TL;DR:

• Heather Adkins, VP de Seguridad de Ingeniería de Google, alerta que las medidas del DMA para abrir Android y Search a terceros generarían un crecimiento acelerado de fraudes en Europa.
• Los métodos de anonimización propuestos por la Comisión Europea tienen "profundas debilidades": el Red Team de Google demostró internamente que es posible re-identificar a usuarios en menos de dos horas.
• La decisión final de Bruselas llega el 27 de julio de 2026; el incumplimiento podría costarle a Google hasta el 10% de sus ingresos globales anuales.

Heather Adkins, vicepresidenta de Seguridad de Ingeniería de Google y miembro fundadora de su equipo de ciberseguridad, lanzó esta semana una de las advertencias más directas que la compañía ha hecho públicas sobre el Digital Markets Act (DMA): si Bruselas obliga a la empresa a abrir su motor de búsqueda y el sistema operativo Android bajo los términos actualmente propuestos, las consecuencias para los usuarios europeos podrían sentirse en cuestión de semanas. Así lo reportó Wired.

El detonador es doble. En enero de 2026, la Comisión Europea abrió dos procedimientos formales contra Google bajo el DMA, el reglamento que designa a los grandes operadores tecnológicos como "guardianes del mercado digital" y los obliga a abrir sus plataformas a la competencia. El primer procedimiento, bajo el Artículo 6(11), exige compartir datos de búsqueda anonimizados —queries, clics, rankings y vistas— con motores rivales y chatbots de IA como ChatGPT, Claude o Perplexity. El segundo, bajo el Artículo 6(7), exige que Android sea interoperable con asistentes de IA alternativos a Gemini.

Los datos de búsqueda: el riesgo de re-identificación

Adkins no objeta el objetivo del DMA. El problema, en su argumento, es la ingeniería de lo que propone Bruselas. Los métodos de anonimización que la Comisión diseñó para proteger las queries de los usuarios tienen "profundas debilidades". David Lewis, responsable de consultoría de privacidad de Google para Europa, Medio Oriente y África, fue más concreto: ingenieros de la compañía ya demostraron internamente que es posible re-identificar a usuarios a partir de esos datos. El Red Team de Google —el grupo de hackers éticos que simula ataques reales contra los sistemas de la empresa— logró revertir ese anonimato en menos de dos horas, según reportó Reuters en mayo.

El argumento no es solo técnico. Si esos datos llegan a terceros que no cuentan con los recursos económicos ni técnicos de Google para protegerlos, cualquier brecha en esas empresas abre una ventana directa a las búsquedas más sensibles de millones de europeos: historial médico, situación financiera, vida personal. Un atacante no necesitaría hackear a Google. Bastaría con comprometer a un competidor más pequeño que reciba el mismo feed de datos.

Android abierto, terreno fértil para el fraude

La segunda frente es Android. Hoy, Gemini opera como asistente del sistema operativo: se activa con el botón de encendido, lee la pantalla, interactúa con otras apps y accede a funciones del sistema que las apps de terceros no pueden tocar. El DMA dice que esa asimetría no está permitida si Google la usa para favorecerse a sí mismo frente a competidores.

Para nivelar el campo, la Comisión propone que rivales reciban el mismo nivel de acceso al sistema: micrófono, cámara, aplicaciones instaladas, funciones de activación por voz. El escenario que describe Google: actores maliciosos podrían distribuir chatbots con esos mismos permisos ampliados para extraer datos personales a escala. La empresa proyecta que el fraude en Europa aumentaría en pocas semanas de implementarse las medidas tal como están redactadas.

Desde Bruselas, la perspectiva es diferente. Mozilla, cuyo director de Política Pública de la UE Tasos Stampelos habló con TechRadar, rechaza el argumento binario de Google. "No es una situación de blanco o negro donde o tienes competencia o tienes privacidad", dijo Stampelos. Su lectura: Google "no está en el espíritu de cumplir con la regulación" sino en el de obstaculizarla.

Lo que hay en medio es una conversación técnica que sí está ocurriendo. En mayo de 2026, Sergy Vassilvitskii, el científico de privacidad diferencial de Google, se reunió en persona con funcionarios de la Comisión para proponer guardrails alternativos de anonimización que, según su argumento, cumplirían los objetivos competitivos del DMA sin abrir el riesgo de re-identificación que su equipo Red Team demostró. Si la Comisión acepta ese planteamiento o lo descarta es, de momento, una incógnita.

La paradoja: Google también amplía su propia red de datos

Mientras Bruselas y Mountain View negocian quién puede acceder a las búsquedas de los usuarios europeos, Google movió otro tablero en silencio.

Su nueva pestaña Search Services History almacena, por defecto, los archivos multimedia que los usuarios suben durante interacciones de búsqueda — incluyendo imágenes enviadas a Google Lens y búsquedas inversas de imágenes — con el objetivo declarado de entrenar sus modelos de IA. Es una configuración activa por defecto para cualquier cuenta con historial de búsqueda habilitado, lo que podría incluir a millones de usuarios sin que lo hayan autorizado explícitamente.

La ironía es evidente: una herramienta que fotógrafos y creadores usan precisamente para rastrear si sus imágenes están siendo usadas sin permiso ahora alimenta directamente los sistemas de aprendizaje automático de la empresa. Desactivarlo requiere ir a la sección "Mi Actividad" dentro de la cuenta de Google, localizar la pestaña Search Services History y desmarcar la casilla "Guardar medios".

La decisión final de la Comisión Europea sobre las medidas de cumplimiento del DMA debe publicarse antes del 27 de julio de 2026. Si Google no se ajusta a lo que Bruselas ordene, las multas pueden alcanzar el 10% de sus ingresos globales anuales — y eso sobre una empresa con ingresos anuales superiores a los 300 mil millones de dólares. Lo que está en juego, para ambos lados, ya no admite cálculos modestos.

Fuentes: 1, 2