La policía francesa realizó un registro en las oficinas de X en París esta semana en el marco de una investigación penal que tiene como eje la herramienta de inteligencia artificial Grok, utilizada por la plataforma para generar imágenes con contenido sexual. Las autoridades abrieron el expediente a principios de 2025 y, según fuentes oficiales, ampliaron las pesquisas tras recibir denuncias sobre generación y difusión de material ilícito, incluidos deepfakes sexuales y contenidos que niegan el Holocausto.
La intervención fue ejecutada por la unidad especializada en ciberdelitos de la Gendarmería Nacional y contó con apoyo de agentes de Europol. El fiscal de París ha impulsado medidas que van más allá del registro: citó de forma voluntaria a Elon Musk y a la directora ejecutiva de X, Linda Yaccarino, para que acudan a declarar el 20 de abril, y planea recibir a varios empleados de la plataforma como testigos entre el 20 y el 24 de abril. El despacho del fiscal justificó estas citaciones señalando que las declaraciones permitirán a los responsables de la empresa exponer su versión de los hechos y, si procede, las medidas de cumplimiento que piensan adoptar (comunicado del fiscal).
En el centro de la investigación están varios posibles delitos: complicidad en la posesión y distribución de pornografía infantil, delitos relacionados con deepfakes sexuales no consentidos, negación del Holocausto, extracción fraudulenta de datos, manipulación de sistemas y la presunta explotación de una plataforma online de manera ilícita dentro de una estructura organizada. La enumeración de cargos refleja la complejidad del caso: no se trata solo de moderar contenidos, sino de determinar responsabilidades penales y técnicas en la gestión y despliegue de modelos de IA que interactúan en entornos públicos.
X ya reaccionó públicamente calificando la investigación, o al menos ciertos aspectos de ella, como una acción con motivaciones políticas; su cuenta oficial de Asuntos Globales publicó una versión de los hechos en la que rechazaba las imputaciones sobre manipulación algorítmica y “extracción fraudulenta de datos” (mensaje de X Global Affairs). La tensión entre la empresa y reguladores no es nueva: desde Bruselas hasta Londres y California se han abierto diligencias para evaluar si la compañía cumplió con las obligaciones jurídicas al poner en marcha Grok.
La Comisión Europea inició en enero de 2026 una investigación dirigida a comprobar si X realizó una evaluación adecuada de riesgos exigida por el marco normativo europeo conocido como Digital Services Act antes de desplegar Grok; el DSA obliga a las plataformas a identificar y mitigar riesgos sistémicos derivados de sus servicios (más sobre el DSA). En paralelo, organismos nacionales han lanzado pesquisas de distinto alcance: la Oficina del Comisionado de Información del Reino Unido emitió una declaración en la que expresa su preocupación, Ofcom anunció una investigación centrada en la seguridad en línea y el fiscal general de California abrió una revisión por el uso de la IA en la generación de imágenes sexuales sin consentimiento (ICO, Ofcom, Oficina del Fiscal General de California).
Estas actuaciones se articulan en medio de otra sanción de la Unión Europea: en diciembre, la Comisión impuso una multa a X por incumplimientos en obligaciones de transparencia asociadas al DSA. Ese antecedente subraya que las autoridades europeas están vigilantes sobre cómo las grandes plataformas documentan y comunican los riesgos y controles de sus sistemas automatizados, especialmente cuando impactan derechos fundamentales y la seguridad pública.
¿Qué plantea este caso desde la tecnología y la política pública? En primer lugar, expone la dificultad de contener el mal uso de modelos generativos cuando se combinan con una interfaz pública y con posibilidades de compartir contenido de forma viral. En segundo lugar, subraya la necesidad de marcos claros para auditar y supervisar modelos: saber qué datos se usaron para entrenarlos, cómo se filtran solicitudes que pueden dar lugar a imágenes que vulneren la ley, y qué mecanismos existen para frenar la distribución de material ilícito.
También hay implicaciones en el terreno de la responsabilidad técnica y legal. Los reguladores buscan respuestas sobre si la plataforma implementó salvaguardas eficaces y si existieron fallos o prácticas que facilitaron la extracción masiva de datos o la manipulación del sistema. La línea entre una negligencia en moderación y una conducta constitutiva de delito no siempre es nítida, y ahí entra la labor de los fiscales y los peritos informáticos para reconstruir hechos y atribuir culpas.
Para las empresas tecnológicas, la lección es clara: lanzar modelos generativos en entornos de gran alcance sin controles robustos puede acarrear consecuencias legales y regulatorias severas. Para los reguladores, el reto consiste en actuar con celeridad pero también con criterios técnicos sólidos, porque imponer restricciones excesivas o sanciones sin pruebas puede alimentar narrativas de persecución política, mientras que una respuesta tibia dejaría sin protección a las personas afectadas por deepfakes o explotación sexual.
En el plano social, la crisis reaviva preguntas sobre la protección de la intimidad y la dignidad frente a herramientas que reproducen imágenes sin consentimiento. Además, la presencia de contenidos que niegan crímenes históricos añade una capa de daño simbólico y legal; muchas jurisdicciones consideran la negación del Holocausto como un delito, y su proliferación en plataformas plantea dilemas sobre la moderación, la educación y la libertad de expresión.
Mientras se desarrolla la instrucción en Francia y avanzan las investigaciones en varios países, conviene observar dos procesos paralelos: por un lado, la investigación penal que puede terminar en cargos y sanciones; por otro, los procedimientos regulatorios que buscan ajustar la gobernanza de la IA en la esfera pública. Ambos van a influir en cómo las empresas diseñan y despliegan modelos generativos en el futuro cercano.
La historia no se reduce a una única red social o a un solo producto: es una prueba para el ecosistema entero sobre cómo equilibrar innovación y seguridad, y sobre qué modelos de gobernanza multijurisdiccional son efectivos frente a riesgos que no respetan fronteras. Si quiere consultar las comunicaciones oficiales relacionadas con el caso y las investigaciones regulatorias, puede revisar el comunicado del fiscal de París (anuncio en LinkedIn), el detalle del fiscal en PDF (comunicado del Tribunal de París) y las reacciones de organismos reguladores como la Comisión Europea sobre el DSA, la ICO, Ofcom y la Oficina del Fiscal General de California. También puede seguir la postura oficial difundida por X a través de su cuenta de Asuntos Globales (mensaje en X).
En definitiva, este caso cifra una encrucijada: cómo permitir que la tecnología avance y, al mismo tiempo, cómo exigir que ese avance no deje impunes los daños a las personas ni socave normas penales y de convivencia. Los próximos pasos —audiencias, peritajes y resoluciones regulatorias— marcarán no solo el rumbo de X y Grok, sino también las normas imprescindibles para la IA que convivirá con millones de usuarios en todo el mundo.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...