La Comisión Europea ha impuesto a la red social X (antes Twitter) una multa de 120 millones de euros por infracciones graves del Digital Services Act (DSA). El expediente identifica tres ejes de incumplimiento: un sistema de verificación de cuentas potencialmente engañoso, falta de transparencia en el repositorio de publicidad y barreras artificiales al acceso de investigadores a datos públicos de la plataforma.
Digital Services Act: obligaciones reforzadas para las grandes plataformas en línea
El Digital Services Act, en vigor en la Unión Europea desde 2022, establece un marco regulatorio estricto para las denominadas plataformas en línea de muy gran tamaño. Estas deben gestionar de forma proactiva los riesgos sistémicos asociados a contenido ilegal, desinformación, estafas en línea y manipulación del debate público.
Entre las obligaciones clave del DSA destacan la transparencia algorítmica, la claridad sobre quién paga y dirige la publicidad, y la ausencia de prácticas engañosas en la presentación del estatus de las cuentas. La Comisión examinó durante casi dos años el desempeño de X en estas áreas, centrando su análisis en cómo la plataforma gestiona la difusión de contenido dañino y campañas de influencia coordinadas.
Verificación de cuentas en X y riesgos de suplantación de identidad
La “marca azul” como posible mensaje engañoso para el usuario
El principal reproche del regulador se dirige al rediseño de la verificación de cuentas en X. Según la Comisión, la plataforma genera la impresión de que la cuenta ha sido verificada oficialmente, cuando en la práctica el distintivo azul puede obtenerse mediante una suscripción de pago, sin un proceso robusto de comprobación de identidad.
El DSA no obliga a las plataformas a verificar la identidad de cada usuario, pero sí prohíbe atribuir un estatus de verificación que no se corresponde con una validación real. En la práctica, muchos usuarios interpretan la marca azul como garantía de autenticidad, cuando hoy equivale principalmente a un servicio premium.
Cómo la verificación de pago incrementa el phishing y el fraude online
Desde una perspectiva de ciberseguridad, este modelo incrementa la superficie de ataque. La marca azul puede conferir a los atacantes una falsa apariencia de legitimidad, facilitando campañas de phishing y impersonación de marcas, medios y figuras públicas. Informes como el Verizon Data Breach Investigations Report y los análisis de ENISA apuntan a que los usuarios confían más en mensajes que perciben como “oficiales”, lo que se traduce en mayores tasas de clic y entrega de credenciales.
El resultado es un aumento del riesgo de robo de cuentas, distribución de enlaces maliciosos y ataques dirigidos contra empresas, instituciones públicas y operadores de infraestructuras críticas. La Comisión subraya que la confusión sobre el verdadero significado de la verificación dificulta al usuario evaluar la autenticidad de un perfil y abre la puerta a campañas de manipulación informativa a gran escala.
Transparencia publicitaria en X y su impacto en la manipulación informativa
El segundo bloque de incumplimientos se relaciona con la transparencia de la publicidad en línea. El DSA exige que las grandes plataformas mantengan un repositorio de anuncios accesible y consultable, donde se pueda identificar quién financia la campaña, qué audiencias se segmentan y qué mensajes se utilizan.
Según la evaluación de la Comisión, la base de datos publicitaria de X no cumple los estándares de accesibilidad y explotabilidad: las búsquedas son complejas, la estructura de la información no facilita el análisis masivo y las respuestas a las consultas son lentas o incompletas. Esta opacidad complica la detección de:
campañas publicitarias fraudulentas;
contenidos engañosos o claramente falsos;
operaciones coordinadas de influencia política o electoral.
Para la ciberseguridad y la resiliencia informativa de las sociedades democráticas, una publicidad poco transparente significa que las campañas de desinformación y ciberestafas son más difíciles de rastrear, tanto para las fuerzas de seguridad como para investigadores independientes y organizaciones de verificación de datos.
Acceso de investigadores a datos públicos y análisis de riesgos sistémicos
La tercera infracción señalada por Bruselas se refiere a las restricciones al acceso de investigadores a datos públicos de la plataforma. De acuerdo con el DSA, las grandes plataformas deben permitir un acceso razonable a estos datos cuando sea necesario para estudiar riesgos para los usuarios y la sociedad.
Estos conjuntos de datos son esenciales para detectar redes de bots, campañas coordinadas de desinformación, acoso organizado o ataques reputacionales contra individuos y organizaciones. Limitar su acceso reduce la capacidad del ecosistema académico y de la sociedad civil para el descubrimiento temprano de actividad maliciosa y el desarrollo de contramedidas eficaces.
Plazos de corrección, sanciones adicionales y lecciones de ciberseguridad
La Comisión Europea ha otorgado a X 60 días laborables para corregir los problemas relacionados con la verificación de cuentas y 90 días adicionales para presentar planes creíbles sobre la transparencia publicitaria y el acceso a datos para investigadores. Si la plataforma no cumple, podrían imponerse multas periódicas adicionales y, en última instancia, restricciones más severas a su operativa en el mercado europeo.
Este caso ilustra que la ciberseguridad moderna va mucho más allá de los firewalls y el antivirus. Diseños de productos aparentemente “comerciales”, como los modelos de verificación, las mecánicas de segmentación publicitaria o las políticas de acceso a datos, tienen un impacto directo en la proliferación de fraudes, phishing y desinformación. Los usuarios deberían desconfiar de los llamados “sellos de confianza” en redes sociales, verificar de forma independiente las fuentes y extremar la prudencia antes de hacer clic, incluso cuando el mensaje provenga de una cuenta “verificada”. Las organizaciones, por su parte, deberían incorporar estos riesgos en sus políticas de seguridad, en la formación de empleados y en la monitorización continua de la huella digital de su marca.
