La autoridad irlandesa de protección de datos ha abierto una investigación formal sobre X a raíz del uso de Grok, la herramienta de inteligencia artificial vinculada a la plataforma, para generar imágenes sexuales no consentidas de personas reales, incluidos menores. La intervención del regulador irlandés no es un trámite menor: Irlanda actúa como autoridad líder en la Unión Europea para X al ser la sede europea de la compañía, por lo que sus conclusiones pueden traducirse en sanciones con efecto en todo el Espacio Económico Europeo. Puedes leer la nota oficial del organismo en su comunicado público aquí.
El foco de la investigación son las obligaciones básicas del Reglamento General de Protección de Datos (GDPR): si la filial europea de X (X Internet Unlimited Company) actuó conforme a los principios de procesamiento lícito, si aplicó medidas de protección por diseño y por defecto, y si realizó las evaluaciones de impacto de protección de datos que la ley exige para sistemas de alto riesgo. En lenguaje práctico: los reguladores quieren saber si el riesgo de producir daños reales —como la creación de imágenes que vulneran la intimidad o que pueden constituir abuso sexual de menores— fue valorado y mitigado antes del despliegue del servicio.
La investigación irlandesa se suma a una batería de pesquisas internacionales. El regulador británico de protección de datos (ICO) anunció su propia investigación formal a principios de febrero; el regulador de seguridad online del Reino Unido, Ofcom, también lanzó una indagación centrada en la generación de imágenes sexualizadas, y el fiscal general de California abrió un procedimiento en Estados Unidos. Enlaces a estos anuncios oficiales están disponibles en las páginas del ICO, la Ofcom y la oficina del Fiscal General de California.
También ha habido actuaciones de carácter penal en Europa: fiscales franceses registraron oficinas de X y están investigando si Grok pudo generar material que constituya explotación sexual infantil o que difunda contenidos criminales como negación del Holocausto. La prensa y agencias internacionales han seguido estos movimientos; por ejemplo, Reuters ha informado de las actuaciones de la Comisión Europea y de las pesquisas en Francia.
¿Por qué importa tanto que la DPC sea la autoridad líder? Cuando un regulador europeo enmarca una investigación bajo el GDPR con carácter transversal, sus decisiones pueden aplicarse en los 27 estados miembro y en los tres países del EEE. Eso implica que, si se considera que X ha incumplido la normativa, la sanción —y las medidas correctoras— tendrían impacto europeo en la operativa del servicio, no sólo en un país concreto.
Además de la dimensión administrativa, hay consecuencias comerciales y reputacionales. Las multas bajo el GDPR pueden alcanzar hasta el 4% de la facturación global anual de una empresa, un techo que las grandes tecnológicas saben que puede ser doloroso. Por su parte, el ICO puede imponer multas significativas en Reino Unido: ambos marcos tienen palancas para forzar cambios técnicos y de gobernanza en productos de IA.
En el plano técnico y ético, el caso vuelve a poner sobre la mesa preguntas que no son nuevas pero sí urgentes: ¿qué controles deben implementarse antes de permitir que un modelo genere imágenes que representen a personas reales? ¿Bastan filtros de contenido y listas negras, o hacen falta pruebas técnicas y auditorías externas que garanticen límites claros? La discusión gira en torno a la responsabilidad compartida entre diseñadores de modelos, plataformas que los ponen a disposición y reguladores que imponen estándares.
Las medidas prácticas que exigen los reguladores suelen abarcar desde la realización de evaluaciones de impacto (DPIA) hasta la incorporación de salvaguardas técnicas, pruebas de adversarial robustness y mecanismos claros de denuncia y rectificación. Los investigadores y auditores reclaman transparencia sobre los datos de entrenamiento, capacidades del modelo y evaluaciones de riesgo; los reguladores reclaman que todo eso quede documentado y operativo antes de que el público general interactúe con herramientas capaces de producir daños graves.
Desde la empresa implicada, las comunicaciones iniciales apuntan a que se ha mantenido diálogo con las autoridades. El tono oficial del regulador irlandés indica que esa interlocución continuará mientras se desarrolla la investigación. Pero el curso de la indagación podría llevar a exigencias de modificación del producto, limitaciones de funcionalidad o, en última instancia, sanciones económicas que obliguen a reconfigurar cómo y a quién se ofrece la tecnología.
Para el público y para profesionales de la tecnología, este caso es una llamada de atención. No es solo un conflicto legal; es un experimento en tiempo real sobre cómo integrar sistemas de IA potentes en servicios masivos sin desproteger a las personas. Las decisiones que tomen DPC, ICO, Ofcom, la Comisión Europea y otros actores marcarán precedentes sobre la gobernanza de modelos generativos y sobre qué se considera un despliegue responsable.
Mientras avancen las investigaciones, conviene seguir la información de las fuentes oficiales y de medios fiables. Para consultar los comunicados y las acciones ya anunciadas, aquí están los enlaces del regulador irlandés DPC, del ICO, de Ofcom, del Fiscal General de California y de reportes internacionales como el de Reuters. Seguiremos atentos a cómo terminan estas investigaciones y a qué lecciones dejan para el diseño responsable de inteligencia artificial.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...