de credibilidad la confirman?

En España existen plataformas de verificación independientes como Maldita.es, Newtral y AFP Factual que desmienten bulos a diario. Consultarlas antes de compartir una noticia que parece sorprendente o indignante puede evitar que te conviertas, sin saberlo, en un propagador de desinformación.

Tu huella digital es el conjunto de todos los datos que has generado al usar internet: publicaciones en redes sociales, búsquedas, compras, comentarios, fotos etiquetadas, registros de aplicaciones, historial de ubicaciones. Parte de esta huella la creas conscientemente; otra parte se genera automáticamente sin que lo notes.

Lo que diferencia la era de la IA es que estos datos pueden ahora ser analizados, clasificados y utilizados para tomar decisiones sobre ti. Universidades, empleadores, aseguradoras y agencias gubernamentales usan ya herramientas de análisis digital para evaluar personas. En algunos países, los sistemas de "puntuación social" basados en IA utilizan la huella digital para determinar el acceso a servicios básicos.

El RGPD reconoce el "derecho al olvido": puedes solicitar que se eliminen datos personales sobre ti que ya no son relevantes o que fueron obtenidos sin consentimiento. En 2014, el Tribunal de Justicia de la UE obligó a Google a eliminar resultados de búsqueda sobre el ciudadano español Mario Costeja González, en el caso que estableció el precedente legal europeo.

Sin embargo, este derecho tiene límites importantes. No se aplica a noticias de interés público, a datos históricos relevantes ni a información que es necesaria para el ejercicio de la libertad de expresión. Y en la práctica, los datos eliminados de una plataforma pueden seguir existiendo en capturas de pantalla, en servidores de archivo como Wayback Machine o replicados en otros sitios.

La huella digital no es solo un riesgo: también es una oportunidad. Publicar trabajos creativos, proyectos de programación, artículos de opinión bien argumentados o contribuciones a proyectos colaborativos construye una reputación digital positiva que puede abrir puertas académicas y profesionales.

Los estudiantes que aprenden a gestionar su identidad digital desde jóvenes —eligiendo deliberadamente qué comparten, cómo se presentan y qué proyectos asocian a su nombre— tienen una ventaja competitiva real en un mundo donde la reputación online precede a la reputación en persona.

La ciberseguridad siempre ha sido una carrera armamentística entre atacantes y defensores. La IA ha acelerado ambos lados de esta carrera de forma dramática. Los atacantes usan IA para personalizar correos de phishing, generar deepfakes convincentes, descubrir vulnerabilidades en código y automatizar ataques a escala masiva. Los defensores usan IA para detectar patrones anómalos, identificar amenazas en tiempo real y responder a incidentes más rápidamente.

El problema es que la asimetría favorece a los atacantes: crear un ataque es más barato que construir una defensa robusta, y un solo ataque exitoso puede superar miles de defensas fallidas.

El phishing tradicional —correos fraudulentos que suplantan la identidad de bancos, empresas o personas conocidas para robar contraseñas o dinero— era relativamente fácil de detectar: mala gramática, diseños genéricos, mensajes que no personalizaban al destinatario.

La IA generativa ha eliminado estas señales delatoras. Hoy un sistema de IA puede analizar el historial de mensajes de una persona en redes sociales, aprender su estilo de comunicación y generar un correo que imita perfectamente a alguien de su confianza, con referencias a eventos reales de su vida. Los estudios del SANS Institute muestran que la tasa de éxito del phishing potenciado por IA es entre tres y cinco veces superior al phishing tradicional.

Contra amenazas sofisticadas de IA, las defensas más eficaces son a menudo las más básicas. La autenticación en dos pasos hace que robar una contraseña no sea suficiente para acceder a una cuenta. Las contraseñas únicas y complejas evitan que una filtración en un servicio comprometa todos los demás. Actualizar el software corrige vulnerabilidades que los atacantes ya conocen.

La verificación por un canal separado es especialmente importante en la era de los deepfakes: si recibes una instrucción inusual en una llamada o correo —por muy auténtica que parezca— verifica por teléfono llamando al número oficial de quien supuestamente la envió, no al número que aparece en el mensaje.

El Reglamento General de Protección de Datos (RGPD), vigente desde 2018, es la ley de privacidad más exigente del mundo y protege a todos los ciudadanos europeos independientemente de dónde esté ubicada la empresa que procesa sus datos. Cualquier empresa que quiera operar en Europa debe cumplirlo, bajo pena de multas de hasta el 4% de su facturación global anual.

En 2024, la Unión Europea aprobó la Ley de Inteligencia Artificial (AI Act), la primera regulación integral de IA del mundo. Clasifica los sistemas de IA según su nivel de riesgo: desde sistemas prohibidos (como el reconocimiento facial masivo en espacios públicos) hasta sistemas de alto riesgo (como los que toman decisiones sobre admisiones educativas o contratación laboral) con requisitos de transparencia y supervisión humana.

La Ley de IA de la UE prohíbe explícitamente ciertos usos de la inteligencia artificial que se consideran incompatibles con los derechos fundamentales:

Conocer tus derechos es solo el primer paso. La ciudadanía digital responsable implica también cumplir con tus responsabilidades: respetar la privacidad de otros, no distribuir contenido falso o dañino, usar las herramientas digitales de forma ética y participar constructivamente en el debate público online.

Las generaciones que han crecido con internet y la IA tienen la oportunidad de ser las más informadas de la historia sobre estas herramientas. Esa información es poder: poder para exigir que la tecnología sirva a las personas y no al revés, poder para participar en los debates sobre cómo se regula la IA, y poder para construir un entorno digital que sea genuinamente más seguro, más justo y más libre.