IA Global

El algoritmo como arma de destrucción democrática: metadatos, psicografía e interferencia electoral

Un estudio jurídico-documental sobre la manipulación masiva de datos, la interferencia algorítmica y la fragilidad de los sistemas electorales contemporáneos a la luz de los casos Cambridge Analytica, la Agencia de Investigación de Internet Rusa y las elecciones anuladas en Rumanía (2014-2026).

I. Introducción: la metamorfosis de la injerencia electoral en el ecosistema digital

1.1. Planteamiento del problema: del voto comprado al voto programado

La historia de la interferencia en procesos electorales ha conocido tradicionalmente dos grandes categorías de vulneración: la coacción directa sobre el elector y la compra de sufragios mediante incentivos económicos o clientelares. Ambas modalidades, pese a su persistencia en numerosos sistemas políticos, compartían un rasgo estructural común: su carácter localizable, cuantificable y, en última instancia, judicializable a través de los mecanismos clásicos del Derecho electoral. El tránsito hacia la democracia digital, sin embargo, ha abierto una tercera vía de interferencia cualitativamente distinta, basada no en la manipulación del voto individual mediante presión o soborno, sino en la manipulación de la percepción y la decisión del elector a través del tratamiento masivo de sus datos personales, la microsegmentación psicográfica y la amplificación algorítmica de mensajes diseñados para explotar sesgos cognitivos y fragilidades emocionales.

Este fenómeno, que denominaremos interferencia cognitiva asistida por metadatos, se caracteriza por operar en un espacio de opacidad técnica, con una escalabilidad incompatible con los mecanismos de control electoral tradicionales, y con un impacto que no se limita a la modificación del sentido del voto, sino que erosiona la propia confianza en la integridad del proceso. Los casos que han emergido desde 2014 hasta la actualidad —desde la actuación de Cambridge Analytica hasta la anulación de las elecciones presidenciales de Rumanía en 2024— revelan un patrón común: la explotación de los metadatos generados por la actividad digital cotidiana para construir perfiles de vulnerabilidad psicológica, y la posterior inyección de mensajes personalizados en los canales de consumo informativo de cada ciudadano, con el objetivo de modificar su comportamiento electoral sin que este sea consciente de la interferencia.

La magnitud del fenómeno alcanza dimensiones sistémicas. El Parlamento Europeo documentó, a través de la pregunta parlamentaria P‑001683‑18, que Cambridge Analytica logró extraer datos de entre 50 y 65 millones de perfiles de Facebook (1), con un nivel de detalle que incluía "cada desplazamiento de pantalla, cada acción, cada 'me gusta'" (2). Por su parte, la investigación del Comité Selecto de Inteligencia del Senado de los Estados Unidos, con datos proporcionados por las propias plataformas, estableció que 126 millones de ciudadanos estadounidenses pudieron haber estado expuestos a contenido generado por la Agencia de Investigación de Internet (IRA) rusa durante la campaña de 2016 (3). Estas cifras no son meramente estadísticas: representan la capacidad de intervenir sobre el cuerpo electoral en una escala que ningún método tradicional de compra de votos podría alcanzar.

La novedad del fenómeno no reside únicamente en su escala, sino en su naturaleza asimétrica. Mientras que los Estados y las instituciones electorales operan con marcos normativos concebidos para un ecosistema analógico, los actores de la interferencia —empresas privadas de datos, granjas de trolls financiadas por Estados, y plataformas digitales con algoritmos propietarios— se mueven en un espacio de regulación laxa, donde la extracción de datos se ampara en consentimientos opacos, la segmentación política se confunde con la publicidad comercial, y la responsabilidad por el contenido amplificado se diluye entre el creador, el intermediario y el destinatario.

1.2. Justificación académica y relevancia práctica del estudio

La pertinencia de abordar este objeto de estudio desde una perspectiva jurídico-documental se fundamenta en tres órdenes de razones. En primer lugar, la dimensión temporal: los casos documentados abarcan un arco de doce años (2014‑2026), lo que permite observar la evolución de las tácticas, la persistencia de los actores y la respuesta —siempre tardía y fragmentaria— de los ordenamientos jurídicos. Desde las primeras operaciones de la IRA hasta la anulación electoral en Rumanía, se aprecia un aprendizaje organizado que ha perfeccionado los mecanismos de opacidad y ha explotado las ventanas de vulnerabilidad regulatoria.

En segundo lugar, la dimensión geopolítica: la interferencia basada en metadatos no es un fenómeno circunscrito a las democracias occidentales, sino que afecta a sistemas políticos de todos los continentes. El presente estudio abarca casos en América del Norte (EE.UU.), Europa (Reino Unido, Rumanía, Moldavia, así como el expediente supranacional abierto contra Meta por la Comisión Europea), América del Sur (Brasil), Asia (Filipinas, Kurdistán iraquí) y África (Nigeria). Esta diversidad geográfica permite extraer conclusiones sobre la universalidad del fenómeno y, al mismo tiempo, sobre la heterogeneidad de las respuestas institucionales, lo que constituye un valioso elemento de comparación para la construcción de estándares internacionales.

En tercer lugar, la dimensión normativa: los marcos jurídicos vigentes —desde el Reglamento General de Protección de Datos (RGPD) hasta los códigos de conducta de las plataformas— han mostrado una eficacia limitada para prevenir, detectar y sancionar estas interferencias. La doctrina jurídica se enfrenta a problemas inéditos: la atribución de causalidad entre la manipulación algorítmica y el resultado electoral, la carga de la prueba en procedimientos de impugnación, la determinación de la responsabilidad de los intermediarios digitales, y la compatibilidad de las medidas de control con las libertades de expresión y participación política. Estos problemas exigen un análisis sistemático que integre el Derecho constitucional, el Derecho administrativo, el Derecho internacional y la normativa de protección de datos.

1.3. Hipótesis de trabajo: los metadatos como vector de vulnerabilidad sistémica

La hipótesis que guía el presente estudio es doble. En su formulación principal, se sostiene que los metadatos —entendidos como el conjunto de datos de carácter personal generados por la actividad digital, incluyendo patrones de navegación, interacciones en redes sociales, preferencias declaradas e implícitas, y geolocalización— constituyen el vector de vulnerabilidad sistémica más relevante de los sistemas electorales contemporáneos, no tanto por su capacidad para determinar el voto, sino por su capacidad para condicionar el entorno informativo en el que el voto se forma, distorsionando así el principio de deliberación pública libre y plural.

En su formulación secundaria, se sostiene que la respuesta institucional y regulatoria ha sido sistemáticamente insuficiente por tres razones acumulativas: (a) un desfase temporal entre la velocidad de innovación tecnológica y la lentitud del proceso legislativo; (b) un déficit de inteligencia forense electoral, que impide a los órganos judiciales y administrativos acreditar los hechos con el estándar probatorio exigido; y (c) una fragmentación jurisdiccional que impide abordar la interferencia transfronteriza con la necesaria coordinación.

Estas hipótesis serán contrastadas a lo largo del estudio mediante el análisis pormenorizado de los casos seleccionados, la identificación de patrones comunes y divergentes, y la evaluación de la eficacia de los instrumentos normativos aplicados.

1.4. Metodología y alcance: análisis de casos, fuentes institucionales y contraste documental

La metodología empleada es de naturaleza cualitativa, documental y comparada, estructurada en tres niveles de análisis. El primer nivel consiste en el estudio de caso múltiple, tomando como unidades de análisis las interferencias documentadas en procesos electorales entre 2014 y 2026. La selección de casos responde al criterio de relevancia institucional: todos los casos analizados cuentan con registros oficiales en parlamentos nacionales o supranacionales, informes de organismos de inteligencia, resoluciones judiciales, decisiones de órganos de supervisión de plataformas, o publicaciones académicas con revisión por pares.

El segundo nivel se centra en el análisis de fuentes primarias institucionales: preguntas parlamentarias del Parlamento Europeo (1), evidencias escritas presentadas ante el Parlamento del Reino Unido (7), informes del Senado de Estados Unidos (3), decisiones del Oversight Board de Meta (14), y comunicaciones oficiales del Tribunal Constitucional de Rumanía a través de fuentes documentales europeas (5). Estas fuentes gozan de un alto valor probatorio y permiten reconstruir los hechos sin recurrir a especulaciones mediáticas.

El tercer nivel incorpora la doctrina académica y los estudios empíricos disponibles, procedentes de publicaciones indexadas como ScienceDirect (6), Taylor & Francis (16), Oxford Academic (19), Sage Journals (18), arXiv (11), así como informes de instituciones universitarias como Columbia Business School (15), Flinders University (16) y la Universidad de Padua (17), entre otras. Estas fuentes aportan el necesario contraste analítico y permiten evaluar la solidez de las evidencias empíricas sobre el impacto real de las interferencias, un extremo sobre el que la propia doctrina muestra divergencias significativas.

El alcance temporal del estudio se extiende desde el inicio de las operaciones documentadas de la IRA en 2014 hasta las elecciones anuladas en Rumanía en 2024, con referencias puntuales a procesos de 2025 (Moldavia) y 2026 (actualización de interrogantes parlamentarias europeas). Este arco temporal permite capturar la evolución de las tácticas y la maduración de la respuesta normativa. No se incluyen casos cuya documentación sea exclusivamente periodística sin respaldo institucional o académico, a fin de preservar el rigor exigido por el presente estudio.

El estudio no aspira a ofrecer una teoría general de la interferencia electoral digital, sino a construir un mapa documentado de sus manifestaciones más significativas, a identificar los problemas jurídicos comunes, y a proponer líneas de reforma regulatoria con base en la evidencia recopilada. Se adopta, por tanto, una perspectiva de jurisprudencia práctica, orientada a proporcionar herramientas a legisladores, autoridades electorales y operadores judiciales.

II. Marco conceptual y taxonomía de la interferencia basada en metadatos

2.1. Definición operativa de metadato, perfil psicográfico y segmentación conductual

La comprensión jurídica del fenómeno exige, como premisa ineludible, la fijación de un marco conceptual preciso que permita distinguir entre la recopilación ordinaria de datos, la segmentación comercial y la interferencia electoral ilícita. A estos efectos, se adopta una definición operativa de metadato que trasciende la noción puramente técnica —datos sobre datos— para abarcar el conjunto de información de carácter personal generada por la actividad digital del usuario, incluyendo no solo los datos declarados (nombre, edad, ubicación), sino también los datos observacionales: patrones de navegación, interacciones en redes sociales, reacciones a contenidos, tiempos de permanencia, secuencias de clics, y afinidades implícitas inferidas algorítmicamente. Esta definición se ajusta a la evidencia documentada en el caso Cambridge Analytica, donde la aplicación "This Is Your Digital Life" registraba sistemáticamente "cada desplazamiento de pantalla, cada acción, cada 'me gusta'" (2), transformando comportamientos aparentemente inocuos en insumos para modelos predictivos.

El concepto de perfil psicográfico se refiere a la construcción de perfiles psicológicos detallados que clasifican a los individuos según rasgos de personalidad, valores, actitudes, intereses y estilos de vida, con el fin de predecir su comportamiento ante estímulos comunicativos específicos. En el caso Cambridge Analytica, el modelo de referencia fue el denominado OCEAN —o modelo de los cinco grandes factores—, que mide apertura a la experiencia, conciencia, extraversión, amabilidad y neuroticismo (15). Este modelo permitía, según la documentación interna de la empresa, asignar a cada elector un perfil de vulnerabilidad comunicativa, de modo que los mensajes políticos pudieran ser calibrados en su tono, encuadre y contenido emocional para maximizar la persuasión. La Columbia Business School documenta cómo este enfoque psicográfico se presentaba como una innovación disruptiva respecto de la segmentación demográfica tradicional (15).

La segmentación conductual, por su parte, es el procedimiento mediante el cual los perfiles psicográficos se traducen en categorías operativas de audiencia, a las que se dirigen mensajes diferenciados. A diferencia de la segmentación demográfica (basada en edad, género o renta), la segmentación conductual agrupa a los individuos por su probabilidad de respuesta a un determinado estímulo, lo que permite enviar mensajes distintos a segmentos que, siendo demográficamente idénticos, presentan perfiles psicológicos divergentes. Esta técnica fue el núcleo operativo de Cambridge Analytica, como se desprende de las investigaciones parlamentarias (1), y constituye el rasgo diferencial de la interferencia cognitiva: no se trata de persuadir al elector medio, sino de explotar las fragilidades específicas de cada elector individual.

2.2. Tipologías de manipulación: microsegmentación, amplificación artificial, desinformación dirigida y supresión de voto

A partir de los casos documentados, es posible identificar cuatro tipologías de manipulación, que a menudo operan de manera combinada. La microsegmentación consiste en la entrega de mensajes políticos personalizados a audiencias reducidas, definidas por criterios psicográficos y conductuales, con el objetivo de incidir en sus preferencias electorales sin que el conjunto del electorado tenga conocimiento de la existencia de mensajes diferenciados. Esta técnica, utilizada tanto por Cambridge Analytica (1) como por la IRA rusa en sus operaciones de segmentación racial y política en EE.UU. (3), vulnera el principio de igualdad de armas en la contienda electoral, al permitir que determinados segmentos reciban información sustancialmente distinta a la que recibe el resto de la ciudadanía.

La amplificación artificial consiste en el uso de bots, cuentas automatizadas y redes de perfiles inauténticos para inflar artificialmente la visibilidad de determinados contenidos, generando una percepción distorsionada de su apoyo popular. El caso de la IRA documenta el uso masivo de esta técnica, con 2.752 cuentas identificadas en Twitter y contenidos que alcanzaron a 126 millones de usuarios en Facebook (3). En Rumanía 2024, la investigación del Tribunal Constitucional, reflejada en fuentes europeas, identificó "actividad inauténtica coordinada" en TikTok que contribuyó a la difusión a gran escala del contenido del candidato Călin Georgescu (5), inflando artificialmente su engagement y generando una percepción de apoyo masivo que no se correspondía con su posición previa en los sondeos.

La desinformación dirigida se diferencia de la desinformación masiva tradicional en que los contenidos falsos o engañosos se diseñan y distribuyen específicamente para segmentos concretos, explotando sus sesgos cognitivos y creencias preexistentes. Esta táctica fue documentada en el caso del Brexit, donde investigadores de la Universidad de Swansea y UC Berkeley identificaron más de 156.000 cuentas vinculadas a Rusia en las discusiones sobre el referéndum, que publicaron más de 45.000 mensajes solo en las 48 horas finales de la campaña (7), muchos de ellos dirigidos a segmentos indecisos con narrativas adaptadas a sus preocupaciones específicas (19).

La supresión de voto, finalmente, es la estrategia más sutil y potencialmente más dañina. No busca convencer al elector para que vote a un candidato, sino disuadirlo de que vote en absoluto, o convencerlo de que su voto no tiene sentido. El informe New Knowledge para el Senado de EE.UU. documentó cómo la IRA desarrolló campañas específicamente dirigidas a comunidades afroamericanas y otros grupos tradicionalmente demócratas, con mensajes diseñados para generar desafección y reducir la participación (3). Esta táctica no se refleja en los resultados de voto, sino en las tasas de abstención, lo que la hace más difícil de detectar y de atribuir.

2.3. El ecosistema de actores: empresas de datos, granjas de trolls, Estados patrocinadores y plataformas digitales

El análisis de los casos revela un ecosistema complejo de actores con roles diferenciados pero interconectados. En un extremo se sitúan las empresas privadas de datos y análisis político, representadas paradigmáticamente por Cambridge Analytica y su matriz SCL Group (1). Estas entidades operan con lógica comercial, ofreciendo servicios de microsegmentación y persuasión algorítmica a partidos políticos y campañas, y se financian mediante contratos con clientes. Su actividad se sitúa en un espacio gris entre la consultoría política legítima y la interferencia ilícita, y su responsabilidad jurídica depende en gran medida de la calificación de la obtención de datos como lícita o ilícita. En este grupo se inscribe también la empresa israelí BlackCore, cuya implicación en operaciones de interferencia digital en Francia, Nueva York, Escocia, Angola y Togo ha sido objeto de sospechas por parte de los servicios de inteligencia franceses (VIGINUM) (10).

En el extremo opuesto se sitúan las estructuras de interferencia estatal, de las cuales la Agencia de Investigación de Internet (IRA) rusa constituye el caso más documentado (3). Vinculada a Yevgueni Prigozhin y al Kremlin, la IRA operaba como una "fábrica de trolls" con financiación pública y objetivos de política exterior, orientados a la desestabilización de democracias occidentales y la promoción de narrativas favorables a los intereses rusos. A diferencia de las empresas privadas, estas estructuras no responden a la lógica del mercado ni a la rendición de cuentas ante clientes, sino a una estrategia geopolítica de largo plazo. La sospecha de implicación rusa en el caso Rumanía 2024 (5) y en Moldavia 2025 (10) sugiere la continuidad de esta modalidad.

Entre ambos extremos se sitúa el heterogéneo grupo de las granjas de trolls y empresas de influencia, que pueden operar por encargo de Estados, de partidos políticos o por iniciativa propia. Estas entidades se caracterizan por su capacidad de producir contenido a escala industrial, utilizando cuentas automatizadas y perfiles falsos para amplificar mensajes, atacar a oponentes y polarizar el debate. La documentación del Senado sobre la IRA (3) ofrece una taxonomía detallada de sus tácticas: desarrollo de activos, construcción de marca multiplataforma, "espejismo mediático" (creación de medios de comunicación falsos), memética, manipulación periodística y amplificación de narrativas conspirativas.

Finalmente, las plataformas digitales (Facebook, Twitter/X, TikTok, Google) desempeñan un rol dual: son a la vez el canal a través del cual se ejecuta la interferencia y los actores con mayor capacidad técnica para detectarla y prevenirla. Su condición de intermediarios privados, con algoritmos propietarios y políticas de moderación de contenido, las convierte en sujetos de una regulación incipiente y fragmentaria. El expediente abierto por la Comisión Europea contra Meta el 30 de abril de 2024 evidencia cómo las decisiones algorítmicas de diseño —en particular la política de "contenido político", que degrada de manera general este tipo de contenido en los sistemas de recomendación de Facebook e Instagram— pueden tener efectos sustanciales sobre la visibilidad de los mensajes políticos durante un período electoral, sin que sea posible, ante la opacidad de los parámetros del algoritmo, verificar si dicha degradación opera de manera neutral entre familias políticas (37)(38).

2.4. La cadena de valor de la influencia: recolección, agregación, modelado predictivo, entrega algorítmica y retroalimentación en tiempo real

Para comprender la eficacia operativa de la interferencia, resulta útil descomponerla en una cadena de valor de cinco eslabones, todos ellos documentados en los casos analizados. El primer eslabón es la recolección de datos, que puede ser abierta (extracción de perfiles públicos), encubierta (aplicaciones que extraen datos del usuario y de su red de contactos, como "This Is Your Digital Life") (1) o mediante la compra de bases de datos comerciales. La característica común es la masividad: Cambridge Analytica alcanzó entre 50 y 65 millones de perfiles (1), la IRA operó con millones de cuentas en múltiples plataformas (3).

El segundo eslabón es la agregación y normalización: los datos dispersos se integran en una base de datos unificada, limpiada de duplicados y estructurada para su análisis. Esta fase, aunque técnicamente compleja, no presenta especiales problemas jurídicos en sí misma, pero es condición necesaria para las fases siguientes.

El tercer eslabón, el modelado predictivo, constituye el núcleo diferencial de la interferencia. Los datos agregados se someten a algoritmos de aprendizaje automático que infieren perfiles psicográficos, predicen el comportamiento electoral y segmentan la audiencia en categorías de vulnerabilidad. El modelo OCEAN utilizado por Cambridge Analytica (15) es un ejemplo prototípico, pero la evolución tecnológica ha multiplicado las técnicas disponibles, desde el análisis de sentimiento hasta la detección de patrones de desinformación. La capacidad de estos modelos para inferir rasgos de personalidad a partir de meros "me gusta" ha sido confirmada por la literatura académica (16).

El cuarto eslabón es la entrega algorítmica: los mensajes personalizados se inyectan en los canales de consumo informativo de los segmentos objetivo, utilizando la infraestructura de las plataformas digitales. Esta fase se beneficia de la opacidad algorítmica, ya que los destinatarios no son conscientes de que están recibiendo un mensaje diseñado específicamente para ellos, ni de que otros segmentos están recibiendo mensajes distintos. El expediente DSA contra Meta, centrado en la degradación general del contenido político en los sistemas de recomendación y en la retirada de CrowdTangle sin sustituto adecuado (37)(38), demuestra que la entrega no es neutral, sino que está mediada por decisiones de diseño que pueden favorecer o perjudicar a determinados actores políticos.

El quinto y último eslabón es la retroalimentación en tiempo real: la respuesta de los destinatarios a los mensajes —clics, reacciones, comparticiones— se monitoriza y se reintroduce en el modelo, permitiendo ajustar los mensajes y los segmentos en tiempo real durante la campaña. Esta capacidad de aprendizaje continuo, documentada en las operaciones de Cambridge Analytica (2) y de la IRA (3), otorga a los actores de la interferencia una ventaja asimétrica sobre las campañas tradicionales y sobre los organismos electorales, que carecen de mecanismos equivalentes de monitorización.

III. Antecedentes normativos y estándares internacionales de protección electoral

3.1. El principio de integridad electoral en el Derecho Internacional de los Derechos Humanos

La protección de la integridad de los procesos electorales constituye un principio fundamental del Derecho Internacional de los Derechos Humanos, anclado en el derecho de participación política reconocido en los principales instrumentos universales y regionales. El artículo 21 de la Declaración Universal de Derechos Humanos y el artículo 25 del Pacto Internacional de Derechos Civiles y Políticos establecen el derecho de todo ciudadano a participar en la dirección de los asuntos públicos, a votar y ser elegido en elecciones periódicas, auténticas, realizadas por sufragio universal e igual y por voto secreto. En el ámbito europeo, el artículo 3 del Protocolo núm. 1 del Convenio Europeo de Derechos Humanos garantiza el derecho a elecciones libres "en condiciones que aseguren la libre expresión de la opinión del pueblo en la elección de los órganos legislativos" (21).

La noción de integridad electoral ha sido desarrollada por la doctrina y la jurisprudencia internacionales como un principio que abarca todas las aristas del proceso electoral, desde el voto hasta el escrutinio y la proclamación de resultados (21). La Corte Interamericana de Derechos Humanos y la Comisión Interamericana han establecido criterios y recomendaciones acerca de la integridad de los procesos electorales, entendiendo que las elecciones auténticas, mencionadas en el artículo 23 de la Convención Americana, exigen no solo la ausencia de coacción física, sino también la garantía de un entorno informativo libre de manipulaciones que distorsionen la voluntad popular (21).

La doctrina más reciente ha comenzado a perfilar la construcción de un derecho a la "buena elección" en un contexto democrático, que incorpora la exigencia de que el proceso electoral no sea vulnerado por interferencias externas, ya provengan de actores estatales o privados (21). El Comité de Derechos Humanos de Naciones Unidas ha insistido en que debe aplicarse el principio de "una persona, un voto", y que el voto de un elector debe ser igual al voto de otro (21). Esta igualdad, sin embargo, se ve sustancialmente comprometida cuando determinados segmentos del electorado reciben mensajes políticos personalizados diseñados para explotar sus vulnerabilidades psicológicas, mientras que otros segmentos reciben mensajes distintos o no reciben mensaje alguno. La igualdad formal del sufragio se torna así en una desigualdad material en el acceso a la información y en la capacidad de formar una opinión libre.

El Tribunal Europeo de Derechos Humanos ha establecido, en su jurisprudencia consolidada, que los Estados tienen una obligación positiva de garantizar elecciones libres y seguras, así como de garantizar derechos humanos como la privacidad y la libertad de expresión (10). Esta obligación positiva se extiende, en la interpretación de la Comisión de Venecia, a la adopción de medidas para prevenir y sancionar las interferencias cibernéticas en los procesos electorales (21). La protección del bien jurídico de la democracia exige, por tanto, no solo la tipificación de los delitos informáticos tradicionales, sino también la consideración de la afectación al proceso electoral como un agravante o como un bien jurídico autónomo a proteger (10).

3.2. El Convenio de Budapest sobre Ciberdelincuencia y su insuficiencia frente a la manipulación cognitiva

El Convenio sobre la Ciberdelincuencia, adoptado en Budapest el 23 de noviembre de 2001 bajo los auspicios del Consejo de Europa, constituye el instrumento internacional más relevante en materia de armonización del derecho penal frente a los delitos informáticos (24). El Convenio prevé la criminalización de conductas como el acceso ilícito a sistemas informáticos (artículo 2), la interceptación ilícita (artículo 3), la interferencia en los datos (artículo 4), la interferencia en los sistemas (artículo 5) y la falsificación informática (artículo 7) (5)(10). Su objetivo es facilitar la cooperación internacional en la investigación y persecución de estos delitos, mediante la armonización de las legislaciones nacionales y el establecimiento de mecanismos de asistencia judicial mutua (24).

La relevancia del Convenio de Budapest para la protección de los procesos electorales fue explícitamente reconocida por el Comité del Convenio sobre Ciberdelincuencia (T‑CY), que en julio de 2019 adoptó una Guidance Note para facilitar la acción de la justicia penal contra la interferencia electoral mediante ordenadores (25). La Guía señala que la interferencia en las elecciones a través de actividades cibernéticas maliciosas contra ordenadores y datos utilizados en las elecciones y campañas electorales socava la celebración de elecciones libres, justas y limpias, así como la confianza en la democracia (25). Constituye una amenaza creciente y a menudo se asocia con campañas de desinformación, como se ha experimentado particularmente desde 2016 (25). Las Partes en el Convenio de Budapest coinciden en que deben realizarse mayores esfuerzos para perseguir dicha interferencia cuando constituya un delito penal, y que "una respuesta eficaz de la justicia penal puede disuadir la interferencia electoral y tranquilizar al electorado con respecto al uso de las tecnologías de la información y la comunicación en las elecciones" (25).

Sin embargo, la utilidad práctica del Convenio de Budapest frente a la manipulación cognitiva basada en metadatos presenta limitaciones significativas. En primer lugar, el Convenio se centra en conductas técnicamente definidas —acceso ilegal, interceptación, interferencia en datos o sistemas— que no abarcan la totalidad de las operaciones de manipulación documentadas en los casos de Cambridge Analytica o la IRA. La extracción masiva de datos mediante aplicaciones aparentemente legítimas, el perfilado psicográfico y la microsegmentación de mensajes no constituyen, en sí mismas, infracciones de los tipos penales previstos en el Convenio, a menos que concurran elementos adicionales como el acceso no autorizado o la interferencia en la integridad de los datos. Como ha señalado la doctrina, los tipos penales se han configurado en la mayoría de los códigos penales nacionales sin contemplar un tipo agravado para el supuesto de que estas conductas se lleven a cabo en período electoral, y el bien jurídico protegido no es la democracia, sino el patrimonio (delito de daño informático o interferencia ilícita en datos) (10). En el marco de las leyes electorales especiales, estos delitos no suelen estar contemplados y permanecen obsoletos (10).

En segundo lugar, el Convenio de Budapest no aborda la responsabilidad de los intermediarios digitales ni la regulación de los algoritmos de las plataformas, que son el vehículo principal a través del cual se ejecuta la microsegmentación y la amplificación artificial. La Guía de 2019 se centra en la persecución penal de los autores directos, pero no ofrece herramientas para obligar a las plataformas a modificar sus algoritmos o a proporcionar acceso a sus datos para fines de investigación electoral.

En tercer lugar, el Convenio adolece de una limitada cobertura geográfica. Aunque más de sesenta Estados son Partes en el tratado, y se ha abierto a la adhesión de países no miembros del Consejo de Europa, su aplicación no es universal (10). La interferencia electoral, por su naturaleza transfronteriza, a menudo involucra a actores situados en jurisdicciones que no son Partes en el Convenio o que no lo aplican efectivamente, lo que genera importantes dificultades para la cooperación internacional y la obtención de pruebas electrónicas.

La Comisión de Venecia ha instado a los Estados a realizar un mayor esfuerzo y compromiso, y ha subrayado que, según el Tribunal Europeo de Derechos Humanos, los Estados tienen una obligación positiva de garantizar elecciones libres y seguras (10). En este sentido, se ha señalado la necesidad de reforzar el marco internacional para establecer mecanismos más eficientes de cooperación transnacional entre naciones y actores privados y, si es posible, lograr una mayor uniformidad entre las legislaciones nacionales (10). La solución reside, en definitiva, en adaptar el marco constitucional de las democracias modernas al nuevo entorno electrónico en el que la ciberdelincuencia prospera y en el que los gobiernos, las empresas y los ciudadanos interactúan y hacen posibles las democracias (10).

3.3. El Reglamento General de Protección de Datos (RGPD) como límite ex post, no como barrera ex ante

El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD), constituye el marco normativo de referencia en materia de protección de datos en la Unión Europea (27). El RGPD, aplicable desde el 25 de mayo de 2018, establece principios fundamentales como la licitud, lealtad y transparencia del tratamiento, la limitación de la finalidad, la minimización de datos, la exactitud, la limitación del plazo de conservación, la integridad y confidencialidad, y la responsabilidad proactiva (27). Estos principios, en apariencia, ofrecerían un sólido escudo frente a las prácticas de extracción masiva de datos y perfilado psicográfico documentadas en los casos analizados.

Sin embargo, la eficacia del RGPD como instrumento de prevención de la interferencia electoral basada en metadatos se ha revelado limitada por varias razones. En primer lugar, el RGPD opera fundamentalmente como un régimen ex post: exige el consentimiento del interesado para el tratamiento de sus datos, pero la experiencia del caso Cambridge Analytica demuestra que dicho consentimiento puede ser obtenido mediante cláusulas generales y opacas incluidas en los términos y condiciones de aplicaciones aparentemente inofensivas (1). La aplicación "This Is Your Digital Life" obtuvo el consentimiento de los usuarios para acceder a sus datos y a los de sus contactos, pero los usuarios no eran conscientes de que sus datos serían utilizados para fines de segmentación política (2). El RGPD exige que el consentimiento sea "específico" e "informado", pero la práctica ha demostrado que los mecanismos de obtención de consentimiento en el entorno digital raramente cumplen con estos estándares en la realidad.

En segundo lugar, el RGPD no regula el uso de los datos una vez obtenidos lícitamente, siempre que se respeten los principios de limitación de la finalidad y minimización. Cambridge Analytica sostenía que los datos habían sido obtenidos para fines de investigación académica y que su uso posterior para fines políticos constituía una vulneración de los términos de servicio de Facebook, pero no necesariamente una vulneración del RGPD en sentido estricto, al menos en la interpretación que la empresa hacía de sus propias obligaciones. La controversia se centró más en la violación de las políticas de Facebook que en la violación del RGPD, lo que pone de manifiesto la dificultad de aplicar el régimen de protección de datos a usos secundarios no autorizados pero técnicamente lícitos en el momento de la recogida.

En tercer lugar, el RGPD no aborda la problemática específica de la interferencia electoral, sino que se ocupa de la protección de datos personales en términos generales. La segmentación política y la microsegmentación de mensajes no están prohibidas por el RGPD, siempre que se cumplan los requisitos de licitud del tratamiento. El Reglamento no establece un régimen especial para el tratamiento de datos con fines de campaña electoral, ni impone obligaciones específicas de transparencia algorítmica a las plataformas que segmentan a los usuarios con fines políticos. Esta laguna ha sido parcialmente abordada por el Comité Europeo de Protección de Datos (CEPD), que en 2019 emitió una Declaración sobre el uso de datos personales durante las campañas electorales, en la que recordaba a los partidos políticos, coaliciones y candidatos su dependencia creciente de los datos personales y de técnicas sofisticadas de segmentación, y les instaba a cumplir con las obligaciones del RGPD (28). Sin embargo, esta declaración carece de fuerza vinculante y no ha sido acompañada de mecanismos de supervisión y sanción efectivos.

El RGPD, por tanto, constituye un límite útil pero insuficiente. Puede servir para sancionar ex post la extracción ilícita de datos o el tratamiento desleal, como ocurrió en el caso de Cambridge Analytica con las sanciones impuestas por la Information Commissioner's Office del Reino Unido, pero no puede prevenir la interferencia en tiempo real durante una campaña electoral, ni puede obligar a las plataformas a modificar sus algoritmos para garantizar la equidad informativa. Su naturaleza de régimen general de protección de datos, y no de régimen especial de integridad electoral, limita su capacidad para abordar la especificidad del fenómeno.

3.4. Directrices de la Comisión de Venecia y de la OSCE sobre campañas electorales y uso de datos

La Comisión Europea para la Democracia a través del Derecho (Comisión de Venecia), órgano consultivo del Consejo de Europa, ha desarrollado una doctrina cada vez más elaborada sobre el impacto de las tecnologías digitales en los procesos electorales. Su Código de Buenas Prácticas en Materia Electoral, adoptado en 2002 y posteriormente actualizado, establece los principios fundamentales del patrimonio electoral europeo, entre los que destacan el sufragio universal, la igualdad del sufragio, el sufragio libre, el sufragio secreto y el sufragio directo (21). El principio del sufragio libre incluye la libertad del votante para formar su opinión y la libre expresión de su voluntad, así como la lucha contra el fraude electoral (21). Aunque el Código fue concebido en un entorno predominantemente analógico, sus principios son directamente aplicables al desafío de la interferencia digital, en la medida en que la manipulación de metadatos y la microsegmentación de mensajes vulneran la libertad del votante para formar su opinión de manera autónoma e informada.

La Comisión de Venecia ha abordado explícitamente la cuestión de las tecnologías digitales y las elecciones en diversos dictámenes y estudios. En su doctrina sobre tecnologías digitales y estado de derecho, la Comisión ha identificado las principales amenazas cibernéticas a los procesos electorales: el compromiso de las bases de datos de votantes o de los sistemas de registro mediante hacking, la eliminación, alteración o adición de datos; la manipulación de las máquinas de votación; la interferencia en el funcionamiento de los sistemas mediante ataques de denegación de servicio; y el acceso ilegal a ordenadores para robar, modificar o difundir datos sensibles (22). Estas conductas, según la Comisión, constituyen delitos cibernéticos conforme al Convenio de Budapest (artículos 2 a 5) (22).

La Comisión de Venecia ha formulado tres recomendaciones principales en materia de ciberamenazas a las elecciones, que siguen siendo plenamente relevantes (23):

(a) Tipificar como delitos penales los ataques cibernéticos contra la confidencialidad, integridad y disponibilidad de los ordenadores y datos electorales, de conformidad con el Convenio de Budapest sobre Ciberdelincuencia (23). Esta recomendación implica no solo la incorporación de los tipos penales del Convenio, sino también la consideración del período electoral como circunstancia agravante o como elemento del tipo que proteja específicamente el bien jurídico de la democracia.

(b) Dotar a las autoridades de justicia penal de los poderes necesarios para asegurar las pruebas electrónicas de violaciones de las normas sobre protección de datos personales, financiación política, cobertura mediática o difusión electoral (23). Esta recomendación aborda la dificultad probatoria que caracteriza a la interferencia digital, y exige que los ordenamientos nacionales prevean mecanismos eficaces de obtención de pruebas electrónicas, incluyendo el acceso a los datos de las plataformas y la colaboración de los intermediarios digitales.

(c) Preparar a los órganos de gestión electoral para situaciones de emergencia y disponer de una organización de gestión de crisis, dotándolos de recursos y formación adecuados para adoptar tecnologías digitales y abordar los riesgos de ciberseguridad asociados (23). Esta recomendación subraya la necesidad de que las autoridades electorales desarrollen capacidades técnicas propias, y no dependan exclusivamente de las plataformas o de las empresas de seguridad privada.

La Comisión ha insistido, además, en la necesidad de revisar y actualizar constantemente las leyes y las herramientas disponibles para su implementación efectiva, en un ámbito sujeto a desarrollos técnicos extremadamente rápidos y a amenazas emergentes (23). Asimismo, ha señalado la importancia de equilibrar el derecho a elecciones libres con otros derechos fundamentales, como la libertad de expresión y la protección de datos (23). La Comisión también ha abordado los desafíos jurisdiccionales derivados de la naturaleza transnacional y extraterritorial de las tecnologías digitales, señalando la necesidad de definir o crear autoridades competentes adecuadas, resolver los conflictos de regulaciones nacionales y abordar las cuestiones de extraterritorialidad (23).

En este contexto, la Comisión ha propuesto que las elecciones sean declaradas como infraestructura crítica, y que se fortalezcan las capacidades institucionales para prevenir las amenazas cibernéticas a la democracia y a los procesos electorales (6)(23). También ha abogado por el reconocimiento del carácter transnacional del problema y del papel esencial que desempeñan los intermediarios de Internet (proveedores de servicios y empresas de motores de búsqueda y redes sociales), así como por el fortalecimiento del marco internacional para establecer mecanismos más eficientes de cooperación transnacional entre naciones y actores privados (10).

La Oficina de Instituciones Democráticas y Derechos Humanos de la OSCE (OSCE/ODIHR), por su parte, ha desarrollado una extensa práctica de observación electoral que incluye, cada vez con mayor frecuencia, recomendaciones sobre el uso de datos personales y tecnologías digitales en las campañas electorales (29). Aunque la OSCE/ODIHR no ha adoptado directrices específicas sobre el uso de datos personales en campañas electorales con la misma sistematicidad que la Comisión de Venecia, sus informes de misión de observación incorporan progresivamente consideraciones sobre la transparencia de la toma de decisiones por parte de la administración electoral, el marco legal para el voto postal y el acceso de las personas con discapacidad al proceso electoral (29). La cooperación entre la Comisión de Venecia y la OSCE/ODIHR se ha intensificado en los últimos años, como refleja la elaboración conjunta de dictámenes y lineamientos sobre la materia (21).

3.5. El vacío regulatorio en la gobernanza algorítmica de las plataformas durante períodos electorales

El análisis de los instrumentos normativos existentes revela una laguna regulatoria estructural: ninguno de los marcos jurídicos examinados —ni el Convenio de Budapest, ni el RGPD, ni las directrices de la Comisión de Venecia o de la OSCE— aborda de manera sistemática la gobernanza algorítmica de las plataformas digitales durante los períodos electorales. Esta laguna es particularmente preocupante porque, como se ha documentado en el expediente DSA contra Meta (37)(38) y en el caso de Rumanía (5), el algoritmo de las plataformas no es un mero canal neutral de distribución de contenido, sino un factor activo que determina qué mensajes llegan a qué segmentos de la población, con qué frecuencia, en qué formato y en qué momento del ciclo informativo.

La Recomendación (UE) 2023/2829 de la Comisión, de 12 de diciembre de 2023, sobre medidas para garantizar la integridad de los procesos electorales, representa un avance en la dirección correcta, pero su naturaleza de recomendación —no vinculante— limita su eficacia práctica (26). La Recomendación se inscribe en la línea de las medidas adoptadas de cara a las elecciones al Parlamento Europeo de 2019, que condujeron al establecimiento de un marco de transparencia y cooperación con las plataformas (26). Sin embargo, la experiencia de las elecciones italianas de 2022 y 2024 demuestra que estas medidas son insuficientes para prevenir la manipulación algorítmica, ya que las plataformas conservan un amplio margen de discrecionalidad en el diseño y la aplicación de sus algoritmos, y no existe un mecanismo independiente de supervisión que pueda verificar la neutralidad de estos procesos.

La Comisión de Venecia ha reconocido explícitamente esta laguna al señalar que las normas y regulaciones sobre publicidad política y sobre la responsabilidad de los intermediarios de Internet deben mantenerse en revisión constante (6). Asimismo, ha destacado la necesidad de fortalecer el marco internacional y de lograr una mayor uniformidad entre las legislaciones nacionales (10). Sin embargo, estas declaraciones no se han traducido en instrumentos vinculantes que impongan a las plataformas obligaciones claras de transparencia algorítmica, no discriminación y rendición de cuentas durante los períodos electorales.

El problema se agrava por la naturaleza privada y comercial de las empresas de Internet, que operan con lógica de mercado y no con lógica de servicio público (11). La Comisión de Venecia ha señalado que la naturaleza transnacional de los comportamientos en línea requiere una autoridad internacional competente para resolver los conflictos más allá de las fronteras nacionales y regionales, así como mecanismos de resolución de conflictos más adecuados a la lógica del mercado, sin descartar los procedimientos jurisdiccionales ante tribunales internacionales (11). Esta propuesta, sin embargo, se encuentra aún en fase de elaboración doctrinal y dista de haber sido incorporada a los ordenamientos jurídicos nacionales o supranacionales.

En definitiva, el vacío regulatorio en la gobernanza algorítmica de las plataformas durante los períodos electorales constituye una de las principales vulnerabilidades sistémicas de los sistemas democráticos contemporáneos. La ausencia de un marco normativo que imponga a las plataformas obligaciones claras de transparencia, no discriminación y rendición de cuentas, así como la falta de mecanismos independientes de supervisión y sanción, permiten que la interferencia electoral basada en metadatos y microsegmentación se desarrolle en un espacio de impunidad regulatoria, solo ocasionalmente interrumpida por escándalos mediáticos o investigaciones parlamentarias que, por su naturaleza reactiva, no pueden prevenir la consumación del daño.

IV. Estudio de caso núcleo: Cambridge Analytica y la instrumentalización de la psicografía (2014‑2018)

4.1. Origen y estructura corporativa: SCL Group, Cambridge Analytica y la red de vinculaciones políticas transnacionales

Cambridge Analytica no fue una empresa aislada, sino la subsidiaria más visible de un entramado corporativo con décadas de experiencia en operaciones de influencia. Su matriz, SCL Group (Strategic Communication Laboratories), fue fundada en 1990 por Nigel Oakes como Behavioural Dynamics Institute, un centro de investigación para la comunicación estratégica (10). La compañía se describía a sí misma como una "agencia global de gestión electoral" (10) y, según su propia documentación, había participado en más de 25 campañas políticas y electorales internacionales desde 1994 (10), así como en más de 100 campañas en más de 30 países a lo largo de cinco continentes (11). SCL operaba en el ámbito de la "guerra psicológica" y las operaciones de influencia, con contratos de defensa del Departamento de Defensa de Estados Unidos y del Ministerio de Defensa británico (10). Entre los inversores de SCL se encontraban el banquero Paul David Ashburner Nix, cuyo hijo Alexander Nix se convertiría en director ejecutivo de Cambridge Analytica, y Jonathan Marland, Barón Marland, destacado donante del Partido Conservador (10). La compañía había demostrado su capacidad en "operaciones de influencia" ya en 2005, cuando en la feria Defence and Security Equipment International (DSEI) exhibió su capacidad para "orquestar una sofisticada campaña de decepción masiva" sobre la población de una gran ciudad como Londres (10).

Cambridge Analytica fue establecida en 2013 como subsidiaria de SCL Group (10), con el propósito expreso de proporcionar "datos, análisis y estrategia a gobiernos y organizaciones militares en todo el mundo" (10). La empresa fue impulsada por una inversión de 15 millones de dólares de Robert Mercer, el acaudalado donante republicano, y por el asesor político Stephen K. Bannon, quien se convirtió en miembro fundador del consejo de administración y dio nombre a la firma. La estructura corporativa reflejaba una doble naturaleza: por un lado, la de una consultora política comercial que ofrecía sus servicios a campañas y partidos; por otro, la de una entidad vinculada a operaciones de inteligencia y guerra psicológica, con experiencia en el mundo en desarrollo al servicio de gobiernos y fuerzas militares (10). Esta dualidad sería clave para comprender tanto la amplitud de su alcance geográfico como la controversia jurídica y ética que eventualmente la envolvería.

4.2. El mecanismo de extracción masiva: la aplicación "This Is Your Digital Life" y el aprovechamiento de la API de Facebook

El núcleo operativo de Cambridge Analytica residía en su capacidad para obtener datos personales a escala masiva. El mecanismo, documentado exhaustivamente por investigaciones periodísticas y parlamentarias, se articuló en torno a la aplicación "This Is Your Digital Life", desarrollada por el psicólogo Aleksandr Kogan, profesor de la Universidad de Cambridge. En 2014, Cambridge Analytica, a través de la plataforma Amazon Mechanical Turk, ofreció una compensación económica de entre 1 y 2 dólares a usuarios de Facebook para que descargaran y utilizaran un cuestionario de personalidad (15). Aproximadamente 270.000 personas instalaron la aplicación (6). Sin embargo, el diseño de la aplicación, y la política de Facebook vigente en ese momento, permitían que esta recabara no solo los datos del usuario que la instalaba, sino también información detallada de todos sus contactos en la red social (6). Dado que el usuario medio de Facebook tiene varios cientos de amigos, el efecto multiplicador elevó la cifra de perfiles afectados a más de 50 millones de personas.

Los datos extraídos incluían identidades, redes de amigos, "me gusta", ubicación y, según algunas fuentes, mensajes privados (6). La técnica, desarrollada originalmente en el Centro de Psicometría de la Universidad de Cambridge, había sido rechazada por este centro para trabajar con Cambridge Analytica, pero Kogan aceptó construir su propia aplicación y comenzó a extraer datos en junio de 2014. Kogan proporcionó posteriormente más de 50 millones de perfiles en bruto a Cambridge Analytica. Solo los 270.000 usuarios que participaron en la encuesta habían consentido la extracción de sus datos, y se les había informado de que se utilizarían con fines académicos. Los datos de sus amigos, que constituían la inmensa mayoría del total, fueron obtenidos sin su consentimiento y sin su conocimiento. Facebook, al ser consultado, sostuvo que no se trataba de una "filtración de datos" en el sentido técnico, ya que no se habían vulnerado sistemas ni se habían sustraído contraseñas, y que "todos los implicados dieron su consentimiento" (15). Esta afirmación, sin embargo, omitía el hecho de que los 50 millones de usuarios afectados no habían consentido el uso de sus datos para fines de segmentación política (15).

El caso pone de relieve una vulnerabilidad estructural del ecosistema digital: la extracción de datos a través de aplicaciones de apariencia legítima, amparada en términos y condiciones opacos y en la ausencia de mecanismos efectivos de control del consentimiento. Como señaló un editorial de The New York Times, no se trataba de una "brecha" en el sentido técnico, sino de "una consecuencia demasiado natural del modelo de negocio de Facebook", que consiste en someter a los usuarios a un enorme nivel de vigilancia para alimentar un sistema sofisticado y opaco de segmentación publicitaria (15).

4.3. Volumen y naturaleza de los datos obtenidos: 50‑65 millones de perfiles y el registro de microconductas

La magnitud de los datos obtenidos por Cambridge Analytica ha sido objeto de diversas estimaciones. La cifra más citada es la de 50 millones de perfiles, aunque algunas fuentes elevan la cantidad a 65 millones e incluso a 87 millones, dependiendo de la metodología de cómputo (3). El Parlamento Europeo, en su pregunta parlamentaria P‑001683‑18, documentó la cifra de entre 50 y 65 millones de perfiles (1). La Comisión Federal de Comercio de Estados Unidos (FTC), en su investigación, estimó que la información de 87 millones de usuarios había sido compartida inapropiadamente con Cambridge Analytica (3).

La naturaleza de los datos era excepcionalmente detallada. No se limitaba a datos demográficos básicos, sino que incluía "cada desplazamiento de pantalla, cada acción, cada 'me gusta'" (2). Este nivel de granularidad permitía a Cambridge Analytica construir perfiles psicológicos detallados, basados no en lo que los usuarios declaraban, sino en lo que hacían. La empresa amasó hasta 5.000 puntos de datos sobre cada adulto estadounidense y realizó cientos de miles de encuestas de personalidad, combinándolos para identificar a millones de posibles votantes de Trump (12). El volumen y la profundidad de los datos constituían un activo estratégico sin precedentes en la historia de las campañas políticas, y su obtención mediante un mecanismo que eludía el consentimiento informado de la mayoría de los afectados planteaba graves cuestiones sobre la licitud del tratamiento y la vulneración de los principios de protección de datos.

4.4. El modelo predictivo de personalidad OCEAN y su aplicación a segmentos electorales vulnerables

El modelo teórico que sustentaba la propuesta de valor de Cambridge Analytica era el modelo OCEAN —acrónimo de Openness, Conscientiousness, Extraversion, Agreeableness y Neuroticism—, también conocido como el modelo de los "cinco grandes factores" de la personalidad (2)(12). La empresa afirmaba poder predecir el comportamiento electoral de los ciudadanos mediante la combinación de miles de puntos de datos con el perfil psicográfico derivado del modelo OCEAN (12). Alexander Nix, director ejecutivo de Cambridge Analytica, sostenía que el "volumen de datos" permitía "empezar a entender exactamente qué mensajes necesitan recibir los individuos" (12).

La aplicación práctica consistía en asignar a cada elector un perfil de vulnerabilidad comunicativa, de modo que los mensajes políticos pudieran ser calibrados en su tono, encuadre y contenido emocional para maximizar la persuasión. La empresa afirmaba poder "determinar la personalidad de cada adulto" y predecir cómo votarían los ciudadanos (12). Su análisis de los estados de Michigan, Pensilvania y Wisconsin —los llamados "rust-belt states" que cayeron inesperadamente del lado republicano— resultó profético, mientras que la mayoría de los encuestadores tradicionales se equivocaron (12). El respetado encuestador republicano Frank Luntz declaró: "No hay más expertos que Cambridge Analytica. Ellos fueron el equipo digital de Trump que descubrió cómo ganar" (12).

Sin embargo, la solidez científica del modelo OCEAN aplicado a la predicción del comportamiento electoral ha sido objeto de un intenso debate académico. La literatura especializada ha cuestionado si el rastreo y la combinación de datos de redes sociales y otros tipos de información constituyen un método eficaz para capturar la complejidad de la personalidad humana y la persuasión (13)(14). Algunos estudios concluyen que Cambridge Analytica carecía del conocimiento técnico necesario para influir en elecciones, y que no consideró que los datos no validados son indicadores deficientes de la personalidad de las personas, ni que las redes sociales son dinámicas y cambian con el tiempo (13)(14). Más importante aún, se ha señalado que Cambridge Analytica no utilizó ningún instrumento para medir la eficacia de sus campañas, por lo que no poseía la capacidad real para manipular elecciones (13)(14). Esta divergencia entre las pretensiones de la empresa y las conclusiones de la investigación académica constituye un elemento central para la valoración crítica del caso.

4.5. Evidencias de uso efectivo: elecciones presidenciales de EE.UU. 2016, referéndum del Brexit y campañas en terceros países

El alcance global de Cambridge Analytica y su matriz SCL Group fue mucho más extenso que el de las elecciones estadounidenses de 2016. Según documentos de la compañía de alrededor de 2013, SCL había trabajado en 32 países de Europa, América del Norte y del Sur, Asia, África y el Caribe (11). En Kenia, por ejemplo, SCL desplegó un proyecto de investigación política que cubrió a 47.000 encuestados, como parte de un esfuerzo por comprender las necesidades y temores del electorado, y asesoró a uno de los dos partidos principales del país (11). En Colombia, antes de las elecciones de 2011 en Bogotá, SCL desaconsejó a un cliente que hiciera alarde de su propia honestidad y confianza, y le recomendó que encargara a otros esa tarea (11). En la isla caribeña de San Cristóbal y Nieves, SCL afirma haber retrasado las elecciones y organizado una campaña de "orgullo nacional" que ayudó a su cliente a mantenerse en el poder a finales de la década de 2000 (11). En Filipinas, se ha señalado la presunta contratación de Cambridge Analytica para ayudar a elegir a Rodrigo Duterte como presidente, utilizando datos extraídos de Facebook. En total, la empresa matriz SCL Elections reivindicaba un historial de más de 100 campañas electorales en más de 30 países (11). En cuanto al referéndum del Brexit, Cambridge Analytica ayudó a la campaña Leave.EU (1) y se ha sometido a escrutinio su papel en la contienda (11).

En el caso de las elecciones presidenciales de Estados Unidos de 2016, Cambridge Analytica fue contratada por la campaña de Donald Trump para construir anuncios segmentados (11). La empresa ofreció herramientas que podían identificar las personalidades de los votantes estadounidenses e influir en su comportamiento. El New York Times y The Observer of London revelaron que la empresa explotó la actividad privada en redes sociales de una gran parte del electorado estadounidense, desarrollando técnicas que sustentaron su trabajo en la campaña de Trump. Christopher Wylie, cofundador de Cambridge Analytica, declaró que los líderes de la empresa consideraban que "las reglas no importan. Para ellos, esto es una guerra, y todo vale". "Quieren librar una guerra cultural en Estados Unidos", añadió, y "Cambridge Analytica se suponía que era el arsenal de armas para librar esa guerra cultural".

4.6. Consecuencias jurídicas: investigaciones parlamentarias, sanciones de la FTC y quiebra de la empresa

El escándalo de Cambridge Analytica desencadenó una oleada de investigaciones y procedimientos sancionadores en múltiples jurisdicciones. En el Reino Unido, la Information Commissioner's Office (ICO) investigó el uso indebido de datos y la Comisión Electoral investigó la campaña Leave.EU (4). El Comité de Digital, Cultura, Medios de Comunicación y Deporte del Parlamento británico investigó el uso indebido de datos de Facebook y Cambridge Analytica (4). El Parlamento Europeo adoptó una resolución el 25 de octubre de 2018 sobre el uso de los datos de los usuarios de Facebook por parte de Cambridge Analytica y el impacto en la protección de datos, en la que se instaba a Facebook a aplicar diversas medidas para prevenir el uso de la plataforma para la interferencia electoral (4). La resolución confirmó que los datos personales de hasta 2,7 millones de ciudadanos de la UE se encontraban entre los utilizados indebidamente (4).

En Estados Unidos, la Comisión Federal de Comercio (FTC) abrió una investigación sobre si Facebook había violado un decreto de consentimiento de 2012 que le exigía obtener el consentimiento expreso de los usuarios para compartir su información personal más allá de la configuración de privacidad establecida (3). La FTC llegó a un acuerdo con Facebook por el que la empresa pagó una multa récord de 5.000 millones de dólares (3)(4). La investigación también se centró en Cambridge Analytica, y la FTC llegó a un acuerdo con la empresa (3). El fiscal general de Massachusetts también abrió una investigación. Además, se presentaron demandas colectivas contra Facebook, que dieron lugar a un acuerdo de 725 millones de dólares (3).

El 1 de mayo de 2018, SCL Group anunció el cese de sus operaciones como consecuencia del escándalo de datos (1)(10). Cambridge Analytica declaró su quiebra y cesó sus actividades. Sin embargo, empresas relacionadas con SCL Group continuaron existiendo (10). La rápida disolución de la empresa, aunque interpretada por algunos como un acto de asunción de responsabilidad, impidió en la práctica un escrutinio más profundo de sus prácticas y la imposición de sanciones directamente a la empresa. La quiebra dejó sin resolver numerosas cuestiones sobre la responsabilidad de sus directivos y sobre el destino de los datos obtenidos ilícitamente.

4.7. Valoración crítica: ¿impacto real o mito fundacional de la nueva guerra electoral?

La valoración del impacto real de Cambridge Analytica en los resultados electorales ha generado una profunda división en la doctrina y entre los analistas. Por un lado, existe un amplio consenso en que la empresa se presentó a sí misma como poseedora de una capacidad sin precedentes para manipular el comportamiento electoral, y que esta narrativa tuvo un efecto significativo en la percepción pública y en el debate regulatorio. El caso Cambridge Analytica se convirtió en el "mito fundacional" de la nueva guerra electoral digital, el arquetipo a partir del cual se han construido las narrativas sobre la interferencia algorítmica y la vulnerabilidad de las democracias.

Por otro lado, la investigación académica ha sometido a un severo escrutinio las pretensiones de la empresa. Un estudio publicado en 2025, incluido en la obra colectiva "Digital (Dis)Information Operations" (Routledge), concluye que Cambridge Analytica "no poseía la capacidad para manipular elecciones" (13)(14). El estudio demuestra que el rastreo y la combinación de datos de redes sociales y otros tipos de información no son un método eficaz para capturar la complejidad de la personalidad humana y la persuasión, y que Cambridge Analytica carecía del conocimiento técnico necesario para influir en elecciones (13)(14). Más importante aún, la empresa no utilizó ningún instrumento para medir la eficacia de sus campañas (13)(14). Otras investigaciones académicas sostienen que la microsegmentación no era tan eficaz para modelar el electorado como muchos afirman (5).

Esta divergencia no es meramente académica. Tiene implicaciones jurídicas directas: si Cambridge Analytica no poseía la capacidad de manipular elecciones, entonces el daño causado no fue la modificación del resultado electoral, sino la erosión de la confianza en la integridad del proceso y la vulneración de la privacidad de millones de ciudadanos. El daño, en este caso, no sería al resultado, sino al proceso mismo y a la legitimidad democrática. Como señalan los autores del estudio, "manipular el comportamiento de voto no es ético y socava la legitimidad de las democracias liberales" (13)(14), con independencia de que la manipulación sea efectiva o no.

El caso Cambridge Analytica, por tanto, debe ser valorado en su doble dimensión: como un hecho documentado de extracción masiva de datos y vulneración de la privacidad, y como un catalizador de conciencia pública y regulatoria sobre los riesgos de la interferencia algorítmica. Su impacto real en el resultado de las elecciones de 2016 sigue siendo objeto de debate, pero su impacto en la configuración del marco normativo y en la percepción social de la amenaza es indiscutible. La empresa, en palabras de su propio cofundador, fue "el canario en la mina" (7) que alertó al mundo sobre la vulnerabilidad de los sistemas democráticos ante la explotación de los datos personales con fines de manipulación política.

V. Estudio de caso de interferencia estatal: la Agencia de Investigación de Internet (IRA) rusa (2014‑2017)

5.1. Contexto geopolítico y financiamiento: la estructura de Yevgueni Prigozhin y la vinculación con el Kremlin

Si el caso Cambridge Analytica representó la instrumentalización comercial de los datos personales para fines de persuasión electoral, la Agencia de Investigación de Internet (Internet Research Agency, IRA) rusa encarna la modalidad estatal y geopolítica de la interferencia. La IRA, fundada en 2013, operó como una "fábrica de trolls" con financiación pública y objetivos de política exterior, orientados a la desestabilización de las democracias occidentales y a la promoción de narrativas favorables a los intereses estratégicos de la Federación Rusa (3). La estructura estaba vinculada a Yevgueni Prigozhin, empresario y operador próximo al Kremlin, cuya red de financiamiento y control se extendía a múltiples entidades dedicadas a la producción de contenido y a la operación de cuentas falsas en plataformas digitales (3).

El contexto geopolítico en el que la IRA desplegó sus operaciones es el de una creciente tensión entre Rusia y Occidente, marcada por la anexión de Crimea en 2014, las sanciones internacionales y la percepción rusa de una injerencia occidental en su espacio de influencia. La IRA se concibió como un instrumento de guerra asimétrica, capaz de proyectar poder en el espacio informativo sin necesidad de confrontación militar directa, explotando las vulnerabilidades de las sociedades abiertas y las tensiones internas de los Estados democráticos. Esta lógica de "medidas activas" —heredera de las tácticas soviéticas de desinformación— se adaptó al entorno digital mediante el uso masivo de redes sociales, la automatización de cuentas y la explotación de algoritmos de recomendación (3).

5.2. Arquitectura operativa: fábrica de trolls, cuentas coordinadas y granjas de bots

La arquitectura operativa de la IRA se caracterizaba por una organización industrial del engaño. Su centro neurálgico se ubicaba en San Petersburgo, en un edificio conocido como la "fábrica de trolls", donde cientos de empleados trabajaban por turnos para producir y difundir contenido en múltiples plataformas y en varios idiomas (3). La estructura se dividía en departamentos especializados: unos dedicados a la creación de contenido original, otros a la operación de cuentas en redes sociales, otros a la monitorización de la repercusión de los mensajes, y otros a la traducción y adaptación cultural para diferentes audiencias nacionales.

El modus operandi se articulaba en torno a dos categorías de cuentas. Por un lado, las cuentas automatizadas o bots, programadas para difundir mensajes a gran escala, amplificar tendencias y generar la apariencia de apoyo popular. Por otro, las cuentas coordinadas operadas manualmente, que simulaban ser activistas, periodistas o ciudadanos comunes, interactuaban con usuarios reales, participaban en debates y construían relaciones de confianza a lo largo del tiempo (3). Esta combinación de automatización y operación humana permitía a la IRA generar contenido a escala industrial mientras mantenía un grado de autenticidad suficiente para eludir los filtros de las plataformas y engañar a los usuarios. La coordinación entre las cuentas era cuidadosamente orquestada: los mensajes se lanzaban en oleadas sincronizadas, se amplificaban mutuamente y se adaptaban en tiempo real en función de la respuesta de la audiencia (3).

5.3. Tácticas documentadas por el informe New Knowledge para el Senado de EE.UU.: desarrollo de activos, espejismo mediático, memética, manipulación periodística y amplificación conspirativa

El informe elaborado por New Knowledge para el Comité Selecto de Inteligencia del Senado de los Estados Unidos constituye el análisis más exhaustivo de las tácticas operativas de la IRA (3). El informe documenta cinco categorías tácticas principales, que operaban de manera interconectada para maximizar el impacto de la interferencia.

La primera táctica, el desarrollo de activos, consistía en la creación de cuentas y páginas que, a lo largo de meses o años, acumulaban seguidores, credibilidad y una historia de publicaciones coherente. Estos activos no se utilizaban inmediatamente con fines políticos, sino que se cultivaban mediante contenido de interés general —memes, noticias locales, contenido cultural— hasta que alcanzaban un tamaño y una influencia significativos. Una vez consolidados, se activaban para difundir mensajes políticos o desinformación en momentos críticos de la campaña electoral (3).

La segunda táctica, el espejismo mediático, consistía en la creación de medios de comunicación falsos, con nombres que imitaban a medios legítimos, y que publicaban contenido aparentemente informativo pero sesgado o directamente falso. Estos medios falsos servían como fuentes citables por otras cuentas de la IRA, creando una ilusión de veracidad y de cobertura periodística independiente. El informe documenta cómo la IRA creó docenas de estos medios, con sitios web, perfiles en redes sociales y, en algunos casos, incluso presencia en plataformas de video, para difundir narrativas favorables a sus objetivos (3).

La tercera táctica, la memética, consistía en la creación y difusión de memes —imágenes, videos cortos y frases— diseñados para condensar mensajes complejos en formatos fácilmente compartibles y emocionalmente resonantes. Los memes de la IRA explotaban el humor, la indignación o el miedo para viralizarse, y se adaptaban a las subculturas específicas de los segmentos objetivo (3). Esta táctica permitía a la IRA sortear los filtros de contenido basados en texto y llegar a audiencias que no consumían noticias políticas tradicionales.

La cuarta táctica, la manipulación periodística, consistía en la infiltración en debates periodísticos legítimos, ya sea mediante la suplantación de periodistas, la publicación de falsas exclusivas, o la amplificación de noticias ya existentes pero con un encuadre distorsionado. La IRA también contactaba con periodistas reales, ofreciéndoles información o fuentes falsas, y logró en algunos casos que medios legítimos reprodujeran sus narrativas sin saber que provenían de una operación de interferencia (3).

La quinta táctica, la amplificación de narrativas conspirativas, consistía en la identificación y potenciación de teorías de la conspiración ya existentes en la sociedad estadounidense, particularmente aquellas que generaban desconfianza hacia las instituciones, hacia los medios de comunicación y hacia el sistema electoral. La IRA no creaba estas narrativas desde cero, sino que las detectaba, las amplificaba y las dirigía hacia segmentos específicos de la población para maximizar su efecto polarizador (3). Esta táctica se reveló especialmente eficaz para erosionar la confianza en el proceso electoral y para desmovilizar a votantes indecisos.

5.4. Alcance cuantitativo: 126 millones de usuarios de Facebook, 2.752 cuentas en Twitter y 45.000 mensajes en 48 horas durante el Brexit

La escala de las operaciones de la IRA, documentada por las propias plataformas, alcanza dimensiones que superan con creces cualquier interferencia tradicional. Facebook comunicó al Comité Selecto de Inteligencia del Senado que aproximadamente 126 millones de ciudadanos estadounidenses pudieron haber visto contenido generado por la IRA durante la campaña electoral de 2016 (3). Esta cifra representa más de la mitad de los votantes potenciales de aquel ciclo electoral, lo que sitúa el alcance de la interferencia en una escala sistémica, no marginal.

Twitter, por su parte, suspendió 2.752 cuentas que, según su investigación, estaban vinculadas a la IRA y que habían participado activamente en la difusión de contenido durante el período electoral (3). Estas cuentas, aunque suspendidas ex post, operaron durante meses y en algunos casos años sin ser detectadas, acumulando seguidores y generando interacciones con usuarios reales. El informe New Knowledge documenta que estas cuentas no se limitaban a difundir mensajes a favor de un candidato, sino que también atacaban a oponentes, sembraban dudas sobre el proceso electoral y amplificaban divisiones sociales, particularmente en torno a cuestiones raciales y de identidad (3).

En el contexto del referéndum del Brexit, la escala fue igualmente significativa. Investigadores de la Universidad de Swansea y la Universidad de California en Berkeley identificaron más de 156.000 cuentas vinculadas a Rusia en las discusiones sobre el referéndum, que publicaron más de 45.000 mensajes solo en las 48 horas finales de la campaña (7). Este incremento exponencial en la actividad en el momento crítico de la votación sugiere un esfuerzo deliberado para influir en los votantes indecisos en la fase final, cuando la atención mediática es máxima y la capacidad de verificación de los hechos es mínima. Un estudio complementario, publicado en Oxford Academic y citado en las investigaciones parlamentarias, analizó 45 millones de tweets sobre el Brexit procedentes de un cuarto de millón de usuarios británicos, identificando patrones de coordinación y amplificación que apuntan a la intervención de cuentas automatizadas y operaciones organizadas (19). La investigación de Sage Journals cuantificó la manipulación en redes sociales durante el referéndum, confirmando la presencia de actividad inauténtica coordinada que distorsionó el debate público en los días previos a la votación (18).

5.5. Objetivos estratégicos: polarización, desmovilización y erosión de la confianza institucional

Los objetivos estratégicos de la IRA, según la documentación del Senado y el análisis de New Knowledge, no se limitaban a favorecer a un candidato o a una opción política concreta, sino que se orientaban a tres metas interconectadas: la polarización social, la desmovilización electoral y la erosión de la confianza en las instituciones democráticas (3).

La polarización se perseguía mediante la amplificación de las divisiones existentes en la sociedad estadounidense —raciales, económicas, culturales y políticas—, presentando estas divisiones como irreconciliables y fomentando la hostilidad entre grupos. La IRA creó y operó páginas que se presentaban como de activistas de izquierda y de derecha, y las utilizaba para atacarse mutuamente, generando un entorno de confrontación que hacía inviable cualquier compromiso o deliberación racional (3). Esta estrategia no requería que los usuarios se convirtieran en partidarios de una posición, sino que se radicalizaran en la suya y percibieran a los demás como enemigos.

La desmovilización se perseguía mediante la difusión de mensajes diseñados para reducir la participación electoral, especialmente entre segmentos de la población que tradicionalmente votaban a candidatos demócratas. El informe New Knowledge documenta cómo la IRA desarrolló campañas específicamente dirigidas a comunidades afroamericanas y a otros grupos minoritarios, con mensajes que desacreditaban el sistema electoral, cuestionaban la utilidad del voto y promovían la abstención (3). Esta táctica es particularmente insidiosa porque no se refleja en los resultados de voto, sino en las tasas de abstención, lo que la hace más difícil de detectar y de atribuir.

La erosión de la confianza institucional era el objetivo último y de más largo plazo. Al sembrar dudas sobre la integridad del proceso electoral, sobre la objetividad de los medios de comunicación y sobre la legitimidad de los resultados, la IRA contribuía a una deslegitimación generalizada del sistema democrático. Esta erosión no se limita a un ciclo electoral, sino que se proyecta en el tiempo, generando una ciudadanía desconfiada, susceptible a la desinformación y con menor disposición a participar en los mecanismos de la democracia representativa (3).

5.6. Respuesta institucional: sanciones del Departamento del Tesoro, informes del Senado y medidas de las plataformas

La respuesta a las operaciones de la IRA se articuló en tres niveles: sanciones económicas, investigaciones legislativas y medidas de las plataformas digitales. En el plano de las sanciones, el Departamento del Tesoro de Estados Unidos, a través de la Oficina de Control de Activos Extranjeros (OFAC), impuso sanciones a Yevgueni Prigozhin y a varias entidades vinculadas a la IRA, incluyendo la propia Agencia de Investigación de Internet y la empresa de gestión de medios Concord Management and Consulting (3). Estas sanciones, basadas en la autorización del Presidente para imponer medidas contra quienes participen en actividades cibernéticas que amenacen la seguridad nacional de Estados Unidos, incluyeron la congelación de activos y la prohibición de transacciones con ciudadanos y entidades estadounidenses.

En el plano legislativo, el Comité Selecto de Inteligencia del Senado de Estados Unidos publicó una serie de informes que documentan detalladamente las operaciones de la IRA, incluyendo el informe de New Knowledge que se ha citado extensamente (3). Estos informes, aunque no tienen efectos jurídicos directos sobre la IRA, constituyen un registro público de los hechos y proporcionan la base probatoria para futuras acciones judiciales y para la adopción de medidas legislativas de prevención.

En el plano de las plataformas, Facebook, Twitter y otras empresas digitales adoptaron medidas tras el descubrimiento de las operaciones, incluyendo la suspensión de cuentas, la eliminación de páginas y la publicación de informes sobre la interferencia. Sin embargo, la eficacia de estas medidas fue limitada, ya que muchas de las cuentas habían sido eliminadas después de que la interferencia hubiera tenido lugar, y las plataformas no disponían en ese momento de mecanismos de detección temprana suficientemente robustos (3). La respuesta de las plataformas ha sido objeto de críticas por su carácter reactivo y por la insuficiencia de sus políticas de moderación durante los períodos electorales.

5.7. Comparativa con Cambridge Analytica: lógica comercial frente a lógica geopolítica

La comparación entre Cambridge Analytica y la IRA revela dos modalidades de interferencia sustancialmente distintas en su origen, finalidad y estructura, aunque convergentes en sus tácticas y en su impacto sobre el ecosistema informativo. Cambridge Analytica operaba con lógica comercial: su objetivo era obtener beneficios mediante la venta de servicios de segmentación psicográfica a campañas políticas y a partidos (1)(2). Su estructura era la de una empresa privada, con accionistas, directivos y un modelo de negocio basado en contratos con clientes. Su extracción de datos, aunque ilícita en términos de los términos de servicio de Facebook, se amparó inicialmente en un consentimiento formal obtenido de los usuarios de la aplicación "This Is Your Digital Life" (1). Su finalidad era persuadir a los electores para que votaran a sus clientes, no desestabilizar el sistema democrático en su conjunto.

La IRA, por el contrario, operaba con lógica geopolítica: su objetivo no era obtener beneficios económicos, sino avanzar los intereses estratégicos de la Federación Rusa, debilitando a sus adversarios geopolíticos y generando caos y polarización en sus sociedades (3). Su estructura era la de una organización estatal o paraestatal, financiada con fondos públicos y vinculada directamente al Kremlin a través de la figura de Prigozhin. Su finalidad no era persuadir a los electores para que votaran a un candidato, sino erosionar la confianza en el sistema democrático, desmovilizar a los votantes y amplificar las divisiones sociales, con independencia del resultado electoral concreto.

En el plano táctico, ambas organizaciones utilizaron técnicas similares: extracción y análisis de datos, microsegmentación de mensajes, amplificación artificial y desinformación dirigida. Sin embargo, la escala y la persistencia de la IRA fueron superiores, y su capacidad de adaptación a las contramedidas de las plataformas fue notablemente mayor (3). Mientras que Cambridge Analytica fue desmantelada tras el escándalo, la IRA ha continuado operando bajo diferentes formas y estructuras, adaptándose a los cambios en las políticas de las plataformas y evolucionando sus tácticas. Esta resiliencia, característica de las operaciones estatales frente a las comerciales, plantea un desafío de mayor calado para la regulación y la defensa de la integridad electoral.

VI. El caso paradigmático de anulación electoral: Rumanía 2024

6.1. Contexto electoral: la irrupción de Călin Georgescu, candidato independiente sin base previa

El 24 de noviembre de 2024, Rumanía celebró la primera vuelta de sus elecciones presidenciales en un clima de aparente normalidad democrática. Los sondeos preelectorales, la cobertura mediática tradicional y el debate público se habían centrado en los candidatos de los partidos establecidos: Marcel Ciolacu, primer ministro y líder del Partido Socialdemócrata (PSD), y Elena Lasconi, del partido reformista Unión Salvar Rumanía (USR). Sin embargo, el resultado de la votación provocó una conmoción política sin precedentes en el país y en toda la Unión Europea: Călin Georgescu, un candidato independiente de extrema derecha, prácticamente desconocido para el gran público, obtuvo el 22,94% de los votos (18), situándose en primer lugar y clasificándose para la segunda vuelta prevista para el 8 de diciembre.

Georgescu, ingeniero agrónomo de profesión, nacido en 1962, había desempeñado funciones técnicas en los ministerios de Medio Ambiente y Asuntos Exteriores de Rumanía, pero carecía de trayectoria política institucional. Su discurso combinaba un ultranacionalismo cristiano-ortodoxo con posiciones abiertamente antioccidentales: elogiaba a Vladimir Putin, calificaba a la Unión Europea de "enemiga de los rumanos", negaba la existencia de la pandemia de COVID-19, cuestionaba la legitimidad de Ucrania como Estado y manifestaba su admiración por los líderes legionarios fascistas rumanos del período de entreguerras (12)(14). Su programa político incluía la salida de Rumanía de la OTAN y la UE, la clausura de lo que denominaba la "red Soros" y una retórica providencialista que le valió el apodo de "mesías de TikTok" (12)(14).

Lo más llamativo de su irrupción era la ausencia de los atributos convencionales de una campaña electoral: Georgescu declaró no haber gastado "cero" euros en promoción electoral (20)(14), no contaba con el apoyo de ningún partido u organización, no había aparecido en los medios de comunicación tradicionales y las encuestas le atribuían sistemáticamente resultados de un solo dígito. Su única presencia significativa era en TikTok, donde en las semanas previas a la votación sus contenidos se compartieron cientos de miles de veces. Su cuenta oficial en la plataforma experimentó un crecimiento explosivo: según datos de SocialBlade, aumentó en 288.800 seguidores en los 30 días anteriores a las elecciones (18). El contraste entre su invisibilidad en el espacio público tradicional y su súbita emergencia como favorito electoral revelaba la existencia de un fenómeno que escapaba por completo a los mecanismos ordinarios de monitorización y control de las campañas electorales.

6.2. Evidencias de manipulación algorítmica en TikTok: bots, redes de cuentas inauténticas e inflación artificial de engagement

El 4 de diciembre de 2024, el presidente saliente Klaus Iohannis, a petición de periodistas y organizaciones de la sociedad civil, desclasificó las "Notas de Información" elaboradas por los servicios de inteligencia rumanos —el Servicio de Inteligencia Exterior, el Servicio de Inteligencia Rumano, la Dirección General de Protección Interna del Ministerio del Interior y el Servicio Especial de Telecomunicaciones—, que habían sido presentadas al Consejo Supremo de Defensa Nacional (13)(19). Los documentos desclasificados revelaban la existencia de una campaña de interferencia masiva en la red social TikTok, que incluía manipulación algorítmica, actividad impulsada por bots y coordinación de cuentas inauténticas (10)(11).

La magnitud de la operación era excepcional. Los servicios de inteligencia rumanos identificaron una red de aproximadamente 25.000 cuentas de TikTok directamente asociadas a la campaña de Georgescu, que se volvieron muy activas en las dos semanas previas a la votación (19). De estas cuentas, unas 800 habían existido desde 2016 —el año de lanzamiento de TikTok— pero habían permanecido prácticamente inactivas hasta noviembre de 2024 (19). El Servicio de Inteligencia Rumano evaluó que la actividad de estas cuentas "podía haber sido coordinada por un actor estatal" (19) y que detrás de la campaña se encontraba "una empresa de marketing digital muy competente", con capacidad para eludir las reglas de la plataforma (19). Cada cuenta utilizaba una dirección IP única, lo que revelaba una estrategia deliberada para dificultar la identificación de la red (19). Un grupo creado en la aplicación de mensajería Telegram se utilizaba para coordinar la actividad en TikTok, incluyendo instrucciones sobre cómo engañar al sistema de verificación de contenido de la plataforma (19).

Los documentos desclasificados también revelaban pagos sustanciales no declarados: TikTok confirmó posteriormente donaciones superiores a un millón de euros a la campaña de Georgescu, incluidos pagos por valor de 381.000 dólares realizados a partir del 24 de octubre a través de una cuenta de TikTok ("bogpr") vinculada a la promoción del candidato (11)(20). Estos pagos se efectuaron sin que el contenido fuera etiquetado como campaña electoral, en violación de las reglas de la propia plataforma y de la ley electoral rumana (11)(20). Mientras tanto, el contenido de otros candidatos fue objeto de controles más estrictos (11). El candidato había declarado no haber gastado nada en su campaña, lo que situaba estos pagos en una zona de opacidad financiera incompatible con los requisitos de transparencia de la financiación electoral.

La manipulación algorítmica fue igualmente significativa. El sistema de recomendación de TikTok, que determina qué contenido se muestra a los usuarios, amplificó de manera artificial y no transparente los mensajes de Georgescu. Como señaló el vicepresidente del Consejo Audiovisual rumano, Valentin Jucan, "de repente, los usuarios de TikTok se encontraron con el sistema de TikTok mostrando más y más clips de este candidato en el área de recomendación de contenidos" (12). La pregunta que las autoridades rumanas plantearon a la Comisión Europea era si este comportamiento era "natural" del algoritmo o si TikTok había modificado deliberadamente sus algoritmos para que cada vez más rumanos recibieran y creyeran que toda Rumanía quería a un determinado candidato (12).

Un estudio académico publicado en ScienceDirect analizó sistemáticamente el fenómeno, documentando cómo un candidato marginal experimentó un crecimiento rápido de visibilidad a través de la amplificación algorítmica, y cómo la actividad inauténtica coordinada contribuyó a la difusión a gran escala del contenido de campaña (17). Democracy Reporting International identificó 66 cuentas en TikTok que potencialmente violaban las reglas de la plataforma sobre suplantación de identidad y/o mostraban signos de comportamiento inauténtico coordinado o uso de interacciones falsas (18). Estas cuentas creaban un "ecosistema de amplificadores" que impulsaban la visibilidad general y la viralidad del contenido de extrema derecha (18). La organización señaló que "la repentina aparición de cuentas con un número significativo de seguidores" —como una cuenta creada el 26 de noviembre que ganó instantáneamente 15.000 seguidores— sugería "un comportamiento inauténtico coordinado y/o el uso de interacciones falsas" (18). Además de la campaña en TikTok, se detectaron aproximadamente 85.000 intentos de pirateo informático para acceder a datos electorales y modificar contenido, incluso el día de las elecciones, utilizando métodos avanzados para permanecer en el anonimato, en una escala "típica de actores patrocinados por el Estado" (20)(11).

6.3. La decisión sin precedentes del Tribunal Constitucional: fundamentos jurídicos de la anulación de la primera vuelta

El 6 de diciembre de 2024, a solo dos días de la celebración de la segunda vuelta (que ya había comenzado en el extranjero), el Tribunal Constitucional de Rumanía adoptó una decisión sin precedentes en la historia de la Unión Europea: anuló en su totalidad el proceso electoral presidencial y ordenó la repetición íntegra de las elecciones (14)(15). La decisión, adoptada de manera per curiam en una reunión improvisada y breve del tribunal, se produjo después de que el tribunal hubiera certificado los resultados de la primera vuelta solo tres días antes, el 3 de diciembre, dando luz verde a la segunda vuelta (14)(15).

El fundamento jurídico de la decisión se articuló en torno a varios pilares. En primer lugar, el tribunal invocó su competencia conforme al artículo 146, letra f), de la Constitución de Rumanía, que le otorga la facultad de velar por la correcta observancia del procedimiento para la elección del Presidente y de confirmar los resultados (13). Sobre la base de las notas de información desclasificadas, el tribunal constató que las principales preocupaciones en torno al proceso electoral eran la manipulación de los votos y la distorsión de la igualdad de oportunidades entre los candidatos (13). Esta distorsión se había logrado mediante el uso no transparente de tecnologías digitales e inteligencia artificial en la campaña electoral, en violación de la legislación electoral, así como mediante la financiación de la campaña con fuentes no declaradas, incluidas fuentes en línea (13).

En segundo lugar, el tribunal determinó que la libre expresión del voto había sido distorsionada por el hecho de que los votantes habían sido desinformados mediante una campaña electoral en la que uno de los candidatos fue promocionado de manera agresiva, eludiendo la ley electoral nacional y haciendo un uso indebido de los algoritmos de las plataformas de redes sociales (13). El tribunal consideró que la manipulación del voto era tanto más evidente cuanto que los materiales electorales que promocionaban a uno de los candidatos no llevaban las marcas específicas de publicidad electoral exigidas por la Ley núm. 370/2004 (13). Además, el candidato se benefició de un trato preferencial en las plataformas de redes sociales, lo que tuvo el efecto de distorsionar la expresión de la voluntad de los votantes (13).

En tercer lugar, el tribunal subrayó que el principio de soberanía nacional consagrado en el artículo 2 (1) de la Constitución presupone elecciones justas y transparentes, y que el Estado tiene la responsabilidad de prevenir cualquier interferencia injustificada en el proceso electoral (13). El tribunal constató que la campaña electoral estuvo marcada por una desinformación masiva que favorecía a un candidato mediante medios digitales que violaban la legislación vigente (13). El derecho de los votantes a ser correctamente informados había sido violado, afectando directamente a la libertad de voto (13). El tribunal concluyó que el proceso electoral se vio gravemente afectado por la manipulación del voto, la distorsión de la igualdad de oportunidades y el uso indebido de tecnologías digitales e inteligencia artificial (13). Algunos candidatos se beneficiaron de campañas promocionales en línea no transparentes que influyeron indebidamente en el comportamiento de los votantes (13). La decisión también analizó la financiación de la campaña electoral, aunque los detalles concretos de este aspecto no se especifican en las fuentes consultadas (13).

La decisión fue recibida con reacciones encontradas dentro y fuera de Rumanía. El primer ministro Marcel Ciolacu, que había quedado en tercer lugar en la primera vuelta, calificó la anulación como "la única solución correcta" (10). El presidente Iohannis, que había desclasificado los documentos de inteligencia, respaldó la decisión del tribunal. Sin embargo, Georgescu y sus partidarios denunciaron la decisión como un intento de la clase política de bloquear su candidatura. Georgescu declaró que era "la primera vez en la historia del mundo que un Estado organiza una acción contra un candidato para impedirle presentarse" (20). El portavoz de Georgescu afirmó que los documentos desclasificados "no presentaban nada nuevo" y que su publicación era "otro intento del sistema político de detenerle" (19).

6.4. Reacciones institucionales de la UE y sospechas de implicación rusa

La decisión del Tribunal Constitucional rumano generó un amplio debate en las instituciones europeas y entre los Estados miembros. El Parlamento Europeo programó un debate sobre el caso en su pleno de diciembre de 2024 (6). La Comisión Europea inició un procedimiento contra TikTok por no evaluar y mitigar adecuadamente los riesgos para la integridad de las elecciones. El procedimiento se basó en la Ley de Servicios Digitales (DSA), que exige a las plataformas en línea evaluar y mitigar los riesgos sistémicos para los procesos electorales (18).

El informe VIGINUM, elaborado por el organismo gubernamental francés encargado de la vigilancia de la interferencia digital, advirtió que la manipulación de la información en las redes sociales utilizada en la primera vuelta de las elecciones presidenciales de Rumanía "puede repetirse en cualquier otro país" (4). Esta advertencia subrayaba la naturaleza sistémica y replicable de la amenaza, más allá de las fronteras de Rumanía.

En cuanto a la implicación de Rusia, los documentos desclasificados no afirmaban directamente que el Kremlin hubiera intentado inclinar las elecciones a favor de Georgescu, pero lo sugerían con fuerza (19). Los servicios de inteligencia rumanos evaluaron que la actividad de las cuentas "podía haber sido coordinada por un actor estatal" (19) y que Rumanía había sido identificada como un "Estado enemigo" por Moscú y un objetivo prioritario para lo que denominaba "acciones híbridas agresivas" (11)(20). Los patrones observados en la campaña de TikTok en Rumanía eran similares a las operaciones de influencia llevadas a cabo por el Kremlin en Ucrania y Moldavia (19)(5). La BBC informó de que los servicios de inteligencia rumanos señalaban que la campaña se llevó a cabo desde "ubicaciones externas" para eludir los controles (20). La injerencia, según los analistas, fue "quirúrgica", activándose en el momento políticamente más oportuno para maximizar su impacto. Rusia negó cualquier interferencia en el proceso electoral rumano (20). La Comisión Europea y la OTAN expresaron su preocupación por la interferencia extranjera en las elecciones de un Estado miembro.

6.5. Implicaciones para el principio de inmediatez e irrevocabilidad de los resultados electorales

La anulación de las elecciones presidenciales rumanas plantea graves interrogantes sobre dos principios fundamentales del Derecho electoral: la inmediatez y la irrevocabilidad de los resultados. El principio de inmediatez exige que el proceso electoral se desarrolle sin interrupciones y que los resultados se proclamen dentro de los plazos establecidos, para garantizar la estabilidad institucional y la continuidad del ejercicio del poder. El principio de irrevocabilidad, por su parte, establece que, una vez proclamados los resultados y agotados los recursos jurisdiccionales, estos son definitivos y no pueden ser cuestionados posteriormente (14). La decisión del Tribunal Constitucional rumano supuso una ruptura con ambos principios: anuló un proceso electoral que ya había superado la fase de escrutinio, había sido sometido a recuento y había sido certificado por el propio tribunal apenas tres días antes (14)(15). La segunda vuelta ya había comenzado en el extranjero, y la campaña electoral había concluido (14).

Esta ruptura no fue, sin embargo, arbitraria. El tribunal fundamentó su decisión en la necesidad de proteger el bien jurídico superior de la integridad electoral y la libre expresión de la voluntad popular, que habían sido distorsionados por una interferencia externa que no pudo ser detectada ni neutralizada a tiempo (13). La anulación, en este sentido, no fue una vulneración de la democracia, sino un acto de "democracia militante" —la utilización de instrumentos constitucionales para proteger la democracia de fuerzas que pretenden destruirla desde dentro— (14). El concepto de democracia militante, acuñado a partir de la "lección de Weimar" y plasmado en la Ley Fundamental de Alemania, ha sido revitalizado por el caso rumano como un instrumento necesario para hacer frente a las amenazas híbridas a la integridad electoral (14). El International Foundation for Electoral Systems (IFES) señaló que, históricamente, las anulaciones electorales se han asociado típicamente con errores procesales claros o fraude, pero la decisión rumana "significa un cambio importante" al destacar el impacto de la inteligencia artificial, los sistemas automatizados y las campañas coordinadas de integridad de la información en la integridad electoral (15).

La decisión también plantea el problema de la proporcionalidad: ¿era la anulación total del proceso electoral la medida adecuada, o existían otras medidas menos gravosas, como la repetición de la primera vuelta o la celebración de la segunda vuelta con garantías adicionales? El tribunal consideró que la magnitud de la interferencia —que afectaba a la totalidad del proceso y no solo a aspectos marginales— justificaba la anulación completa (13). Sin embargo, la decisión ha sido objeto de críticas por su carácter per curiam y su adopción en una reunión improvisada y breve, sin un razonamiento detallado que permitiera un escrutinio público adecuado (14). La Comisión de Venecia, a petición de las autoridades rumanas, emitió un dictamen sobre la decisión, que constituye un elemento esencial para evaluar su conformidad con los estándares europeos (3).

6.6. El precedente Rumanía como catalizador de una nueva doctrina sobre interferencia digital

El caso Rumanía 2024 constituye el primer precedente en la Unión Europea de anulación de unas elecciones presidenciales por desinformación en redes sociales e interferencia algorítmica. Como tal, se ha convertido en un catalizador para el desarrollo de una nueva doctrina jurídica y política sobre la protección de la integridad electoral en la era digital. La crisis electoral de seis meses en Rumanía, que finalmente concluyó el 18 de mayo de 2025 con la victoria en la segunda vuelta del centrista Nicușor Dan sobre el nacionalista de extrema derecha George Simion, supone tanto "una severa advertencia como un rayo de esperanza para las democracias de todo el mundo".

El precedente Rumanía ha tenido un impacto inmediato en el debate regulatorio europeo. La Comisión Europea inició un procedimiento contra TikTok en virtud de la Ley de Servicios Digitales (18). El Parlamento Europeo debatió el caso y planteó interrogantes sobre la necesidad de reforzar los mecanismos de supervisión de las plataformas durante los períodos electorales (6). La Directiva de la Comisión sobre la integridad de los procesos electorales, aunque no vinculante, ha cobrado una nueva urgencia. El caso también ha influido en los debates sobre la necesidad de una regulación más estricta de la publicidad política y la transparencia algorítmica, así como sobre el papel de los servicios de inteligencia en la detección temprana de interferencias.

Desde una perspectiva jurídica, el caso Rumanía ha planteado cuestiones fundamentales que la doctrina deberá abordar en los próximos años. En primer lugar, la determinación del estándar de prueba requerido para anular unas elecciones por interferencia digital. El Tribunal Constitucional rumano se basó en notas de inteligencia desclasificadas, que no constituyen pruebas en el sentido procesal estricto, sino informaciones de inteligencia. ¿Es admisible este tipo de prueba en un procedimiento de impugnación electoral? ¿Qué nivel de certeza se requiere? En segundo lugar, la atribución de la interferencia a un Estado extranjero. Los documentos rumanos sugerían la implicación de Rusia, pero no la probaban de manera concluyente. ¿Es necesaria una atribución formal para justificar la anulación? En tercer lugar, la relación entre la interferencia digital y el resultado electoral. ¿Es necesario demostrar que la interferencia alteró el resultado, o basta con demostrar que distorsionó el proceso? El tribunal rumano optó por esta segunda interpretación, considerando que la distorsión del proceso —la desigualdad de oportunidades y la desinformación de los votantes— era suficiente para justificar la anulación, con independencia de que el resultado final hubiera sido o no diferente (13).

El caso Rumanía ha demostrado que la interferencia digital no es una amenaza teórica, sino una realidad operativa con capacidad para alterar procesos electorales en Estados miembros de la UE. También ha demostrado que los instrumentos jurídicos existentes —desde la Ley de Servicios Digitales hasta el RGPD— son insuficientes para prevenir este tipo de interferencias, y que se necesitan mecanismos más rápidos, más robustos y mejor coordinados a nivel supranacional. La decisión del Tribunal Constitucional rumano, aunque controvertida, ha abierto un camino que otras democracias podrían verse obligadas a transitar si no se adoptan medidas preventivas efectivas. Como advierte el informe VIGINUM, lo que ocurrió en Rumanía "puede repetirse en cualquier otro país" (4). La cuestión no es si volverá a ocurrir, sino cuándo y cómo responderán las instituciones democráticas cuando ocurra.

VII. La interferencia algorítmica en Europa: el expediente Meta, Moldavia y el Brexit

7.1. El expediente DSA contra Meta: contenido político, publicidad engañosa y el fin de CrowdTangle

El caso más documentado de escrutinio regulatorio sobre la gobernanza algorítmica de una plataforma en período electoral es el expediente abierto por la Comisión Europea contra Meta el 30 de abril de 2024, a las puertas de las elecciones al Parlamento Europeo de junio de ese año (37). La Comisión inició un procedimiento formal, al amparo del Reglamento de Servicios Digitales (DSA), para determinar si Facebook e Instagram habían incumplido sus obligaciones en tres ámbitos concretos: la difusión de publicidad engañosa y de campañas de desinformación y comportamiento inauténtico coordinado; la política de "contenido político" de Meta, que degrada sistemáticamente este tipo de contenido en los sistemas de recomendación de Facebook e Instagram, incluidos los feeds de los usuarios; y la ausencia de una herramienta efectiva, de acceso público y en tiempo real, para el seguimiento electoral por terceros, tras la retirada de CrowdTangle sin un sustituto adecuado (37)(38). La Comisión consideró que estos indicios, de confirmarse, constituirían infracciones de los artículos 14.1, 16.1, 16.5, 16.6, 17.1, 20.1, 20.3, 24.5, 25.1, 34.1, 34.2, 35.1 y 40.12 del DSA (38). La presidenta de la Comisión, Ursula von der Leyen, vinculó explícitamente la apertura del expediente a la protección de las elecciones frente a la manipulación y la desinformación procedentes de terceros países, y señaló el papel activo de varios Estados miembros —entre ellos la República Checa, mediante el mecanismo de alerta rápida entre Estados miembros activado por Bélgica— en la elevación del asunto a escala europea (39).

El caso Meta ilustra, mejor que ninguna alegación aislada, la dificultad jurídica central identificada en este estudio: la política de "contenido político" que la Comisión investiga no consiste en amplificar arbitrariamente a unos actores frente a otros, sino en una decisión de diseño —la degradación general del contenido político en los sistemas de recomendación— cuya compatibilidad con las obligaciones de gestión de riesgos sistémicos del DSA (arts. 34 y 35) es precisamente lo que la Comisión debe esclarecer. La opacidad de los parámetros concretos de ponderación del algoritmo impide, tanto a los reguladores como a los propios partidos y candidatos, verificar si la degradación se aplica de manera neutral entre familias políticas o si, por el contrario, produce efectos diferenciales no justificados. Esta es, precisamente, la laguna estructural que la sección 3.5 de este estudio identificó como el vacío regulatorio en la gobernanza algorítmica de las plataformas durante los períodos electorales.

7.2. Extensión del expediente: acceso a datos de investigadores y el nuevo régimen de publicidad política

El expediente contra Meta no se ha limitado a la investigación inicial de 2024. El 24 de octubre de 2025, la Comisión emitió conclusiones preliminares adicionales, dentro del mismo procedimiento, en las que consideró que Meta —junto con TikTok, sujeta a un procedimiento separado— había incumplido su obligación de facilitar a los investigadores acreditados un acceso adecuado a los datos públicos de la plataforma conforme al artículo 40 del DSA, una obligación de transparencia que la Comisión considera esencial para la detección de riesgos sistémicos, incluidos los que afectan a los procesos electorales (40). Estas conclusiones preliminares no prejuzgan el resultado final del procedimiento: Meta conserva el derecho a examinar el expediente y a responder antes de que se adopte una decisión de incumplimiento, que, de confirmarse, podría acarrear multas de hasta el 6% de su volumen de negocio anual mundial (37)(40).

Paralelamente, y respondiendo a la misma laguna regulatoria que este expediente pone de manifiesto, entró en vigor el 10 de octubre de 2025 el Reglamento (UE) 2024/900 sobre la transparencia y la segmentación de la publicidad política, que impone a los anunciantes y a las plataformas la obligación de identificar los anuncios políticos, revelar quién los financia y qué criterios de segmentación se han empleado, y prohíbe el uso de categorías especiales de datos personales —incluidos los datos psicográficos inferidos— para la segmentación política salvo consentimiento explícito (41). La reacción inmediata de las principales plataformas, sin embargo, ha sido reveladora de la resistencia estructural que este estudio documenta en otros casos: tanto Meta como Google optaron por prohibir directamente la publicidad política en la Unión Europea antes que asumir las obligaciones de transparencia del nuevo régimen, y Google eliminó su archivo preexistente de anuncios políticos para la UE (41). Esta respuesta, calificada por parte de la doctrina como una forma de "cumplimiento malicioso" —el ajuste formal a la letra de la norma que vacía de contenido su finalidad, al sustraer al escrutinio público la publicidad política en lugar de someterla a transparencia—, confirma que la regulación exógena, por sí sola, no garantiza la transparencia algorítmica si las plataformas conservan la opción de eludir la obligación mediante la retirada del servicio regulado (41).

7.3. Moldavia 2025: patrones de interferencia híbrida más allá de la propaganda en línea

Moldavia, país situado en la frontera oriental de la Unión Europea y con una significativa presencia de población de habla rusa, se ha convertido en un escenario recurrente de interferencia híbrida por parte de actores externos, principalmente la Federación Rusa. Las elecciones parlamentarias de septiembre de 2025 estuvieron marcadas por patrones de interferencia que, según el análisis de The Foreign Policy Centre, no pueden entenderse únicamente a través de la lente de la manipulación y propaganda en línea (10). La interferencia en Moldavia combinó la desinformación digital con la presión económica, el uso de flujos de capital ilícito, la cooptación de actores políticos locales y la instrumentalización de las comunidades separatistas de Transnistria y Gagauzia (10). Esta combinación de herramientas constituye lo que la doctrina denomina "guerra híbrida", en la que el componente digital es un eslabón de una cadena más amplia de influencia, pero no el único ni necesariamente el más determinante.

En el plano digital, el análisis documentado por The Foreign Policy Centre (10) identificó patrones similares a los observados en Rumanía y en las operaciones de la IRA: uso de cuentas inauténticas en redes sociales, amplificación de narrativas prorrusas, difusión de desinformación sobre la integridad del proceso electoral y ataques coordinados contra los candidatos proeuropeos. Sin embargo, la interferencia en Moldavia se benefició de una vulnerabilidad estructural: la profunda división de la sociedad moldava entre la orientación proeuropea y la prorrusa, y la existencia de entidades territoriales no controladas por el gobierno central (Transnistria) que sirven como plataformas para la proyección de influencia externa (10). La interferencia digital, en este contexto, no creó las divisiones, sino que las explotó y amplificó, generando un entorno de polarización que dificultaba la formación de mayorías estables y la gobernabilidad democrática.

El caso moldavo pone de manifiesto la necesidad de un enfoque integral de la integridad electoral que trascienda la mera regulación de las plataformas digitales e incorpore dimensiones como la financiación política, la transparencia de los medios de comunicación, la resiliencia de las infraestructuras críticas y la capacidad de los servicios de inteligencia para detectar y atribuir interferencias (10). La respuesta de la Unión Europea al caso moldavo incluyó la apertura de un procedimiento de asistencia técnica y financiera para reforzar la capacidad de las autoridades electorales y judiciales del país, así como la coordinación con los Estados miembros para el intercambio de inteligencia sobre operaciones de influencia rusa en la región (10). La Comisión de Venecia, por su parte, emitió recomendaciones específicas para Moldavia sobre la necesidad de revisar la legislación electoral para abordar las nuevas formas de interferencia digital, así como sobre la creación de un mecanismo independiente de supervisión de la publicidad política en línea (10).

7.4. Reino Unido — Brexit: análisis de 45 millones de tweets y la identificación de 156.000 cuentas vinculadas a Rusia

El referéndum sobre la permanencia del Reino Unido en la Unión Europea, celebrado el 23 de junio de 2016, ha sido objeto de múltiples investigaciones académicas y parlamentarias sobre el papel de la desinformación y la interferencia digital en el resultado (7). La evidencia escrita presentada por el profesor Saul Newman ante el Parlamento del Reino Unido documentó la existencia de campañas de desinformación rusa durante el referéndum, así como durante las elecciones generales de 2019 (7). Los investigadores de la Universidad de Swansea y de la Universidad de California en Berkeley identificaron más de 156.000 cuentas vinculadas a Rusia en las discusiones sobre el Brexit, que publicaron más de 45.000 mensajes solo en las 48 horas finales de la campaña (7). La cronología de esta actividad —concentrada en los dos días previos a la votación— sugiere un esfuerzo deliberado para influir en los votantes indecisos en el momento crítico, cuando la atención mediática es máxima y la capacidad de verificación de los hechos es mínima.

Un estudio publicado en Oxford Academic, liderado por Marco Bastos, analizó 45 millones de tweets sobre el Brexit procedentes de un cuarto de millón de usuarios británicos, identificando patrones de coordinación y amplificación que apuntan a la intervención de cuentas automatizadas y operaciones organizadas (19). El estudio cuantificó la manipulación en redes sociales durante el referéndum, confirmando la presencia de actividad inauténtica coordinada que distorsionó el debate público en los días previos a la votación (18)(19). Las cuentas identificadas como sospechosas mostraron un comportamiento de amplificación exponencial de determinados mensajes, particularmente aquellos que generaban ansiedad sobre la inmigración y la pérdida de soberanía, que eran precisamente los ejes centrales de la campaña a favor del Brexit (19). El estudio también documentó cómo estas cuentas interactuaban con cuentas reales, generando una apariencia de apoyo popular y creando una "cámara de eco" que reforzaba las percepciones de los votantes indecisos.

La respuesta institucional al Brexit fue significativamente más limitada que en el caso estadounidense, en parte porque el referéndum no era una elección general y en parte porque el Reino Unido, en ese momento, aún era miembro de la UE pero no estaba plenamente integrado en sus mecanismos de supervisión electoral. La Comisión Electoral del Reino Unido investigó el gasto de la campaña Leave.EU, pero sus competencias no se extendían a la interferencia digital transfronteriza. El Parlamento del Reino Unido, a través de su Comité de Digital, Cultura, Medios de Comunicación y Deporte, llevó a cabo una investigación sobre la desinformación y las noticias falsas en el contexto del Brexit, pero sus conclusiones no tuvieron efectos jurídicos vinculantes (7). La ausencia de una respuesta institucional robusta al Brexit ha sido objeto de crítica en la doctrina, que señala que el Reino Unido perdió una oportunidad crucial para establecer precedentes en la lucha contra la interferencia digital en procesos de consulta popular.

7.5. La respuesta institucional europea: preguntas parlamentarias, el "toolkit" electoral del DSA y la persistencia de la opacidad

El Parlamento Europeo ha ejercido un papel activo de escrutinio sobre la transparencia algorítmica de las plataformas durante los períodos electorales, tanto a través de resoluciones como de preguntas parlamentarias dirigidas a la Comisión. En su respuesta a la pregunta parlamentaria E‑000086/2026, la Comisión detalló que, dentro del expediente DSA contra Meta, el 24 de octubre de 2025 había emitido conclusiones preliminares por incumplimiento de la obligación de acceso de los investigadores a los datos públicos de la plataforma (art. 40 DSA), y recordó la existencia de mecanismos específicos para la protección electoral —los coordinadores de servicios digitales designados por cada Estado miembro pueden organizar mesas de coordinación electoral con el apoyo de la Comisión— así como del Reglamento (UE) 2024/900 sobre transparencia y segmentación de la publicidad política y de la Recomendación (UE) 2023/2829 sobre elecciones inclusivas y resilientes (40). La Comisión ha publicado asimismo un conjunto de buenas prácticas electorales ("DSA elections toolkit") dirigido a los coordinadores de servicios digitales, las plataformas y los motores de búsqueda (40).

El Parlamento Europeo también ha adoptado resoluciones sobre la necesidad de reforzar la transparencia de los algoritmos de las plataformas durante los períodos electorales. La resolución de 25 de octubre de 2018 sobre el uso de los datos de los usuarios de Facebook por parte de Cambridge Analytica (4) sentó las bases para exigencias posteriores de transparencia. La resolución instaba a Facebook a aplicar medidas para prevenir el uso de la plataforma para la interferencia electoral, incluyendo la obligación de proporcionar a los usuarios información clara sobre el uso de sus datos para fines de segmentación política (4). Aunque esta resolución no era vinculante, influyó en el desarrollo del DSA y en el Código de Buenas Prácticas sobre Desinformación de la Comisión Europea (4).

El expediente Meta y el caso rumano han puesto de manifiesto una insuficiencia estructural en el marco regulatorio existente: la ausencia de un mecanismo independiente de supervisión de la neutralidad algorítmica durante las campañas electorales, más allá de la investigación reactiva de incumplimientos ya consumados. La Comisión de Venecia ha señalado que "las normas y regulaciones sobre publicidad política y sobre la responsabilidad de los intermediarios de Internet deben mantenerse en revisión constante" (6), y que "la naturaleza transnacional de los comportamientos en línea requiere una autoridad internacional competente" (11). El Parlamento Europeo ha recogido esta recomendación y ha solicitado a la Comisión que estudie la creación de un organismo europeo de supervisión algorítmica con poderes de investigación y sanción, que pueda actuar de manera ágil durante los períodos electorales para detectar y neutralizar interferencias en tiempo real.

La respuesta del Parlamento Europeo, sin embargo, sigue siendo predominantemente reactiva: las preguntas parlamentarias y las resoluciones se formulan después de que la interferencia haya tenido lugar y, en algunos casos, después de que los resultados electorales hayan sido proclamados o anulados. Esta naturaleza reactiva limita la eficacia de la respuesta institucional, ya que el daño —la distorsión del proceso deliberativo y la erosión de la confianza de los votantes— se consuma en el momento de la votación. La doctrina ha señalado la necesidad de pasar de un enfoque reactivo a un enfoque preventivo, basado en la monitorización continua de los algoritmos de las plataformas y en la obligación de estas de notificar a las autoridades electorales cualquier cambio sustancial en sus políticas de distribución de contenido durante los períodos electorales (10). El caso italiano y el precedente Rumanía han acelerado este debate, y es previsible que en los próximos años se produzcan avances significativos en la regulación de la transparencia algorítmica en el ámbito electoral.

VIII. La expansión global: Brasil, Filipinas, Nigeria y Kurdistán iraquí

8.1. Brasil 2018‑2022: la "milicia digital" contra las urnas electrónicas y la desinformación sistémica

Las elecciones presidenciales brasileñas de 2018 y 2022, las más disputadas de la historia reciente del país, fueron escenario de una intensa campaña de desinformación dirigida a desacreditar el sistema electoral y, en particular, las urnas electrónicas. La Policía Federal de Brasil identificó la existencia de una "milicia digital" que trabajaba sistemáticamente para propagar la narrativa falsa de que las elecciones de 2018 y 2022 fueron fraudadas (12). Esta milicia, integrada por actores con vínculos con el entorno del entonces presidente Jair Bolsonaro, operaba a través de redes sociales y aplicaciones de mensajería, difundiendo contenido engañoso sobre la urna electrónica y sembrando dudas sobre la integridad del proceso de recuento de votos.

La investigación de la Policía Federal, documentada por Agencia Brasil, reveló que la milicia digital no se limitaba a la difusión de desinformación, sino que coordinaba ataques coordinados contra el sistema electoral, utilizando técnicas de amplificación artificial y manipulación de algoritmos para maximizar el alcance de sus mensajes (12). El objetivo estratégico de estas operaciones era erosionar la confianza en el sistema electoral y, en última instancia, cuestionar la legitimidad de los resultados, creando un ambiente de polarización y tensión que dificultaba la gobernabilidad democrática. La narrativa del fraude electoral, aunque desmentida reiteradamente por el Tribunal Superior Electoral, ganó tracción en segmentos significativos de la población, contribuyendo a un clima de confrontación que culminó en los ataques a las sedes de los poderes públicos en Brasilia el 8 de enero de 2023.

Un estudio publicado en arXiv analizó el papel de los bots y las controversias en Twitter durante las elecciones polarizadas de Brasil, documentando cómo las cuentas automatizadas contribuyeron a la difusión de desinformación y a la amplificación de las divisiones políticas (11). El estudio identificó patrones de coordinación entre cuentas sospechosas que compartían las mismas narrativas sobre el fraude electoral y atacaban a los oponentes políticos con mensajes estandarizados. La investigación también reveló que las plataformas, a pesar de sus políticas de moderación, no lograron contener eficazmente la difusión de desinformación durante los períodos electorales, en parte debido a la rapidez con la que se generaban y distribuían los contenidos y a la dificultad de distinguir entre la expresión política legítima y la actividad inauténtica coordinada (11). El caso brasileño evidencia que la interferencia digital no se limita a actores externos, sino que puede ser impulsada por actores domésticos con intereses políticos concretos, utilizando las mismas técnicas de microsegmentación y amplificación artificial que las operaciones de influencia extranjera.

8.2. Filipinas 2016: las primeras "elecciones de redes sociales" y el presunto papel de Cambridge Analytica en la victoria de Duterte

Las elecciones presidenciales de Filipinas en 2016 son consideradas las primeras "elecciones de redes sociales" del país, en las que las plataformas digitales desempeñaron un papel central en la configuración del debate público y en la movilización del electorado. Rodrigo Duterte, entonces alcalde de Davao, emergió como un candidato outsider que utilizó las redes sociales para conectar directamente con los votantes, eludiendo los medios de comunicación tradicionales y presentándose como un líder disruptivo y anti-establishment. La victoria de Duterte, que obtuvo más de 16 millones de votos, fue atribuida en parte a su habilidad para utilizar las redes sociales como plataforma de campaña y para movilizar a los votantes jóvenes y descontentos.

El papel de Cambridge Analytica en la campaña de Duterte ha sido objeto de controversia. El South China Morning Post documentó que SCL Group, la matriz de Cambridge Analytica, se atribuyó en su propia página web haber ayudado a que un candidato presidencial filipino no identificado —pero claramente reconocible como Duterte— resultara elegido en 2016, mediante una estrategia de reposicionamiento de imagen como "hombre de acción sin concesiones" (32). El mismo medio documentó una reunión previa, en mayo de 2015, entre el entonces consejero delegado de Cambridge Analytica, Alexander Nix, y quienes se convertirían en responsables de comunicación digital de la campaña de Duterte (32). Sin embargo, el propio Duterte y su portavoz presidencial negaron públicamente haber contratado a la empresa o haberle pagado por sus servicios, y atribuyeron la victoria —con más de 16 millones de votos y un margen superior a los 6 millones sobre su rival más cercano— al respaldo popular directo (32). La evidencia documental disponible no permite establecer de manera concluyente la implicación de Cambridge Analytica en la campaña filipina, aunque la presencia de la empresa matriz SCL Group en el sudeste asiático y su historial de operaciones en la región hacen plausible dicha implicación. La Universidad de Cambridge Press, en su análisis del panorama de desinformación en Filipinas, ha señalado que el país presenta una vulnerabilidad estructural a la interferencia digital, debido a la alta penetración de las redes sociales, la baja alfabetización mediática y la debilidad de las instituciones de control electoral (33).

El caso filipino ilustra cómo las técnicas de microsegmentación y persuasión algorítmica, desarrolladas inicialmente por empresas como Cambridge Analytica, pueden ser exportadas a contextos políticos con marcos regulatorios más débiles, donde la supervisión de las campañas electorales es limitada y la capacidad de las autoridades para investigar la interferencia es reducida. La ausencia de una respuesta institucional robusta en Filipinas contrasta con la reacción en Estados Unidos y Europa, y subraya la necesidad de un enfoque global para la regulación de las campañas electorales digitales, que trascienda las fronteras nacionales y aborde la dimensión transnacional de las operaciones de influencia.

8.3. Nigeria 2023: bots, trolls e influencers pagados; el uso de metadatos para desmentir audio manipulado

Las elecciones presidenciales nigerianas de 2023, celebradas en febrero de ese año, fueron escenario de una intensa campaña de desinformación que combinó la operación de bots, la actividad de trolls y la contratación de influencers pagados para difundir narrativas falsas sobre los candidatos y el proceso electoral (13). La organización no gubernamental International Journalists' Network (IJNet) documentó cómo los analistas de verificación de hechos y los periodistas de investigación utilizaron metadatos para desmentir contenido multimedia engañoso, incluyendo un audio manipulado que supuestamente mostraba a un candidato intentando manipular las elecciones (13).

La técnica de manipulación de audio, que consiste en la edición o generación de contenido sonoro falso para atribuir declaraciones inexistentes a los candidatos, representa una evolución de las tácticas de desinformación que aprovecha la credibilidad de los formatos auditivos y la dificultad de verificar su autenticidad en tiempo real. En el caso nigeriano, los analistas utilizaron el análisis de metadatos —incluyendo la fecha de creación del archivo, el software utilizado y los patrones de compresión— para demostrar que el audio había sido manipulado y que no se correspondía con las declaraciones reales del candidato (13). Este uso de metadatos como herramienta forense constituye un ejemplo paradigmático de cómo las propias técnicas de la interferencia pueden ser revertidas para exponer la manipulación.

El caso nigeriano también reveló la participación de influencers pagados, que promocionaban a determinados candidatos o atacaban a sus oponentes sin declarar la naturaleza retribuida de su contenido, en violación de las normas de transparencia publicitaria de las plataformas y de la legislación electoral nigeriana (13). La ausencia de mecanismos efectivos de supervisión y sanción en Nigeria permitió que estas prácticas se desarrollaran con impunidad, distorsionando el debate público y generando desconfianza en el proceso electoral. La IJNet señaló que, a pesar de los esfuerzos de los verificadores de hechos y de los periodistas, la magnitud de la desinformación superó la capacidad de respuesta de las instituciones, lo que subraya la necesidad de fortalecer la resiliencia informativa de las sociedades y de dotar a las autoridades electorales de herramientas técnicas para detectar y neutralizar la interferencia en tiempo real (13).

8.4. Kurdistán iraquí 2024: la decisión del Oversight Board de Meta sobre etiquetado de contenido manipulado

Menos de dos semanas antes de las elecciones parlamentarias de octubre de 2024 en el Kurdistán iraquí, un incidente ilustró la complejidad de la regulación del contenido manipulado en contextos electorales y el papel de los mecanismos de supervisión de las plataformas. Un medio de comunicación popular afiliado a uno de los principales partidos políticos compartió un clip de audio manipulado de dos políticos kurdos discutiendo supuestamente cómo manipular las elecciones (14). El audio, que fue ampliamente difundido en redes sociales, generó una oleada de indignación y desconfianza hacia el proceso electoral.

El Oversight Board de Meta, el órgano independiente encargado de revisar las decisiones de moderación de contenido de Facebook e Instagram, fue llamado a pronunciarse sobre la decisión de la plataforma de no etiquetar el contenido como manipulado (14). El Oversight Board, en su decisión, revocó la decisión de la plataforma y determinó que el audio debía ser etiquetado como contenido manipulado, ya que su difusión tenía el potencial de generar un daño significativo al proceso electoral y de erosionar la confianza de los votantes (14). La decisión del Oversight Board estableció un precedente importante en la aplicación de las políticas de integridad electoral de Meta, al reconocer que la manipulación de audio, incluso cuando no es generada por inteligencia artificial, puede constituir una interferencia electoral si se difunde en un contexto electoral y tiene el potencial de influir en la percepción de los votantes (14).

El caso del Kurdistán iraquí pone de manifiesto la tensión entre la libertad de expresión y la necesidad de proteger la integridad electoral, así como la dificultad de aplicar políticas de moderación de contenido uniformes en contextos políticos diversos y en procesos electorales con marcos regulatorios diferentes. La decisión del Oversight Board, aunque limitada al caso concreto, tiene implicaciones más amplias para la gobernanza de las plataformas en períodos electorales, al establecer que las plataformas tienen la responsabilidad de evaluar el contexto político en el que se difunde el contenido manipulado y de adoptar medidas proporcionadas para mitigar su impacto (14). Sin embargo, el Oversight Board no tiene poder para imponer sanciones a los responsables de la manipulación ni para exigir a las plataformas cambios en sus algoritmos, lo que limita su eficacia como instrumento de protección de la integridad electoral.

8.5. Lecciones transversales: la universalización del fenómeno y la ausencia de respuesta homogénea

La expansión global de la interferencia basada en metadatos y desinformación algorítmica revela un patrón común que trasciende las fronteras geográficas, los sistemas políticos y los niveles de desarrollo. En todos los casos analizados —Brasil, Filipinas, Nigeria y Kurdistán iraquí— se observan elementos recurrentes: la explotación de divisiones sociales preexistentes, el uso de técnicas de amplificación artificial y microsegmentación, la difusión de contenido manipulado (desde audio editado hasta narrativas de fraude electoral), y la participación de actores que operan en la zona gris entre la actividad política legítima y la interferencia ilícita.

Sin embargo, la respuesta institucional ha sido profundamente heterogénea. En Brasil, la intervención de la Policía Federal y del Tribunal Superior Electoral permitió desarticular parcialmente la milicia digital, aunque la narrativa del fraude electoral persistió y generó consecuencias políticas duraderas (12). En Filipinas, la ausencia de una investigación robusta sobre el presunto papel de Cambridge Analytica dejó sin esclarecer el alcance de la interferencia. En Nigeria, la respuesta se limitó a iniciativas de verificación de hechos por parte de organizaciones no gubernamentales, sin consecuencias jurídicas para los responsables (13). En Kurdistán iraquí, la intervención del Oversight Board de Meta estableció un precedente limitado, sin capacidad para abordar la causa estructural de la interferencia (14).

Esta heterogeneidad de respuestas evidencia la ausencia de un estándar internacional mínimo para la protección de la integridad electoral frente a la interferencia digital. Mientras que los Estados con instituciones más robustas y una mayor capacidad técnica pueden desplegar respuestas efectivas —aunque a menudo tardías—, los Estados con recursos limitados y marcos regulatorios débiles quedan expuestos a la interferencia sin mecanismos adecuados de prevención y sanción. La universalización del fenómeno exige, por tanto, una respuesta internacional coordinada que establezca estándares mínimos de protección, facilite la cooperación entre Estados para la investigación y sanción de la interferencia transfronteriza, y promueva la transferencia de capacidades técnicas a los Estados con menores recursos. El caso de Moldavia, analizado en la sección precedente, constituye un ejemplo de cómo la asistencia técnica y financiera de la Unión Europea puede contribuir a cerrar esta brecha de capacidades (10), aunque el desafío de la universalización de la respuesta sigue siendo uno de los principales pendientes de la gobernanza global de las elecciones en la era digital.

IX. Análisis comparado de los mecanismos tecnológicos y tácticos

9.1. Patrones comunes: extracción ilícita, perfilado psicológico, entrega personalizada y retroalimentación algorítmica

El examen transversal de los casos documentados permite identificar un patrón común que subyace a todas las modalidades de interferencia analizadas, con independencia del actor que las impulse y del contexto geopolítico en el que se desplieguen. Este patrón se articula en cuatro fases sucesivas, que constituyen la cadena de valor de la interferencia cognitiva asistida por metadatos.

La primera fase, la extracción de datos, presenta dos modalidades principales. La primera, ejemplificada por Cambridge Analytica, consiste en la obtención de datos personales mediante aplicaciones de apariencia legítima que, bajo la cobertura de un consentimiento formal, extraen información no solo del usuario que las instala, sino también de su red de contactos (1)(2). El caso de la aplicación "This Is Your Digital Life" documenta cómo esta técnica permitió acceder a entre 50 y 65 millones de perfiles, registrando "cada desplazamiento de pantalla, cada acción, cada 'me gusta'" (2). La segunda modalidad, ejemplificada por la IRA y por las operaciones en Rumanía y Brasil, consiste en la explotación de datos ya disponibles en las plataformas, combinada con la generación de actividad inauténtica (bots, cuentas falsas) que amplifica el alcance de los mensajes sin necesidad de extraer datos personales directos (3)(5). En ambos casos, el denominador común es la masividad de la operación y la opacidad para el usuario, que no es consciente de que sus datos o su atención están siendo instrumentalizados con fines de influencia electoral.

La segunda fase, el perfilado psicológico y la segmentación conductual, constituye el núcleo diferencial de la interferencia. Cambridge Analytica utilizó el modelo OCEAN para clasificar a los electores según rasgos de personalidad y predecir su respuesta a diferentes estímulos comunicativos (15). La empresa afirmaba poder "determinar la personalidad de cada adulto" y predecir cómo votarían los ciudadanos (12). En el caso de la IRA, el perfilado no era psicográfico en sentido estricto, sino sociodemográfico y actitudinal: las cuentas de la IRA identificaban segmentos de la población vulnerables a narrativas conspirativas o a mensajes de desmovilización, y dirigían sus campañas a estos segmentos con mensajes diseñados para explotar sus sesgos (3). En Rumanía, el perfilado se realizó a través del algoritmo de TikTok, que identificó a los usuarios con mayor probabilidad de ser persuadidos por el discurso de Georgescu y les mostró contenido de manera preferente (17).

La tercera fase, la entrega personalizada y amplificación algorítmica, es el eslabón en el que convergen todas las modalidades de interferencia. Los mensajes diseñados para cada segmento se inyectan en los canales de consumo informativo de los usuarios a través de los algoritmos de las plataformas, que determinan qué contenido se muestra, en qué posición y con qué frecuencia. En el caso de Cambridge Analytica, la entrega se realizaba a través de anuncios segmentados en Facebook, que eran mostrados exclusivamente a los perfiles objetivo (1). En el caso de la IRA, la entrega se realizaba a través de contenido orgánico generado por las cuentas falsas, que era amplificado por el algoritmo de la plataforma debido al engagement generado por la red de bots (3). En Rumanía, la entrega se realizó mediante la manipulación del algoritmo de recomendación de TikTok, que mostró de manera preferente y masiva el contenido de Georgescu a usuarios que no lo habían buscado (5)(12). En En el expediente contra Meta, la propia política de "contenido político" de la plataforma —que degrada de forma general este tipo de contenido en los sistemas de recomendación— constituye la decisión de diseño investigada por la Comisión, sin que sea posible verificar externamente si opera de manera neutral entre actores políticos (37)(38). El denominador común de todas estas modalidades es la ausencia de transparencia: el usuario no sabe por qué recibe un determinado mensaje, no sabe que otros usuarios reciben mensajes distintos, y no puede verificar si el algoritmo está siendo manipulado.

La cuarta fase, la retroalimentación en tiempo real, completa el circuito y otorga a los actores de la interferencia una ventaja estratégica sobre las campañas tradicionales. La respuesta de los destinatarios —clics, reacciones, comparticiones, tiempo de visualización— se monitoriza y se reintroduce en el modelo, permitiendo ajustar los mensajes y los segmentos en tiempo real durante la campaña. Esta capacidad de aprendizaje continuo, documentada en las operaciones de Cambridge Analytica (2) y de la IRA (3), es particularmente relevante en los momentos finales de la campaña, cuando el margen de maniobra es limitado y el impacto de los mensajes puede ser decisivo. El caso del Brexit, con más de 45.000 mensajes publicados por cuentas vinculadas a Rusia en las 48 horas finales del referéndum (7), ejemplifica cómo la retroalimentación en tiempo real permite concentrar los esfuerzos en el momento de máxima vulnerabilidad del electorado.

9.2. Diferencias según el actor: empresa privada (Cambridge Analytica), Estado (IRA), actores híbridos (BlackCore)

A pesar de la convergencia en las tácticas, las diferencias en la naturaleza de los actores determinan variaciones sustanciales en los objetivos estratégicos, la escala de las operaciones y la capacidad de respuesta de las instituciones.

Cambridge Analytica, como actor privado con lógica comercial, operaba bajo un modelo de negocio basado en la venta de servicios de segmentación y persuasión a campañas políticas y partidos (1)(2). Su objetivo final no era la desestabilización del sistema democrático, sino la obtención de beneficios mediante la prestación de servicios a sus clientes. Esta lógica comercial imponía limitaciones a sus operaciones: la necesidad de obtener un rendimiento económico, la dependencia de los contratos con clientes, y la exposición a la responsabilidad jurídica en caso de violación de las normas de protección de datos. La rápida disolución de la empresa tras el escándalo (1)(10) refleja esta vulnerabilidad: una vez que su modelo de negocio fue expuesto y sancionado, la empresa carecía de la capacidad de resiliencia propia de las estructuras estatales. Sin embargo, su legado táctico —la demostración de que la psicografía y la microsegmentación podían aplicarse a gran escala en campañas electorales— ha tenido una influencia duradera en el ecosistema de la consultoría política digital.

La IRA, como actor estatal o paraestatal, operaba con una lógica radicalmente distinta (3). Su objetivo no era el beneficio económico, sino el avance de los intereses estratégicos de la Federación Rusa, incluyendo la desestabilización de las democracias occidentales, la polarización de sus sociedades y la erosión de la confianza en sus instituciones (3). Esta lógica geopolítica le confería una capacidad de inversión a largo plazo, una resiliencia ante las sanciones y una capacidad de adaptación que las empresas privadas no poseen. La IRA no dependía de contratos con clientes ni de la satisfacción de sus accionistas; su financiación provenía de fondos públicos y su rendición de cuentas se limitaba a sus patrocinadores estatales. Esta autonomía le permitió operar durante años sin ser detectada, adaptar sus tácticas a las contramedidas de las plataformas y mantener su actividad incluso después de la imposición de sanciones y de la exposición pública (3). La sospecha de implicación rusa en Rumanía (5) y en Moldavia (10) sugiere que esta modalidad de interferencia ha continuado y se ha perfeccionado, incorporando las lecciones aprendidas de las operaciones anteriores.

Entre ambos extremos se sitúan los actores híbridos, representados por empresas como BlackCore (10). Estas entidades operan con lógica comercial, ofreciendo servicios de interferencia e influencia a clientes diversos —incluyendo Estados, partidos políticos y actores privados— pero sus prácticas se sitúan en la zona gris de la legalidad, con métodos que incluyen la desinformación, la manipulación algorítmica y, en algunos casos, la suplantación de identidad. Los servicios de inteligencia franceses (VIGINUM) han sospechado de la implicación de BlackCore en operaciones de interferencia digital en elecciones municipales en Francia, Nueva York, Escocia, Angola y Togo (10). La modalidad híbrida presenta una dificultad especial para la regulación, ya que combina la opacidad de las operaciones comerciales con la sofisticación técnica de los actores estatales, y opera en múltiples jurisdicciones, dificultando la atribución y la aplicación de sanciones.

9.3. El rol de las plataformas: Facebook, Twitter/X, TikTok y sus políticas de integridad electoral

Las plataformas digitales desempeñan un rol dual en el ecosistema de la interferencia: son el canal a través del cual se ejecutan las operaciones de manipulación, pero también los actores con mayor capacidad técnica para detectarlas, prevenirlas y mitigarlas. Este rol dual ha generado una tensión persistente entre la responsabilidad de las plataformas y su condición de intermediarios privados, con algoritmos propietarios y políticas de moderación de contenido que varían significativamente entre compañías y a lo largo del tiempo.

El caso de Facebook (Meta) ha sido el más documentado, desde su papel en el escándalo de Cambridge Analytica hasta el expediente DSA abierto por la Comisión Europea el 30 de abril de 2024 (37)(38). La política de integridad electoral de Meta ha evolucionado desde un enfoque reactivo —eliminación de cuentas y contenido tras la detección— hasta un enfoque más proactivo, que incluye la etiquetación de contenido manipulado, la transparencia en la publicidad política y la colaboración con autoridades electorales. Sin embargo, la eficacia de estas políticas ha sido cuestionada por la propia Comisión, que sospecha que la política de "contenido político" de la plataforma —que degrada de forma general este tipo de contenido en los sistemas de recomendación de Facebook e Instagram— y la retirada de CrowdTangle sin sustituto adecuado pueden constituir infracciones del DSA (37)(38). Las conclusiones preliminares de 24 de octubre de 2025, que añaden al expediente el incumplimiento del deber de acceso de investigadores a los datos de la plataforma (art. 40 DSA), constituyen un hito en la aplicación del nuevo marco regulatorio a la interferencia electoral (40), pero su resultado final dependerá de la capacidad de la Comisión para demostrar, tras el trámite de alegaciones de Meta, la existencia de una discriminación algorítmica que no pueda justificarse por razones objetivas.

Twitter (ahora X), bajo el nombre de X Corp, ha sido objeto de análisis en los casos de la IRA y del Brexit. La plataforma suspendió 2.752 cuentas vinculadas a la IRA durante la campaña de 2016 (3), y los estudios académicos identificaron patrones de actividad inauténtica en el contexto del referéndum del Brexit (18)(19). Sin embargo, los cambios en la política de moderación de contenido y en la estructura de la plataforma tras la adquisición por Elon Musk han generado incertidumbre sobre su capacidad y disposición para mantener políticas robustas de integridad electoral en el futuro. La reducción de los equipos de moderación y la modificación de los algoritmos de recomendación han sido señaladas por la doctrina como factores que podrían aumentar la vulnerabilidad de la plataforma a la interferencia (10).

TikTok ha emergido como el escenario más reciente y más preocupante de interferencia electoral, a raíz del caso Rumanía 2024 (5)(12)(17). La plataforma, propiedad de la empresa china ByteDance, ha sido acusada de permitir la manipulación algorítmica de su sistema de recomendación para favorecer a un candidato específico, sin que existiera una política de transparencia o de etiquetado de contenido político que permitiera a los usuarios identificar la naturaleza de la promoción. La Comisión Europea inició un procedimiento contra TikTok en virtud del DSA, exigiendo a la plataforma que evalúe y mitigue los riesgos para la integridad electoral (18). El caso rumano ha puesto de manifiesto que las políticas de integridad electoral de TikTok, en el momento de los hechos, eran insuficientes para prevenir la interferencia, y que la plataforma no contaba con mecanismos de detección temprana de actividad inauténtica coordinada en la escala necesaria (18). La respuesta de TikTok al procedimiento de la Comisión será determinante para evaluar la eficacia del DSA como instrumento de protección de la integridad electoral en el ecosistema de las plataformas emergentes.

9.4. La evolución de las tácticas: de los anuncios segmentados a la manipulación del feed y la supresión orgánica

El análisis de la evolución de las tácticas a lo largo del período documentado (2014‑2026) revela una sofisticación creciente que plantea desafíos cada vez mayores para la regulación y la detección. En la primera fase (2014‑2018), representada por Cambridge Analytica y la IRA en sus primeras operaciones, la táctica predominante era la segmentación de anuncios pagados. Los mensajes políticos se insertaban en el feed de los usuarios a través de la infraestructura publicitaria de las plataformas, y los destinatarios eran seleccionados en función de sus perfiles psicográficos o sociodemográficos (1)(3). Esta táctica, aunque opaca para los usuarios, dejaba un rastro documental —los propios anuncios, los datos de segmentación y los pagos realizados— que podía ser investigado ex post por las autoridades.

En la segunda fase (2018‑2022), representada por las operaciones de la IRA en su madurez y por los casos de Brasil y Nigeria, la táctica evolucionó hacia la manipulación del contenido orgánico. En lugar de pagar por anuncios, los actores de la interferencia creaban cuentas y páginas que generaban contenido de apariencia auténtica, y utilizaban redes de bots y de cuentas coordinadas para amplificar su alcance a través del engagement orgánico (3)(11)(13). Esta táctica eludía los controles de la publicidad política, ya que el contenido no se etiquetaba como anuncio ni estaba sujeto a los requisitos de transparencia de la financiación electoral. La detección de esta táctica requería el análisis de patrones de actividad inauténtica, que las plataformas comenzaron a desarrollar solo después de que los daños ya se hubieran producido (3).

En la tercera fase (2022‑2026), representada por el expediente Meta y los casos de Rumanía y Moldavia, la táctica ha evolucionado hacia la manipulación del algoritmo de recomendación y la supresión orgánica. En lugar de insertar contenido adicional en el feed, los actores de la interferencia —o las propias plataformas, a través de sus decisiones de diseño— modifican los parámetros del algoritmo que determina qué contenido se muestra a cada usuario. La política de "contenido político" de Meta, que degrada de forma general este tipo de contenido en los sistemas de recomendación y que la Comisión investiga desde 2024 (37)(38), ilustra cómo el algoritmo puede no solo dejar de amplificar el contenido, sino suprimirlo activamente. En Rumanía, el algoritmo de TikTok mostró de manera preferente el contenido de Georgescu a usuarios que no lo habían buscado (5)(12). Esta táctica es la más difícil de detectar y de probar, porque los algoritmos son propiedad de las plataformas y sus parámetros son secretos. Las autoridades electorales no pueden acceder a los datos internos de las plataformas para verificar si el algoritmo está siendo manipulado, y los usuarios no tienen forma de saber por qué reciben un determinado contenido en lugar de otro.

El caso de la manipulación de audio y contenido generado por IA, documentado en Nigeria (13) y Kurdistán iraquí (14), representa una evolución adicional en la dirección de la desinformación sintética. La capacidad de generar contenido falso indistinguible del auténtico, utilizando técnicas de inteligencia artificial, multiplica exponencialmente las posibilidades de interferencia y reduce la eficacia de los mecanismos tradicionales de verificación de hechos. Los metadatos, en este contexto, adquieren una importancia renovada como herramienta forense para desmentir la manipulación, como se demostró en el caso nigeriano (13). Sin embargo, la carrera entre la generación de contenido sintético y las herramientas de detección es asimétrica y favorece a los actores de la interferencia, que pueden adaptar sus técnicas a las contramedidas desplegadas.

9.5. La asimetría informativa: el ciudadano como producto, no como elector

El análisis comparado de los mecanismos tácticos revela una asimetría informativa estructural que constituye el fundamento último de la vulnerabilidad de los sistemas democráticos. En el ecosistema digital, el ciudadano es simultáneamente sujeto (elector) y objeto (producto), en la medida en que sus datos personales y su atención son el insumo principal del modelo de negocio de las plataformas. Esta dualidad genera un conflicto de intereses: las plataformas tienen incentivos económicos para maximizar el engagement de los usuarios, lo que las lleva a mostrar contenido emocional, polarizante y, en ocasiones, desinformativo, incluso cuando ello perjudica la calidad del debate democrático.

El ciudadano, en este contexto, carece de los instrumentos necesarios para ejercer un control efectivo sobre su propio perfil y sobre la información que recibe. El consentimiento para el tratamiento de datos, cuando existe, es formal y opaco, y los usuarios no comprenden el alcance de la cesión de sus datos ni las implicaciones de los perfiles que se construyen a partir de su actividad (1)(2). El algoritmo que determina qué contenido recibe cada usuario es un secreto comercial, y los usuarios no tienen acceso a la información que permitiría verificar si el algoritmo está siendo manipulado o si está discriminando a determinados actores políticos. Las autoridades electorales, a su vez, carecen de la capacidad técnica y de los poderes legales para acceder a los datos de las plataformas y para verificar la neutralidad de los algoritmos durante los períodos electorales (6)(11).

Esta asimetría informativa se traduce en una asimetría de poder: los actores de la interferencia —empresas de datos, Estados patrocinadores, actores híbridos— disponen de información detallada sobre los electores y sobre el funcionamiento de los algoritmos, mientras que los electores y las autoridades electorales disponen de información mínima. El resultado es un desequilibrio que favorece la manipulación y que dificulta la rendición de cuentas. La solución a esta asimetría, como ha señalado la Comisión de Venecia, pasa por la transparencia algorítmica, el fortalecimiento de las capacidades de las autoridades electorales y la creación de mecanismos independientes de supervisión que puedan actuar durante los períodos electorales (6)(11). Sin estos instrumentos, el ciudadano seguirá siendo, en el ecosistema digital, más un producto que un elector, y la interferencia basada en metadatos continuará siendo un vector de vulnerabilidad sistémica de las democracias contemporáneas.

X. Marco jurídico aplicable y lagunas regulatorias

10.1. Protección de datos personales (RGPD, CCPA y leyes locales) como herramienta de control ex post

El régimen de protección de datos personales constituye, en el estado actual del Derecho, el instrumento normativo de mayor desarrollo y aplicación práctica frente a las prácticas de extracción masiva y tratamiento indebido de datos con fines de segmentación política. El Reglamento General de Protección de Datos (RGPD) de la Unión Europea, aplicable desde el 25 de mayo de 2018, establece un conjunto de principios y obligaciones que, en apariencia, ofrecen un escudo frente a las prácticas documentadas en el caso Cambridge Analytica y en otras operaciones de interferencia (27). El RGPD exige que el tratamiento de datos personales sea lícito, leal y transparente; que se limite a finalidades específicas, explícitas y legítimas; que sea adecuado, pertinente y limitado a lo necesario; que sea exacto; que se conserve durante el tiempo necesario; y que se garantice la integridad y confidencialidad (27). El principio de responsabilidad proactiva (accountability) impone a los responsables del tratamiento la obligación de demostrar el cumplimiento de estos principios.

Sin embargo, la eficacia del RGPD como instrumento de prevención de la interferencia electoral basada en metadatos se ha revelado limitada por razones estructurales. En primer lugar, el RGPD opera fundamentalmente como un régimen ex post: permite sancionar el tratamiento ilícito una vez descubierto, pero no impide que el tratamiento se produzca ni que cause daños durante una campaña electoral. El caso Cambridge Analytica es paradigmático: la extracción de datos se produjo entre 2014 y 2015, antes de la entrada en vigor del RGPD, y las sanciones —aunque significativas en su cuantía— se impusieron años después de que la interferencia hubiera tenido lugar (3)(4). La Information Commissioner's Office del Reino Unido impuso una multa de 500.000 libras esterlinas a Facebook, la máxima permitida por la legislación anterior al RGPD, pero la sanción llegó cuando el daño a la integridad del proceso electoral ya se había consumado (4).

En segundo lugar, el RGPD no regula el uso de los datos una vez obtenidos lícitamente, siempre que se respeten los principios de limitación de la finalidad y minimización. Cambridge Analytica sostenía que los datos habían sido obtenidos para fines de investigación académica a través de la aplicación "This Is Your Digital Life" (1), y que su uso posterior para fines políticos constituía una violación de los términos de servicio de Facebook, pero no necesariamente una violación del RGPD en sentido estricto. La controversia se centró más en la violación de las políticas de Facebook que en la violación del RGPD, lo que pone de manifiesto la dificultad de aplicar el régimen de protección de datos a usos secundarios no autorizados pero técnicamente lícitos en el momento de la recogida (2). El RGPD exige que el consentimiento sea "específico" e "informado", pero la práctica ha demostrado que los mecanismos de obtención de consentimiento en el entorno digital raramente cumplen con estos estándares en la realidad (27).

En tercer lugar, el RGPD no aborda la problemática específica de la interferencia electoral, sino que se ocupa de la protección de datos personales en términos generales. La segmentación política y la microsegmentación de mensajes no están prohibidas por el RGPD, siempre que se cumplan los requisitos de licitud del tratamiento. El Reglamento no establece un régimen especial para el tratamiento de datos con fines de campaña electoral, ni impone obligaciones específicas de transparencia algorítmica a las plataformas que segmentan a los usuarios con fines políticos. El Comité Europeo de Protección de Datos (CEPD) ha emitido declaraciones no vinculantes sobre el uso de datos personales durante las campañas electorales, pero estas carecen de fuerza vinculante y no han sido acompañadas de mecanismos de supervisión y sanción efectivos (28).

El California Consumer Privacy Act (CCPA) y otras legislaciones estatales en Estados Unidos, así como las leyes locales en otras jurisdicciones, presentan limitaciones similares. Aunque el CCPA otorga a los consumidores derechos de acceso, eliminación y exclusión del tratamiento de sus datos, su aplicación a las operaciones de segmentación política es limitada, ya que las exenciones para el uso de datos con fines de investigación o para fines de interés público pueden ser invocadas por las empresas de datos (3). La fragmentación legislativa en Estados Unidos, donde no existe una ley federal de protección de datos equivalente al RGPD, agrava el problema, permitiendo que las empresas de datos operen en un marco regulatorio heterogéneo que dificulta la supervisión y la aplicación de sanciones.

10.2. Legislación electoral y su inadaptación a la dimensión algorítmica

La legislación electoral, en la mayoría de los ordenamientos jurídicos, fue concebida para un ecosistema mediático y comunicativo predominantemente analógico. Sus disposiciones se centran en el control de la financiación de las campañas, la regulación de la propaganda electoral en medios tradicionales (prensa, radio, televisión), la garantía del acceso equitativo a los espacios públicos y la prevención del fraude en el proceso de votación y escrutinio. Estas categorías normativas, sin embargo, no encajan fácilmente con la realidad de la interferencia basada en metadatos y microsegmentación algorítmica.

La publicidad política en línea constituye el ámbito en el que la inadaptación es más evidente. Las leyes electorales suelen exigir que los materiales de propaganda electoral lleven marcas identificativas que indiquen quién los financia y quién los promueve. Sin embargo, la microsegmentación de mensajes —en la que cada usuario recibe un mensaje distinto, adaptado a su perfil psicográfico— hace que la noción de "material electoral" sea fluida y difícil de identificar. En el caso de Cambridge Analytica, los mensajes segmentados no eran identificables como propaganda electoral, ya que no llevaban las marcas exigidas por la legislación de los países en los que se difundían (1). En el caso rumano, el Tribunal Constitucional constató que los materiales que promocionaban a Georgescu no llevaban las marcas específicas de publicidad electoral exigidas por la Ley núm. 370/2004 (13). La ausencia de estas marcas no fue un mero tecnicismo, sino el reflejo de una estrategia deliberada para eludir los controles establecidos.

La financiación electoral es otro ámbito en el que la legislación tradicional se muestra insuficiente. Las leyes electorales suelen establecer límites a las donaciones y exigen la declaración de los gastos de campaña. Sin embargo, la publicidad en redes sociales puede ser pagada a través de estructuras opacas, con proveedores de servicios ubicados en jurisdicciones extraterritoriales, y con pagos fraccionados que eluden los umbrales de declaración obligatoria. En el caso rumano, TikTok confirmó donaciones superiores a un millón de euros a la campaña de Georgescu, incluidos pagos por valor de 381.000 dólares a una cuenta de TikTok vinculada a la promoción del candidato, sin que estos fueran declarados por el candidato (11)(20). En el caso de la IRA, la financiación provenía directamente del Estado ruso a través de estructuras paraestatales, lo que hacía imposible aplicar los controles de financiación electoral previstos en la legislación estadounidense (3).

La igualdad de oportunidades en la contienda electoral es un principio fundamental del Derecho electoral, que exige que todos los candidatos y partidos tengan acceso equitativo a los medios de comunicación y a los espacios de debate público. Sin embargo, la opacidad algorítmica de las plataformas hace imposible verificar si el principio de igualdad se cumple en el entorno digital. El expediente DSA contra Meta, centrado en la política de "contenido político" que degrada de forma general este tipo de contenido en los sistemas de recomendación (37)(38), ilustra cómo una decisión de diseño puede plantear dudas sobre el principio de igualdad de oportunidades sin que las autoridades electorales nacionales tengan poderes para investigar el funcionamiento interno del algoritmo ni para exigir modificaciones en el mismo. La Comisión de Venecia ha señalado que las normas y regulaciones sobre publicidad política y sobre la responsabilidad de los intermediarios de Internet deben mantenerse en revisión constante (6), lo que implica reconocer la insuficiencia de los marcos normativos actuales.

10.3. Responsabilidad civil y penal de las empresas de datos y de las plataformas

La determinación de la responsabilidad de las empresas de datos y de las plataformas digitales por la interferencia electoral plantea problemas jurídicos complejos, que han sido abordados de manera fragmentaria por los ordenamientos nacionales y supranacionales. La responsabilidad civil, penal y administrativa de estos actores se sitúa en la intersección del Derecho de protección de datos, del Derecho electoral, del Derecho de la competencia y del Derecho penal, lo que genera incertidumbre y dificulta la aplicación efectiva de sanciones.

En el ámbito de la responsabilidad civil, los afectados por la extracción indebida de datos —los propios usuarios cuyos perfiles fueron utilizados sin su consentimiento— pueden interponer demandas por daños y perjuicios, basadas en la violación de la normativa de protección de datos o en el enriquecimiento injusto de las empresas que explotaron sus datos. En el caso Cambridge Analytica, se presentaron demandas colectivas contra Facebook que dieron lugar a un acuerdo de 725 millones de dólares (3). Sin embargo, la cuantía de las indemnizaciones es irrisoria en comparación con los beneficios obtenidos por las empresas, y el procedimiento es largo y costoso, lo que desincentiva la acción judicial. Además, la atribución de daños concretos a la extracción de datos es extraordinariamente difícil, ya que los usuarios no pueden demostrar que la utilización de sus datos les causó un perjuicio específico, más allá de la propia violación de su privacidad. La doctrina ha señalado esta dificultad como uno de los principales obstáculos para la efectividad de la responsabilidad civil en este ámbito (10).

En el ámbito de la responsabilidad penal, el Convenio de Budapest sobre Ciberdelincuencia ofrece un marco de referencia para la tipificación de conductas como el acceso ilícito a sistemas informáticos, la interceptación ilícita, la interferencia en los datos y la interferencia en los sistemas (artículos 2 a 5) (24)(5)(10). Sin embargo, estos tipos penales no abarcan la totalidad de las conductas documentadas en los casos analizados. La extracción masiva de datos mediante aplicaciones de apariencia legítima, el perfilado psicográfico y la microsegmentación de mensajes no constituyen, en sí mismas, infracciones de los tipos penales previstos en el Convenio, a menos que concurran elementos adicionales como el acceso no autorizado o la interferencia en la integridad de los datos. Como ha señalado la doctrina, los tipos penales se han configurado sin contemplar un tipo agravado para el supuesto de que estas conductas se lleven a cabo en período electoral, y el bien jurídico protegido no es la democracia, sino el patrimonio (delito de daño informático o interferencia ilícita en datos) (10). En el marco de las leyes electorales especiales, estos delitos no suelen estar contemplados y permanecen obsoletos (10).

En el ámbito de la responsabilidad administrativa, el RGPD y el DSA otorgan a las autoridades competentes poderes sancionadores significativos. Las multas impuestas por el RGPD pueden alcanzar los 20 millones de euros o el 4% del volumen de negocio anual de la empresa infractora, lo que constituye un incentivo económico relevante para el cumplimiento (27). La multa de 5.000 millones de dólares impuesta a Facebook por la FTC en Estados Unidos (3)(4) es un ejemplo de la capacidad sancionadora en este ámbito. Sin embargo, las sanciones administrativas, aunque cuantiosas, se imponen ex post y no reparan el daño causado a la integridad del proceso electoral. La Comisión de Venecia ha señalado la necesidad de dotar a las autoridades de justicia penal de los poderes necesarios para asegurar las pruebas electrónicas de violaciones de las normas sobre protección de datos personales, financiación política, cobertura mediática o difusión electoral (23), lo que implica un refuerzo de los mecanismos de investigación y sanción en la fase de obtención de pruebas, previa a la imposición de sanciones.

La responsabilidad de las plataformas por el contenido difundido a través de sus servicios ha sido objeto de un intenso debate en la doctrina y en la jurisprudencia. La Directiva sobre comercio electrónico de la UE (2000/31/CE) establece un régimen de responsabilidad limitada para los intermediarios, que solo responden por el contenido de los usuarios si tienen conocimiento efectivo de su ilicitud y no actúan para retirarlo o bloquearlo. El DSA ha modificado parcialmente este régimen, imponiendo a las plataformas de muy gran tamaño obligaciones de diligencia debida en la gestión de riesgos sistémicos, incluyendo los riesgos para los procesos electorales (18). Sin embargo, la aplicación de estas obligaciones a la manipulación algorítmica y a la microsegmentación de mensajes sigue siendo incierta, y la doctrina ha señalado que la opacidad algorítmica de las plataformas dificulta la demostración del conocimiento efectivo necesario para activar la responsabilidad (10).

10.4. El problema de la jurisdicción y la extraterritorialidad en la interferencia transfronteriza

La interferencia electoral basada en metadatos, por su naturaleza inherentemente transfronteriza, plantea problemas jurisdiccionales de extraordinaria complejidad. Los actores de la interferencia —empresas de datos, servidores de plataformas, operadores de cuentas, pagadores de campañas— pueden estar ubicados en jurisdicciones diferentes, y sus conductas pueden producir efectos en múltiples Estados al mismo tiempo. La determinación de qué Estado tiene jurisdicción para investigar, enjuiciar y sancionar estas conductas es un problema que el Derecho internacional público no ha resuelto de manera satisfactoria.

El principio de territorialidad, tradicional en el Derecho penal, resulta insuficiente para abordar la interferencia electoral digital, ya que la conducta ilícita (la extracción de datos, el perfilado, la entrega de mensajes) puede tener lugar en múltiples territorios y estar mediada por infraestructuras técnicas ubicadas en terceros Estados. El Convenio de Budapest sobre Ciberdelincuencia establece mecanismos de cooperación internacional, incluyendo la asistencia judicial mutua y la extradición, pero su aplicación práctica es lenta y depende de la voluntad de los Estados de cooperar (24)(10). En el caso de la IRA, la Federación Rusa no cooperó en las investigaciones del Senado de EE.UU., y las sanciones impuestas por el Departamento del Tesoro fueron de naturaleza administrativa, no penal (3). La atribución de la interferencia a un Estado extranjero es un acto de naturaleza política, no jurisdiccional, y su eficacia como instrumento de disuasión es limitada.

El principio de extraterritorialidad, por su parte, ha sido invocado por algunos ordenamientos para extender su jurisdicción a conductas que afectan a sus procesos electorales, incluso cuando los actores se encuentran fuera de su territorio. El RGPD, por ejemplo, se aplica extraterritorialmente a los responsables del tratamiento que ofrezcan bienes o servicios a residentes en la UE o que monitoricen su comportamiento (27). Sin embargo, la aplicación extraterritorial del RGPD a las operaciones de interferencia electoral se enfrenta a dificultades probatorias y a la resistencia de los Estados de origen de las empresas de datos (10). El DSA también tiene un alcance extraterritorial, al aplicarse a las plataformas que ofrecen sus servicios en la UE con independencia de su lugar de establecimiento (18). Sin embargo, la eficacia de estas disposiciones depende de la cooperación de los Estados en los que las plataformas tienen su sede, y de la capacidad de la Comisión Europea para hacer cumplir sus decisiones fuera del territorio de la UE.

La Comisión de Venecia ha señalado la necesidad de fortalecer el marco internacional para establecer mecanismos más eficientes de cooperación transnacional entre naciones y actores privados, y de lograr una mayor uniformidad entre las legislaciones nacionales (10). La creación de una autoridad internacional competente para resolver los conflictos más allá de las fronteras nacionales y regionales, así como mecanismos de resolución de conflictos más adecuados a la lógica del mercado, sin descartar los procedimientos jurisdiccionales ante tribunales internacionales, es una propuesta que ha ganado tracción en la doctrina (11). Sin embargo, la implementación de estas propuestas enfrenta obstáculos políticos y técnicos considerables, y no es previsible que se materialicen en el corto plazo.

10.5. La insuficiencia de la autorregulación sectorial (Códigos de buenas prácticas de la UE)

La autorregulación sectorial, en forma de códigos de buenas prácticas, ha sido promovida por la Comisión Europea como un instrumento complementario a la regulación legislativa para abordar la desinformación y la interferencia electoral en el entorno digital. El Código de Buenas Prácticas sobre Desinformación, adoptado inicialmente en 2018 y revisado en 2022, es el principal instrumento de autorregulación en la UE, y cuenta con la adhesión de las principales plataformas digitales, incluyendo Meta, Google, Twitter/X y TikTok (4). El Código establece compromisos voluntarios en áreas como la transparencia de la publicidad política, la integridad de los servicios, la cooperación con verificadores de hechos, y la investigación sobre la desinformación (4).

Sin embargo, la eficacia del Código como instrumento de prevención de la interferencia electoral ha sido objeto de críticas por parte de la doctrina y de las instituciones europeas. La Comisión de Venecia ha señalado la necesidad de mantener en revisión constante las normas y regulaciones sobre publicidad política y sobre la responsabilidad de los intermediarios de Internet (6), lo que implica un reconocimiento implícito de que la autorregulación no es suficiente. En 2021, la Comisión Europea publicó una evaluación del Código que destacaba sus limitaciones, incluyendo la falta de indicadores claros de cumplimiento, la ausencia de mecanismos de sanción para los incumplidores, y la insuficiencia de la transparencia en la aplicación de los compromisos (4). Las plataformas, en su mayoría, habían cumplido con la letra del Código, pero no con su espíritu, y las medidas adoptadas eran más de carácter cosmético que sustancial (4).

El expediente abierto contra Meta (37)(38) evidencia la insuficiencia de la autorregulación. A pesar de la adhesión de Meta al Código de Buenas Prácticas, la propia Comisión Europea abrió un procedimiento formal fuera de ese marco voluntario para investigar la política de "contenido político" de la plataforma y la retirada de su herramienta de acceso público a datos en tiempo real (CrowdTangle) en vísperas de las elecciones al Parlamento Europeo de 2024. El hecho de que un compromiso voluntario del Código de Buenas Prácticas no impidiera a la Comisión tener que recurrir al procedimiento sancionador del DSA para investigar decisiones de diseño con potencial impacto electoral es revelador de las limitaciones de la autorregulación: sin una supervisión independiente y sin mecanismos efectivos de sanción, los compromisos voluntarios de las plataformas pueden ser interpretados de manera flexible y aplicados de manera que favorezcan sus intereses comerciales más que la protección de la democracia.

El Código de Buenas Prácticas, además, no aborda la cuestión fundamental de la transparencia algorítmica. Las plataformas no están obligadas a revelar los parámetros de sus algoritmos de recomendación, ni a proporcionar a las autoridades electorales acceso a los datos que permitan verificar la neutralidad de la distribución de contenido durante los períodos electorales (6). Esta opacidad estructural impide que los códigos de buenas prácticas sean un instrumento eficaz para la prevención de la interferencia, ya que la propia definición de lo que constituye una "buena práctica" queda en manos de los actores que tienen incentivos para mantener la opacidad. La Comisión de Venecia ha señalado que "la naturaleza transnacional de los comportamientos en línea requiere una autoridad internacional competente" (11), lo que implica que la autorregulación sectorial, por sí sola, es insuficiente para abordar la complejidad del fenómeno.

10.6. Propuestas legislativas en tramitación: Ley de Servicios Digitales (DSA) y su aplicación a elecciones

La Ley de Servicios Digitales (Digital Services Act, DSA), adoptada por la UE en 2022 y aplicable desde febrero de 2024, constituye el intento más ambicioso de establecer un marco regulatorio integral para las plataformas digitales, que incluye disposiciones específicas sobre la protección de la integridad de los procesos electorales (37)(18). El DSA impone a las plataformas en línea de muy gran tamaño (VLOP, por sus siglas en inglés) obligaciones de diligencia debida en la gestión de riesgos sistémicos, incluyendo la desinformación, la manipulación algorítmica y la actividad inauténtica coordinada (38). Las plataformas deben evaluar los riesgos sistémicos para los procesos electorales, adoptar medidas de mitigación y someterse a auditorías externas independientes (38). La Comisión Europea tiene poderes de investigación, inspección y sanción, incluyendo la imposición de multas que pueden alcanzar el 6% del volumen de negocio anual de la plataforma infractora (38)(18).

La aplicación del DSA a los casos de interferencia electoral ha comenzado a materializarse con la apertura de procedimientos formales contra Meta (37)(38) y TikTok (18), el primero a propósito de las elecciones al Parlamento Europeo de 2024 y el segundo en relación con las elecciones rumanas. El procedimiento contra Meta se centra en la publicidad engañosa, la política de degradación del contenido político en los sistemas de recomendación, la retirada de CrowdTangle y, desde octubre de 2025, el incumplimiento del acceso de investigadores a los datos de la plataforma (37)(38)(40). El procedimiento contra TikTok, iniciado tras el caso Rumanía 2024, se basa en la insuficiencia de las medidas adoptadas por la plataforma para evaluar y mitigar los riesgos para la integridad electoral, incluyendo la actividad inauténtica coordinada y la manipulación algorítmica del sistema de recomendación (18). Estos procedimientos constituyen los primeros ensayos de aplicación del DSA a la interferencia electoral, y su resultado será determinante para evaluar la eficacia del nuevo marco regulatorio.

El DSA, sin embargo, presenta limitaciones que la doctrina ha señalado. En primer lugar, el DSA se centra en las plataformas como intermediarios, pero no aborda directamente la responsabilidad de los actores que generan y difunden la desinformación —los creadores de contenido, las cuentas coordinadas, los operadores de bots—, que siguen operando en un marco de impunidad relativa (10). La atribución de la interferencia a actores estatales, como en el caso de la IRA o en las sospechas de implicación rusa en Rumanía, no se resuelve con la regulación de las plataformas, ya que estos actores pueden operar a través de cuentas falsas y de infraestructuras técnicas ubicadas en jurisdicciones que no cooperan con las autoridades europeas (10). En segundo lugar, el DSA no impone obligaciones de transparencia algorítmica en tiempo real durante los períodos electorales, sino que establece un régimen de evaluación y mitigación de riesgos que opera con carácter general y no específico para los momentos críticos de la campaña. Esta limitación es significativa, ya que la interferencia electoral se concentra en los momentos finales de la campaña, cuando el margen de maniobra de las autoridades electorales es mínimo.

En tercer lugar, el DSA no resuelve el problema de la coordinación entre Estados miembros y entre la UE y terceros Estados. La interferencia electoral es inherentemente transfronteriza, y las decisiones de la Comisión Europea, aunque vinculantes en el territorio de la UE, pueden ser eludidas por plataformas que trasladen sus servidores o sus operaciones a jurisdicciones con marcos regulatorios más laxos (10). La Comisión de Venecia ha señalado la necesidad de fortalecer el marco internacional para establecer mecanismos más eficientes de cooperación transnacional (10)(11), y esta recomendación sigue siendo un desafío pendiente para la UE y para la comunidad internacional.

El DSA representa, no obstante, un avance significativo respecto del estado anterior de la regulación. Por primera vez, las plataformas digitales de muy gran tamaño están sujetas a obligaciones legales vinculantes en materia de integridad electoral, y las autoridades de la UE disponen de poderes de investigación y sanción que pueden ejercerse de manera ágil y efectiva. Los procedimientos abiertos contra Meta y TikTok constituirán la prueba de fuego del nuevo marco regulatorio, y sus resultados influirán en el desarrollo de futuras propuestas legislativas, tanto en la UE como en otras jurisdicciones que están siguiendo de cerca la evolución de la regulación europea. La doctrina ha señalado que el DSA, aunque insuficiente para abordar todos los aspectos de la interferencia electoral, sienta las bases para una regulación más completa y coherente en el futuro (10), y su implementación práctica proporcionará lecciones valiosas para la necesaria adaptación del marco normativo a la evolución de las tácticas de interferencia.

XI. Conflictos normativos y problemas interpretativos sustantivos

11.1. Tensión entre libertad de expresión y prohibición de interferencia electoral

La regulación de la interferencia electoral basada en metadatos y microsegmentación algorítmica se enfrenta a un conflicto normativo fundamental: la tensión entre el derecho a la libertad de expresión —que protege la difusión de opiniones e ideas, incluso aquellas políticamente controvertidas— y la prohibición de interferir en la libre formación de la voluntad electoral. Este conflicto, inherente a cualquier regulación de la comunicación política en democracia, se agudiza en el entorno digital, donde la frontera entre la expresión política legítima y la manipulación ilícita se vuelve extraordinariamente difusa.

El Tribunal Europeo de Derechos Humanos ha establecido, en su jurisprudencia consolidada, que la libertad de expresión, consagrada en el artículo 10 del Convenio Europeo de Derechos Humanos, constituye uno de los fundamentos esenciales de una sociedad democrática y una de las condiciones primordiales para su progreso y para el desarrollo de cada persona (21). El Tribunal ha reconocido, sin embargo, que la libertad de expresión no es un derecho absoluto y puede ser objeto de restricciones cuando estas estén previstas por la ley, persigan un fin legítimo y sean necesarias en una sociedad democrática (21). La protección de la integridad de los procesos electorales constituye un fin legítimo que puede justificar restricciones a la libertad de expresión, siempre que estas sean proporcionadas y no supongan una censura previa o una limitación desproporcionada del debate público (21).

La dificultad interpretativa radica en la determinación de qué conductas de comunicación política en el entorno digital deben ser consideradas como interferencia ilícita y cuáles como ejercicio legítimo de la libertad de expresión. La Comisión de Venecia ha señalado que las medidas para proteger la integridad electoral deben equilibrar el derecho a elecciones libres con otros derechos fundamentales, como la libertad de expresión y la protección de datos (23). Este equilibrio no es fácil de lograr, especialmente en el contexto de la microsegmentación, donde los mensajes políticos se dirigen a audiencias específicas sin que el conjunto del electorado tenga conocimiento de su existencia. La doctrina ha señalado que la segmentación política, en sí misma, no es ilícita; las campañas políticas siempre han segmentado a los votantes por criterios demográficos, geográficos y socioeconómicos. Lo que distingue la segmentación lícita de la ilícita es el uso de datos personales obtenidos sin consentimiento informado, la explotación de vulnerabilidades psicológicas y la opacidad del proceso de entrega, que impide a los ciudadanos conocer qué mensajes están recibiendo y por qué (1)(2)(15).

El caso Rumanía 2024 ilustra esta tensión de manera paradigmática. La campaña de Georgescu en TikTok, aunque basada en mensajes de contenido extremo y políticamente controvertido, podría haber sido considerada, en un análisis superficial, como ejercicio legítimo de la libertad de expresión. Sin embargo, el Tribunal Constitucional rumano consideró que la campaña no era legítima porque se beneficiaba de una manipulación algorítmica que distorsionaba la igualdad de oportunidades, y de una financiación opaca que eludía los controles legales (13). La decisión del tribunal no prohibió la expresión de las ideas de Georgescu, sino que anuló el proceso electoral porque la expresión de esas ideas no se había producido en condiciones de igualdad y transparencia. Esta distinción —entre el contenido de la expresión y las condiciones de su difusión— es clave para resolver la tensión entre libertad de expresión e integridad electoral. La doctrina ha señalado que la regulación de la interferencia electoral debe centrarse en las condiciones del proceso comunicativo —la transparencia, la igualdad de oportunidades, la licitud de los datos utilizados— y no en el contenido de los mensajes, para evitar caer en la censura ideológica (10)(11).

11.2. El derecho a la participación política frente al derecho a la protección de datos

La interferencia electoral basada en metadatos también genera un conflicto normativo entre dos derechos fundamentales: el derecho a la participación política, que exige que los electores puedan formar su opinión libremente y expresar su voluntad en las urnas, y el derecho a la protección de datos personales, que exige que el tratamiento de la información personal sea lícito, leal y transparente. Este conflicto, aunque menos evidente que el anterior, es igualmente relevante desde una perspectiva jurídica.

El derecho a la participación política, consagrado en el artículo 21 de la Declaración Universal y en el artículo 25 del Pacto Internacional de Derechos Civiles y Políticos, tiene una dimensión activa —el derecho a votar y a ser elegido— y una dimensión pasiva —el derecho a que el proceso electoral sea íntegro y a que la voluntad popular no sea distorsionada por interferencias externas (4)(21). Esta dimensión pasiva implica que los Estados tienen la obligación positiva de garantizar que el electorado pueda formar su opinión en un entorno informativo libre de manipulaciones que distorsionen el debate público. El Tribunal Europeo de Derechos Humanos, en su jurisprudencia sobre el artículo 3 del Protocolo núm. 1, ha establecido que los Estados tienen una obligación positiva de garantizar elecciones libres y seguras, lo que incluye la adopción de medidas para prevenir y sancionar las interferencias cibernéticas (10). La protección de la integridad electoral, por tanto, no es una opción política, sino una obligación jurídica de los Estados.

El derecho a la protección de datos, por su parte, exige que el tratamiento de los datos personales se realice con el consentimiento informado del interesado, para finalidades específicas y legítimas, y con garantías de transparencia y seguridad (27). El RGPD, en su considerando 4, señala que el derecho a la protección de datos no es un derecho absoluto, sino que debe considerarse en relación con su función en la sociedad y con el equilibrio con otros derechos fundamentales (27). El considerando 4 añade que el RGPD respeta todos los derechos fundamentales y libertades, incluido el derecho a la libertad de expresión y de información (27). Sin embargo, la aplicación de este equilibrio a la interferencia electoral es problemática, ya que los datos personales utilizados para la segmentación política no son tratados para una finalidad que el interesado haya consentido libremente, sino para una finalidad que le es oculta y que puede perjudicar su derecho a participar en condiciones de igualdad en el proceso electoral.

La doctrina ha señalado que el derecho a la protección de datos no debe ser interpretado como un obstáculo para la protección de la integridad electoral, sino como un instrumento complementario que puede servir para prevenir la interferencia. Las investigaciones sobre Cambridge Analytica y sobre las operaciones de la IRA demostraron que la extracción y el tratamiento ilícito de datos personales fueron el primer eslabón de la cadena de interferencia (1)(2)(3). Si el RGPD hubiera sido aplicado efectivamente en el momento de la extracción de los datos, la interferencia podría haber sido prevenida en su origen. El problema, como se ha señalado, es el carácter ex post del RGPD y la dificultad de hacer efectivo el consentimiento informado en el entorno digital (10). La solución, según la doctrina, pasa por reforzar la protección de datos en el contexto electoral, estableciendo obligaciones específicas para las plataformas y las empresas de datos que operan en campañas políticas, y creando mecanismos de supervisión que puedan actuar durante el período electoral y no solo después de que el daño se haya consumado (10)(11).

11.3. La carga de la prueba: ¿quién demuestra la causalidad entre manipulación y resultado?

El problema de la carga de la prueba constituye uno de los obstáculos más significativos para la efectividad de la protección jurídica frente a la interferencia electoral. Para que una impugnación electoral basada en la interferencia digital prospere, el impugnante debe demostrar, en la mayoría de los ordenamientos, que la interferencia ha afectado al resultado electoral de manera significativa, o al menos que ha distorsionado el proceso electoral de tal manera que el resultado no puede considerarse una expresión fidedigna de la voluntad popular. La demostración de esta afectación, sin embargo, se enfrenta a dificultades probatorias de extraordinaria complejidad.

En primer lugar, la causalidad entre la interferencia digital y el resultado electoral es difícil de establecer. Los estudios académicos sobre el impacto real de Cambridge Analytica y de la IRA han llegado a conclusiones divergentes, y algunos cuestionan que estas operaciones tuvieran un efecto determinante en los resultados (13)(14)(16). La atribución de un resultado electoral a una campaña de desinformación o de microsegmentación requiere la construcción de un modelo contrafáctico —qué habría ocurrido en ausencia de la interferencia— que es inherentemente especulativo. Los métodos estadísticos utilizados en la ciencia política para aislar los efectos de las campañas electorales se enfrentan a múltiples variables intervinientes: el voto está influido por factores económicos, sociales, culturales y mediáticos que no pueden ser controlados experimentalmente (16). La doctrina ha señalado que la exigencia de demostrar una relación causal entre la interferencia y el resultado puede hacer que la protección jurídica sea ilusoria, ya que en la mayoría de los casos esta relación no podrá ser probada con el estándar de certeza exigido por los tribunales (10).

En segundo lugar, el daño causado por la interferencia no se limita a la modificación del resultado electoral, sino que incluye la erosión de la confianza en el proceso, la polarización social y la distorsión del debate público. Estos daños, aunque reales y significativos, son de difícil cuantificación y atribución. En el caso Rumanía 2024, el Tribunal Constitucional anuló las elecciones no porque hubiera demostrado que la interferencia había cambiado el resultado —lo que era imposible de probar con certeza—, sino porque había distorsionado el proceso electoral de tal manera que la libre expresión de la voluntad popular no podía darse por garantizada (13). Esta interpretación, que sitúa el daño en el proceso y no en el resultado, representa una evolución significativa en la doctrina de la impugnación electoral, pero no ha sido adoptada de manera general en todos los ordenamientos.

En tercer lugar, la carga de la prueba recae sobre el impugnante, que en la mayoría de los casos es una parte con recursos limitados en comparación con los actores de la interferencia. Las plataformas digitales y las empresas de datos disponen de información detallada sobre el funcionamiento de sus algoritmos y sobre las campañas de segmentación, pero no están obligadas a proporcionar esta información a los impugnantes o a las autoridades electorales, salvo en el contexto de procedimientos judiciales o administrativos específicos (10). La asimetría informativa, por tanto, se traslada al ámbito probatorio: el impugnante debe demostrar la interferencia sin tener acceso a la información que permitiría demostrarla. La Comisión de Venecia ha señalado la necesidad de dotar a las autoridades de justicia penal de los poderes necesarios para asegurar las pruebas electrónicas (23), pero esta recomendación no se ha traducido en una inversión de la carga de la prueba que favorezca a los impugnantes.

11.4. El estándar de prueba requerido para anular una elección por interferencia digital

El estándar de prueba requerido para anular una elección por interferencia digital es una cuestión que no ha sido resuelta de manera uniforme por la doctrina ni por la jurisprudencia, y el caso Rumanía 2024 ha añadido una nueva capa de complejidad al debate. En la mayoría de los ordenamientos, la anulación de unas elecciones es una medida excepcional que requiere un estándar de prueba elevado, generalmente el de la certeza o la prueba más allá de toda duda razonable. La anulación de una elección supone una ruptura del principio de inmediatez y de la estabilidad institucional, y debe estar justificada por razones de extraordinaria gravedad (14)(15).

El Tribunal Constitucional rumano, en su decisión del 6 de diciembre de 2024, no explicitó el estándar de prueba aplicado, pero su razonamiento sugiere que se basó en un estándar de prueba indiciaria o de riesgo grave e inminente para la integridad electoral, más que en un estándar de certeza sobre la alteración del resultado (13). El tribunal constató, a partir de las notas de inteligencia desclasificadas, que existía una campaña de manipulación algorítmica y de actividad inauténtica coordinada que había distorsionado la igualdad de oportunidades y la libre formación de la voluntad popular (13). El tribunal no afirmó que el resultado de la primera vuelta hubiera sido alterado por la interferencia, sino que el proceso electoral había sido viciado de tal manera que la celebración de la segunda vuelta en esas condiciones no garantizaba la libre expresión del voto (13). Este razonamiento se aproxima al estándar de apariencia de irregularidad grave, que exige un menor grado de certeza sobre el resultado concreto, pero un mayor grado de certeza sobre la existencia de una irregularidad que vicie el proceso en su conjunto.

La doctrina ha señalado que el estándar de prueba para la anulación de elecciones por interferencia digital debe ser objeto de una reflexión específica, que tenga en cuenta la naturaleza de las pruebas disponibles. En el ámbito digital, las pruebas suelen ser de naturaleza técnica —logs, metadatos, patrones de actividad inauténtica— y su interpretación requiere conocimientos especializados. Las autoridades electorales y judiciales deben ser capaces de comprender y valorar estas pruebas, y los estándares de prueba deben adaptarse a su naturaleza probatoria, que es más indiciaria que directa (10). La International Foundation for Electoral Systems (IFES) ha señalado que la decisión rumana "significa un cambio importante" al destacar el impacto de la inteligencia artificial, los sistemas automatizados y las campañas coordinadas de integridad de la información en la integridad electoral (15), y ha abierto un debate sobre la necesidad de desarrollar estándares probatorios específicos para la interferencia digital.

La Comisión de Venecia, por su parte, ha señalado la necesidad de preparar a los órganos de gestión electoral para situaciones de emergencia y de disponer de una organización de gestión de crisis (23). Esta recomendación implica que las autoridades electorales deben estar preparadas para tomar decisiones rápidas y proporcionadas ante pruebas de interferencia, sin que ello suponga una relajación de los estándares de prueba que garantizan la estabilidad institucional. El equilibrio entre la necesidad de proteger la integridad electoral y la necesidad de preservar la estabilidad institucional es uno de los principales desafíos que la doctrina deberá abordar en los próximos años, a la luz de la experiencia del caso Rumanía y de otros precedentes que puedan surgir.

11.5. La difícil frontera entre microsegmentación lícita e ilícita

La microsegmentación política —la entrega de mensajes políticos personalizados a segmentos reducidos de electores basados en sus características demográficas, psicográficas o conductuales— es una práctica que, en sí misma, no es ilícita. Las campañas políticas siempre han segmentado a los votantes, y las tecnologías digitales han permitido hacerlo con un nivel de granularidad sin precedentes. Sin embargo, la práctica de la microsegmentación puede cruzar la frontera hacia la ilicitud cuando concurren determinados elementos que la doctrina y la jurisprudencia están comenzando a identificar.

El primer elemento de ilicitud es la obtención ilícita de los datos utilizados para la segmentación. El caso Cambridge Analytica es paradigmático: los datos de 50 millones de usuarios fueron obtenidos sin su consentimiento informado, a través de una aplicación que los extraía de las cuentas de Facebook y de las redes de contactos de los usuarios (1)(2). La extracción de datos sin consentimiento, o con un consentimiento viciado por la opacidad de las condiciones de uso, constituye una violación del RGPD y de la legislación de protección de datos de la mayoría de los ordenamientos (1)(3). La microsegmentación basada en datos obtenidos ilícitamente es, por tanto, ilícita en su origen, con independencia del contenido de los mensajes que se difundan.

El segundo elemento de ilicitud es la explotación de vulnerabilidades psicológicas. La microsegmentación psicográfica, como la que desarrolló Cambridge Analytica utilizando el modelo OCEAN, busca identificar a los electores más vulnerables a determinados mensajes y dirigirse a ellos con un contenido diseñado para explotar sus sesgos cognitivos, sus miedos o sus prejuicios (15). La doctrina ha señalado que esta práctica, cuando se lleva a cabo sin el conocimiento del destinatario y con la intención de manipular su comportamiento electoral, vulnera el principio de dignidad humana y la autonomía del elector (10). La Comisión de Venecia ha señalado que la libertad del votante para formar su opinión y la libre expresión de su voluntad son elementos del principio del sufragio libre (21), y la microsegmentación psicográfica puede vulnerar este principio si impide al elector formar su opinión de manera autónoma.

El tercer elemento de ilicitud es la opacidad del proceso de entrega. Cuando la microsegmentación se realiza a través de algoritmos opacos, que el elector no puede conocer ni controlar, y que le muestran mensajes que otros electores no ven, la igualdad de oportunidades en el debate público se ve comprometida. El expediente abierto contra Meta, precisamente por la opacidad de su política de degradación del contenido político en los sistemas de recomendación (37)(38), evidencia cómo la opacidad algorítmica puede favorecer a unos actores políticos y perjudicar a otros, sin que el elector tenga conocimiento de esta discriminación. La Comisión de Venecia ha señalado la necesidad de mantener en revisión constante las normas y regulaciones sobre publicidad política y sobre la responsabilidad de los intermediarios de Internet (6), lo que implica el reconocimiento de que la opacidad algorítmica es un problema estructural que debe ser abordado por la regulación.

El cuarto elemento de ilicitud es la coordinación inauténtica y la amplificación artificial. Cuando la microsegmentación va acompañada de redes de bots, cuentas falsas y actividad coordinada que infla artificialmente la visibilidad de determinados mensajes, se produce una distorsión del debate público que no puede considerarse lícita. El caso de la IRA (3) y el caso de Rumanía (5)(17) documentan cómo la actividad inauténtica coordinada puede crear una apariencia de apoyo popular que no se corresponde con la realidad, induciendo a error a los electores y distorsionando el proceso de formación de la opinión pública. La doctrina ha señalado que esta práctica constituye una forma de fraude electoral, aunque no se materialice en el acto de votación, sino en la fase previa de formación de la voluntad del elector (10).

La frontera entre microsegmentación lícita e ilícita, por tanto, no es una línea fija, sino un continuum en el que los elementos de ilicitud pueden concurrir en diferentes grados. La tarea de los ordenamientos jurídicos y de las autoridades electorales es establecer criterios claros que permitan distinguir la segmentación política legítima —basada en datos obtenidos lícitamente, transparente en su ejecución y respetuosa con la autonomía del elector— de la segmentación ilícita —basada en datos obtenidos de manera fraudulenta, opaca en su ejecución y diseñada para explotar vulnerabilidades—. Esta tarea, como ha señalado la doctrina, requiere un esfuerzo de adaptación de los marcos normativos a la realidad digital, que está aún en sus fases iniciales y que exigirá un diálogo continuo entre legisladores, autoridades electorales, plataformas, empresas de datos y sociedad civil.

XII. Análisis crítico de la capacidad real de modificación de resultados

12.1. La controversia académica: ¿efecto persuasivo real o sesgo de confirmación?

Uno de los debates más intensos en la literatura especializada gira en torno a la eficacia real de las técnicas de microsegmentación psicográfica y amplificación algorítmica para modificar el comportamiento electoral. Mientras que las narrativas mediáticas y los informes institucionales han tendido a presentar a Cambridge Analytica y a la IRA como actores con una capacidad casi omnímoda para determinar resultados electorales, la investigación académica ha sometido estas pretensiones a un escrutinio riguroso que arroja conclusiones más matizadas y, en algunos casos, directamente contradictorias.

La literatura académica ha cuestionado si el rastreo y la combinación de datos de redes sociales y otros tipos de información constituyen un método eficaz para capturar la complejidad de la personalidad humana y la persuasión (13)(14). Un estudio publicado en 2025, incluido en la obra colectiva "Digital (Dis)Information Operations" (Routledge), concluye que Cambridge Analytica carecía del conocimiento técnico necesario para influir en elecciones (13)(14). El estudio demuestra que los datos no validados son indicadores deficientes de la personalidad de las personas, que las redes sociales son dinámicas y cambian con el tiempo, y que la combinación de diferentes fuentes de datos no proporciona necesariamente una imagen más precisa del comportamiento electoral (13)(14). Más importante aún, el estudio señala que Cambridge Analytica no utilizó ningún instrumento para medir la eficacia de sus campañas, por lo que no poseía la capacidad real para manipular elecciones (13)(14). Los autores del estudio afirman que la empresa "se promocionó a sí misma" como poseedora de una capacidad sin precedentes para manipular el comportamiento electoral, pero "no poseía la capacidad para manipular elecciones" (13)(14). Otras investigaciones académicas sostienen que la microsegmentación no era tan eficaz para modelar el electorado como muchos afirman (5).

La divergencia entre las afirmaciones de la propia empresa y las conclusiones de la investigación académica es significativa. Cambridge Analytica, en sus presentaciones comerciales y en sus declaraciones públicas, afirmaba poder "determinar la personalidad de cada adulto" y predecir cómo votarían los ciudadanos (12). Alexander Nix, su director ejecutivo, sostenía que el "volumen de datos" permitía "empezar a entender exactamente qué mensajes necesitan recibir los individuos" (12). Sin embargo, la investigación académica ha demostrado que la empresa carecía de instrumentos para medir la eficacia de sus campañas (13)(14), y que las técnicas de perfilado psicográfico no eran tan precisas como se afirmaba. La pregunta que surge, entonces, es si la eficacia de Cambridge Analytica fue real o fue una construcción narrativa que sirvió tanto a los intereses comerciales de la empresa como a los intereses políticos de sus clientes.

Esta controversia no es meramente académica; tiene implicaciones directas para la regulación y para la evaluación del riesgo de interferencia electoral. Si las técnicas de microsegmentación no son tan eficaces como se afirmaba, entonces el principal daño causado por Cambridge Analytica no fue la modificación del resultado electoral, sino la erosión de la confianza en la integridad del proceso y la vulneración de la privacidad de millones de ciudadanos. Como señalan los autores del estudio mencionado, "manipular el comportamiento de voto no es ético y socava la legitimidad de las democracias liberales" (13)(14), con independencia de que la manipulación sea efectiva o no. El daño, en este caso, no sería al resultado, sino al proceso mismo y a la legitimidad democrática. Esta distinción es crucial, porque la regulación de la interferencia electoral no debe basarse únicamente en la eficacia de las técnicas de manipulación, sino también en su potencial para erosionar la confianza en el sistema democrático, incluso cuando su impacto en el resultado sea marginal o inexistente.

12.2. Estudios empíricos disponibles sobre el impacto de Cambridge Analytica y la IRA

La literatura empírica sobre el impacto de Cambridge Analytica y de la IRA en los resultados electorales es limitada y presenta importantes limitaciones metodológicas. En el caso de Cambridge Analytica, la mayoría de los estudios se han centrado en la posibilidad de predecir rasgos de personalidad a partir de los "me gusta" de Facebook, más que en el impacto de la microsegmentación en el comportamiento electoral efectivo. Un estudio pionero, publicado en 2015 por investigadores de la Universidad de Cambridge y Microsoft Research, demostró que los "me gusta" de Facebook podían predecir rasgos de personalidad, orientación política y otros atributos personales con un grado de precisión significativo (2). Sin embargo, este estudio no abordó la cuestión de si los mensajes personalizados basados en estos perfiles podían modificar el comportamiento electoral. La literatura ha señalado que existe una brecha significativa entre la capacidad de predecir el comportamiento y la capacidad de modificarlo, y que la mayoría de los estudios sobre microsegmentación política no han logrado demostrar un efecto persuasivo robusto (16).

En el caso de la IRA, los estudios empíricos disponibles se han centrado en la medición del alcance de las operaciones —126 millones de usuarios en Facebook, 2.752 cuentas en Twitter— y en el análisis de los patrones de difusión de contenido (3). Un estudio publicado en la revista científica Science en 2018 analizó el alcance de la desinformación difundida por la IRA en Twitter y concluyó que el contenido de la IRA había sido visto por una cantidad significativa de usuarios, pero no logró establecer un vínculo causal entre esta exposición y el comportamiento electoral (3). Otros estudios, basados en encuestas postelectorales, han intentado evaluar si los usuarios expuestos a contenido de la IRA cambiaron sus preferencias de voto, pero los resultados no han sido concluyentes y han sido objeto de críticas metodológicas (16). Un estudio de Flinders University y otras instituciones, publicado en Taylor & Francis, cuestionó la capacidad real de Cambridge Analytica para manipular elecciones, y sus conclusiones han sido extendidas por analogía a las operaciones de la IRA, aunque con las reservas propias de la diferencia entre actores comerciales y estatales (16).

La dificultad de los estudios empíricos radica en el diseño contrafáctico: para evaluar el impacto de la interferencia, sería necesario comparar el resultado electoral real con un escenario hipotético en el que la interferencia no hubiera tenido lugar. Este escenario contrafáctico no es observable, y los métodos estadísticos utilizados para aproximarse a él —como los modelos de series temporales o los experimentos naturales— presentan limitaciones significativas. La literatura ha señalado que, en ausencia de un diseño experimental robusto, las conclusiones sobre el impacto de la interferencia deben ser formuladas con cautela y no pueden ser utilizadas como base para afirmaciones categóricas sobre la modificación de resultados (16).

El caso Rumanía 2024 añade una nueva complejidad al debate empírico. En este caso, la interferencia fue documentada por los servicios de inteligencia rumanos y dio lugar a la anulación de las elecciones, lo que constituye la primera vez que un proceso electoral es anulado por interferencia digital en la UE (5)(13). Sin embargo, incluso en este caso, la cuestión empírica del impacto de la interferencia en el resultado sigue siendo objeto de debate. Georgescu obtuvo el 22,94% de los votos en la primera vuelta, una cifra que, aunque sorprendente, no es inconcebible en un contexto de descontento político y de polarización social. ¿La interferencia fue la causa de su éxito, o simplemente un factor que amplificó un fenómeno que ya existía? Los servicios de inteligencia rumanos afirmaron que la actividad de las cuentas "podía haber sido coordinada por un actor estatal" (19) y que la campaña se llevó a cabo desde "ubicaciones externas" para eludir los controles (20), pero no afirmaron que la interferencia hubiera determinado el resultado. El Tribunal Constitucional rumano, en su decisión, no basó la anulación en la demostración de que la interferencia había cambiado el resultado, sino en la constatación de que el proceso electoral había sido viciado de tal manera que la libre expresión de la voluntad popular no podía darse por garantizada (13). Esta distinción, como se ha señalado, es crucial para la regulación y para la evaluación del riesgo.

12.3. Factores atenuantes: la relevancia de los medios tradicionales, el voto en persona y los mecanismos de control offline

A pesar de la gravedad de las interferencias documentadas, la doctrina ha señalado la existencia de factores atenuantes que limitan el impacto real de las campañas de microsegmentación y amplificación algorítmica. Estos factores, que operan como "amortiguadores" del efecto de la interferencia, deben ser tenidos en cuenta en el análisis crítico de la capacidad real de modificación de resultados.

En primer lugar, los medios de comunicación tradicionales —prensa, radio y televisión— siguen desempeñando un papel significativo en la formación de la opinión pública, especialmente entre los segmentos de la población de mayor edad, que son los que presentan mayores tasas de participación electoral. El alcance de las redes sociales, aunque masivo, no es universal, y una parte significativa del electorado sigue obteniendo su información de fuentes tradicionales, que están sujetas a estándares profesionales y a mecanismos de control más rigurosos que las plataformas digitales (21). La Comisión de Venecia ha señalado que la libertad del votante para formar su opinión y la libre expresión de su voluntad se garantizan a través de un ecosistema informativo plural, en el que los medios tradicionales desempeñan un papel de contrapeso a las dinámicas de las redes sociales (21). Este papel de contrapeso, aunque erosionado por la crisis de la prensa tradicional, sigue siendo relevante en la mayoría de los sistemas democráticos.

En segundo lugar, el voto en persona y los mecanismos de control offline del proceso electoral —mesas electorales, escrutinio público, presencia de observadores— constituyen una barrera infranqueable para la modificación directa de los resultados a través de medios digitales. La interferencia basada en metadatos no afecta al acto de votación ni al recuento de votos; afecta a la formación de la opinión del elector, pero no al mecanismo de expresión de su voluntad. El voto en persona, el escrutinio manual y la presencia de observadores internacionales garantizan que, aunque la opinión del elector haya sido distorsionada, su expresión en las urnas sea auténtica y verificable. Los casos de manipulación de los sistemas de votación, aunque teóricamente posibles, no han sido documentados en los casos analizados, que se centran en la interferencia en la fase de formación de la opinión, no en la fase de expresión del voto.

En tercer lugar, los mecanismos de control offline —las autoridades electorales, los tribunales, los partidos políticos y la sociedad civil— han demostrado una capacidad de respuesta significativa, aunque a menudo tardía y fragmentaria. El caso Rumanía 2024 es paradigmático: los servicios de inteligencia detectaron la interferencia, las autoridades desclasificaron las notas de inteligencia, el Tribunal Constitucional anuló las elecciones y se convocaron nuevas elecciones que se celebraron en mayo de 2025. Este ciclo, aunque traumático para el sistema político rumano, demuestra que las instituciones democráticas pueden responder a la interferencia digital y corregir sus efectos, al menos en aquellos casos en los que la interferencia es detectada a tiempo y las autoridades disponen de los poderes necesarios para actuar.

La doctrina ha señalado que estos factores atenuantes no deben ser interpretados como una justificación para la inacción regulatoria, sino como elementos que contextualizan el riesgo y que deben ser incorporados en el diseño de las políticas de protección de la integridad electoral (10)(11). La interferencia digital no es una amenaza existencial para la democracia en el sentido de que pueda determinar el resultado de unas elecciones de manera directa y automática; pero es una amenaza significativa para la calidad de la deliberación democrática, para la igualdad de oportunidades en la contienda electoral y para la confianza de los ciudadanos en el sistema. La regulación debe centrarse en la protección de estos valores, con independencia de que la interferencia tenga o no un impacto determinante en el resultado electoral.

12.4. El problema de la atribución causal y los métodos contrafácticos

El problema de la atribución causal entre la interferencia digital y el resultado electoral es, como se ha señalado, uno de los principales obstáculos para la efectividad de la protección jurídica y para la evaluación del riesgo. La doctrina ha desarrollado algunos métodos para abordar este problema, pero todos ellos presentan limitaciones significativas.

El método más utilizado en la ciencia política es el diseño contrafáctico, que consiste en comparar el resultado electoral real con un escenario hipotético en el que la interferencia no hubiera tenido lugar. Este escenario hipotético se construye mediante modelos estadísticos que controlan por las variables que pueden influir en el voto —economía, sociología, medios de comunicación— y que aíslan el efecto de la interferencia. Sin embargo, la construcción del escenario contrafáctico es inherentemente especulativa, y los resultados de los modelos dependen de las hipótesis utilizadas y de la calidad de los datos disponibles (16). En la práctica, los modelos contrafácticos no pueden demostrar la causalidad con la certeza requerida por los estándares probatorios más exigentes.

Otro método utilizado es el análisis de series temporales, que examina la evolución de la intención de voto antes, durante y después de la interferencia. Un incremento significativo en el apoyo a un candidato en el momento en que se desarrolla la interferencia podría ser interpretado como evidencia de un efecto causal. Sin embargo, este método también presenta limitaciones: la evolución de la intención de voto puede estar influida por factores no relacionados con la interferencia, como el desarrollo de la campaña, los debates, los acontecimientos de actualidad y las declaraciones de los candidatos. El análisis de series temporales, por tanto, no puede aislar el efecto de la interferencia de otros factores concurrentes (16).

El método del experimento natural utiliza la variación exógena en la exposición a la interferencia —por ejemplo, diferencias en la intensidad de las campañas de desinformación entre regiones o entre segmentos de población— para estimar su efecto causal. Este método es más robusto que los anteriores, pero requiere que exista una variación exógena que pueda ser explotada, lo que no siempre ocurre. En el caso de la IRA, por ejemplo, las campañas de desinformación se difundieron de manera generalizada, sin una variación regional o segmentaria que pudiera ser utilizada como base para un experimento natural. En el caso de Cambridge Analytica, la microsegmentación se dirigió a segmentos específicos de la población, lo que podría haber permitido un análisis comparativo, pero la información sobre la segmentación utilizada por la empresa no fue completamente revelada, lo que impide la replicación del análisis (16).

La doctrina ha señalado que, en ausencia de métodos robustos de atribución causal, los tribunales y las autoridades electorales deben adoptar un enfoque pragmático, basado en la constatación de la existencia de una interferencia significativa más que en la demostración de su impacto en el resultado (10). El caso Rumanía 2024 ha abierto un camino en esta dirección, al establecer que la distorsión del proceso electoral —la desigualdad de oportunidades, la falta de transparencia, la opacidad de la financiación— puede ser suficiente para justificar la anulación de unas elecciones, con independencia de que la interferencia haya tenido un impacto demostrable en el resultado (13). Este enfoque, aunque discutido por algunos sectores de la doctrina, tiene la ventaja de no hacer depender la protección de la integridad electoral de la demostración de una relación causal que, en la mayoría de los casos, es imposible de establecer con certeza. El estándar de prueba, en este enfoque, se desplaza desde la demostración del impacto en el resultado hacia la demostración de la existencia de una irregularidad grave en el proceso, lo que es más asequible para las autoridades y más coherente con la naturaleza de la interferencia digital.

12.5. Conclusión intermedia: la interferencia como variable de entorno, no como determinante único

A la luz del análisis crítico de la capacidad real de modificación de resultados, es posible formular una conclusión intermedia que matiza las narrativas más apocalípticas sobre la interferencia electoral digital. La interferencia basada en metadatos y microsegmentación algorítmica no debe ser entendida como un determinante único de los resultados electorales, capaz de anular por sí misma la voluntad popular y de imponer un resultado determinado. La evidencia empírica disponible no respalda esta afirmación, y los estudios académicos cuestionan que Cambridge Analytica o la IRA poseyeran la capacidad para manipular elecciones de manera determinante (13)(14)(16).

La interferencia, en cambio, debe ser entendida como una variable de entorno que modifica el contexto en el que el elector forma su opinión y toma su decisión. Al igual que otros factores contextuales —el estado de la economía, la cobertura mediática, el clima social—, la interferencia digital puede inclinar la balanza en procesos electorales ajustados, especialmente cuando se concentra en segmentos de electores indecisos o vulnerables. Su impacto, aunque no determinante, puede ser significativo en elecciones ajustadas, y su capacidad para erosionar la confianza en el proceso y en las instituciones es un daño en sí mismo que justifica la intervención regulatoria.

La distinción entre determinante y variable de entorno es relevante para el diseño de las políticas de protección de la integridad electoral. Si la interferencia fuera un determinante único, las medidas de respuesta deberían centrarse en la neutralización inmediata de la interferencia y en la corrección de sus efectos, incluyendo la posible anulación de los resultados. Si la interferencia es una variable de entorno, las medidas de respuesta deben centrarse en la reducción de la vulnerabilidad del electorado, en el fortalecimiento de la transparencia y en la disuasión de los actores de la interferencia, sin que la anulación de resultados sea la única o la principal herramienta. El caso Rumanía 2024, en el que la anulación fue la respuesta adoptada, ha abierto un debate sobre si esta medida, que supone una ruptura con el principio de inmediatez y estabilidad institucional, debe ser utilizada de manera excepcional o puede convertirse en una práctica recurrente ante la interferencia digital (14)(15).

En definitiva, la capacidad real de modificación de resultados de la interferencia basada en metadatos sigue siendo objeto de debate académico, y las evidencias disponibles no permiten afirmar que esta capacidad sea determinante. Sin embargo, el daño que la interferencia causa a la integridad del proceso, a la igualdad de oportunidades y a la confianza de los ciudadanos es real y significativo, y justifica la adopción de medidas regulatorias robustas que, sin caer en la sobrerreacción ni en la limitación desproporcionada de la libertad de expresión, protejan los valores fundamentales de la democracia representativa en el entorno digital.

XIII. Riesgos sistémicos y vulnerabilidades institucionales

13.1. La erosión de la confianza en los resultados como daño autónomo

El análisis de los casos documentados permite identificar un riesgo sistémico que trasciende la eventual modificación de los resultados electorales: la erosión de la confianza de los ciudadanos en la integridad del proceso y en la legitimidad de sus resultados. Este daño, aunque menos visible y más difícil de cuantificar que la alteración del voto, es quizás el más grave desde una perspectiva democrática, porque afecta al fundamento mismo del sistema representativo: la aceptación voluntaria de los resultados por parte de los perdedores y la confianza de los ganadores en la legitimidad de su mandato.

La Comisión de Venecia ha señalado que la libertad del votante para formar su opinión y la libre expresión de su voluntad son elementos esenciales del principio del sufragio libre (21), y la erosión de la confianza en la integridad del proceso vulnera este principio al generar una percepción generalizada de que el resultado no refleja la voluntad popular, sino la capacidad de manipulación de determinados actores. Esta percepción, una vez instalada en el cuerpo social, es extremadamente difícil de revertir y puede tener efectos duraderos sobre la estabilidad del sistema político. En Brasil, la narrativa del fraude electoral, aunque desmentida reiteradamente por el Tribunal Superior Electoral, persistió durante años y contribuyó a un clima de polarización y confrontación que culminó en los ataques a las sedes de los poderes públicos en Brasilia en enero de 2023 (12). En Estados Unidos, la persistencia de la narrativa sobre la interferencia rusa y la desconfianza en el proceso electoral han generado un ambiente de cuestionamiento permanente de la legitimidad de los resultados, que ha llegado a afectar a la transición pacífica del poder (3).

La erosión de la confianza es un daño autónomo, con independencia de que la interferencia haya tenido o no un impacto demostrable en el resultado electoral. Incluso si la interferencia no logra modificar el sentido del voto, el simple descubrimiento de que ha existido una campaña de manipulación —especialmente si ha sido orquestada por un actor estatal extranjero— genera una desconfianza generalizada en la integridad del proceso. Esta desconfianza no se limita al ciclo electoral afectado, sino que se proyecta en el tiempo, afectando a la participación electoral, a la aceptación de los resultados y a la percepción de la legitimidad del sistema democrático en su conjunto. La doctrina ha señalado que la interferencia digital, en este sentido, es un arma de doble filo: incluso si no logra su objetivo inmediato de modificar el resultado, logra su objetivo estratégico de deslegitimar el proceso democrático y erosionar la confianza de los ciudadanos en sus instituciones (3)(10).

13.2. La vulnerabilidad de los calendarios electorales ante campañas de desinformación de última hora

Los casos del Brexit y de Rumanía 2024 ponen de manifiesto una vulnerabilidad estructural de los sistemas electorales: su exposición a campañas de desinformación y manipulación algorítmica concentradas en los momentos finales de la campaña, cuando el margen de maniobra de las autoridades electorales y de los verificadores de hechos es mínimo. En el caso del Brexit, los investigadores identificaron más de 45.000 mensajes publicados por cuentas vinculadas a Rusia en las 48 horas finales del referéndum (7). Esta concentración temporal no fue casual: responde a una estrategia deliberada de los actores de la interferencia, que aprovechan la imposibilidad de verificar y contrarrestar la desinformación en tiempo real durante el período de reflexión previo a la votación.

En el caso Rumanía 2024, la actividad de las cuentas de TikTok vinculadas a la campaña de Georgescu se intensificó significativamente en las dos semanas previas a la votación, y los servicios de inteligencia rumanos identificaron que unas 800 cuentas que habían existido desde 2016 permanecieron inactivas hasta noviembre de 2024, momento en el que se activaron de manera coordinada (19). Esta activación en el momento crítico, que los servicios de inteligencia rumanos calificaron como "quirúrgica", revela una capacidad de planificación y de sincronización que explota la vulnerabilidad del calendario electoral. Las autoridades electorales no tienen tiempo para investigar la actividad inauténtica, las plataformas no tienen tiempo para adaptar sus algoritmos, y los verificadores de hechos no tienen tiempo para desmentir la desinformación antes de que los votantes se dirijan a las urnas.

La vulnerabilidad del calendario electoral se ve agravada por la asimetría de recursos entre los actores de la interferencia y las autoridades electorales. Los primeros pueden movilizar redes de cuentas, bots y algoritmos de amplificación a gran escala en cuestión de horas; las segundas necesitan días o semanas para investigar, verificar y adoptar medidas correctivas. La Comisión de Venecia ha señalado la necesidad de preparar a los órganos de gestión electoral para situaciones de emergencia y de disponer de una organización de gestión de crisis (23), pero la implementación de esta recomendación requiere una inversión en capacidades técnicas y en procedimientos de respuesta rápida que la mayoría de los Estados no han realizado.

13.3. La asimetría de recursos entre Estados y plataformas tecnológicas

El análisis de los casos documentados revela una asimetría estructural de recursos entre los Estados —que son los responsables de proteger la integridad de los procesos electorales— y las plataformas tecnológicas —que son los actores con mayor capacidad técnica para detectar y prevenir la interferencia. Las plataformas disponen de ingenieros, científicos de datos y recursos de computación que superan con creces a los de la mayoría de las autoridades electorales nacionales. Esta asimetría se traduce en una dependencia de las autoridades electorales respecto de la colaboración voluntaria de las plataformas para la investigación y la prevención de la interferencia, lo que coloca a los Estados en una posición de debilidad estructural.

En el caso de la IRA, Facebook, Twitter y otras plataformas proporcionaron datos a las autoridades estadounidenses, pero solo después de que la interferencia hubiera tenido lugar y de que la presión pública y política forzara su colaboración (3). En el expediente DSA, la Comisión Europea se ha enfrentado igualmente a la opacidad algorítmica de Meta, que solo tras la apertura del procedimiento formal en 2024 y de las conclusiones preliminares de 2025 comenzó a facilitar información sobre el funcionamiento de su política de contenido político y sobre el acceso de investigadores a sus datos (37)(38)(40). En el caso de Rumanía, TikTok no detectó ni previno la actividad inauténtica coordinada, y su colaboración con las autoridades rumanas fue limitada (18). Esta asimetría de recursos y de información no es una anomalía, sino un rasgo estructural del ecosistema digital que favorece a los actores de la interferencia y dificulta la respuesta institucional.

La asimetría se agrava por el hecho de que las plataformas operan con lógica comercial y no con lógica de servicio público. Sus algoritmos están diseñados para maximizar el engagement y el tiempo de permanencia de los usuarios, no para garantizar la calidad informativa ni la equidad del debate político. La moderación de contenido y la detección de actividad inauténtica son costes operativos que las plataformas tienden a minimizar, y las inversiones en estas áreas suelen ser insuficientes en comparación con las inversiones en crecimiento de usuarios y en desarrollo de producto. La doctrina ha señalado que la regulación exógena, como el DSA, es necesaria para corregir esta asimetría de incentivos, pero su eficacia depende de la capacidad de los Estados y de las autoridades supranacionales para hacer cumplir las obligaciones impuestas a las plataformas (10).

13.4. El riesgo de normalización de la interferencia como práctica geopolítica aceptada

Uno de los riesgos sistémicos más preocupantes que emerge del análisis de los casos documentados es la normalización de la interferencia electoral como práctica geopolítica aceptada, o al menos tolerada, por la comunidad internacional. La continuidad de las operaciones de la IRA a lo largo de varios ciclos electorales, la persistencia de las sospechas de implicación rusa en procesos electorales en Europa y en otras regiones, y la ausencia de una respuesta internacional coordinada y efectiva sugieren que la interferencia digital se está convirtiendo en un instrumento habitual de la competición geopolítica, comparable a la diplomacia económica o a la propaganda política.

La normalización de la interferencia tiene efectos perversos sobre el sistema internacional. En primer lugar, debilita el principio de no injerencia en los asuntos internos de los Estados, que es uno de los pilares del Derecho internacional público. Si la interferencia en los procesos electorales se convierte en una práctica aceptada, el principio de soberanía queda vaciado de contenido, y los Estados más vulnerables quedan expuestos a la manipulación de sus procesos democráticos por parte de potencias extranjeras. En segundo lugar, la normalización de la interferencia genera una espiral de escalada: los Estados que son víctimas de la interferencia pueden sentirse legitimados para responder con medidas similares, lo que lleva a una proliferación de operaciones de influencia y a una degradación general de la calidad de los procesos electorales en todo el mundo. En tercer lugar, la normalización de la interferencia erosiona la confianza de los ciudadanos no solo en sus propias instituciones, sino en el sistema internacional en su conjunto, al percibir que las reglas del juego son manipuladas por actores poderosos.

La Comisión de Venecia ha señalado la necesidad de fortalecer el marco internacional para establecer mecanismos más eficientes de cooperación transnacional entre naciones y actores privados, y de lograr una mayor uniformidad entre las legislaciones nacionales (10). Sin embargo, la cooperación internacional en este ámbito se enfrenta a obstáculos políticos considerables, especialmente cuando los actores de la interferencia son Estados con los que las víctimas mantienen relaciones diplomáticas complejas, como es el caso de Rusia. La atribución de la interferencia a un Estado extranjero es un acto de naturaleza política, y su eficacia como instrumento de disuasión es limitada, especialmente cuando el Estado acusado niega las acusaciones y no colabora en las investigaciones (19)(20). La doctrina ha señalado que la lucha contra la normalización de la interferencia requiere una combinación de medidas de disuasión, sanciones, cooperación internacional y fortalecimiento de la resiliencia de los sistemas democráticos, que vaya más allá de la regulación de las plataformas y aborde las causas profundas de la interferencia.

13.5. La fragilidad de los sistemas de verificación y fact-checking ante la escala automatizada

La respuesta institucional a la desinformación electoral se ha basado, en gran medida, en los sistemas de verificación de hechos (fact-checking) y en las iniciativas de alfabetización mediática. Estos sistemas, operados por organizaciones periodísticas, organizaciones no gubernamentales y, en algunos casos, por las propias plataformas, han demostrado su utilidad para desmentir contenido falso y para proporcionar a los ciudadanos información fiable sobre el proceso electoral. Sin embargo, su capacidad de respuesta se enfrenta a un desafío estructural: la escala automatizada de la desinformación supera con creces la capacidad de los verificadores humanos.

En el caso de la IRA, la producción y difusión de contenido a gran escala, facilitada por redes de bots y cuentas coordinadas, generó un volumen de desinformación que los verificadores de hechos no pudieron contrarrestar en tiempo real (3). En el caso de Nigeria, los verificadores de hechos utilizaron metadatos para desmentir audio manipulado, pero la magnitud de la desinformación superó su capacidad de respuesta (13). En el caso de Brasil, la narrativa del fraude electoral se difundió a través de miles de cuentas y aplicaciones de mensajería, generando una desinformación tan extendida que los verificadores no pudieron detener su propagación (12). La escala automatizada de la desinformación convierte a los sistemas de verificación en un instrumento necesario pero insuficiente: pueden desmentir contenido falso, pero no pueden evitar que el contenido falso llegue a millones de personas antes de ser desmentido.

La inteligencia artificial generativa, que ha emergido como una nueva herramienta en el arsenal de los actores de la interferencia, agrava este problema. La capacidad de generar contenido falso indistinguible del auténtico —textos, imágenes, audio, vídeo— multiplica exponencialmente el volumen de desinformación que los verificadores deben procesar, y reduce el tiempo disponible para el desmentido. En Nigeria, el audio manipulado fue detectado mediante el análisis de metadatos, pero los avances en la generación de audio sintético harán cada vez más difícil distinguir entre contenido auténtico y manipulado (13). La doctrina ha señalado que la respuesta a este desafío debe incluir el desarrollo de herramientas automatizadas de detección de contenido sintético, la inversión en inteligencia artificial para la verificación de hechos, y la cooperación internacional para el intercambio de información sobre las técnicas de manipulación emergentes (10). Sin embargo, la carrera entre la generación de contenido sintético y la detección automatizada es asimétrica y favorece a los actores de la interferencia, que pueden adaptar sus técnicas a las contramedidas desplegadas.

La fragilidad de los sistemas de verificación y fact-checking ante la escala automatizada tiene implicaciones profundas para la protección de la integridad electoral. La respuesta institucional no puede basarse únicamente en la corrección ex post de la desinformación, sino que debe incluir medidas de prevención ex ante, como la regulación de los algoritmos, la transparencia en la publicidad política, y la obligación de las plataformas de detectar y eliminar contenido inauténtico antes de que alcance una audiencia masiva. La Ley de Servicios Digitales (DSA) representa un avance en esta dirección, al imponer a las plataformas obligaciones de diligencia debida y de mitigación de riesgos sistémicos (18). Sin embargo, la eficacia del DSA dependerá de su implementación práctica y de la capacidad de las autoridades para supervisar y sancionar a las plataformas que no cumplan con sus obligaciones. La experiencia de los casos documentados sugiere que la respuesta ex post, por muy rápida y eficaz que sea, no es suficiente para proteger la integridad electoral en la era de la desinformación automatizada a escala industrial.

XIV. Tendencias regulatorias y perspectivas futuras

14.1. El Reglamento (UE) 2024/900 sobre Transparencia y Segmentación de la Publicidad Política: de la propuesta a la resistencia de las plataformas

El marco regulatorio europeo se encuentra en un proceso de evolución acelerada, impulsado por la experiencia acumulada de los casos documentados y por la constatación de que los instrumentos existentes —el RGPD, la Directiva sobre comercio electrónico, los códigos de buenas prácticas— son insuficientes para abordar la especificidad de la interferencia electoral basada en metadatos y microsegmentación algorítmica. A diferencia de lo que ocurría cuando se concibió este estudio, esa laguna ya no es meramente hipotética: el Reglamento (UE) 2024/900 sobre la transparencia y la segmentación de la publicidad política (TTPA, por sus siglas en inglés) entró en vigor el 10 de octubre de 2025, complementando al DSA y al RGPD con obligaciones específicas para las campañas políticas en el entorno digital (41).

El Reglamento impone la obligación de que los anuncios políticos en línea lleven etiquetas claras que indiquen su origen, su financiación y los criterios de segmentación utilizados, y prohíbe, salvo consentimiento explícito, el uso de categorías especiales de datos personales —incluidos los datos psicográficos inferidos— para la segmentación política (41). Esta obligación, que ya existía en algunos ordenamientos nacionales, se extiende ahora a toda la UE con un estándar uniforme, para evitar la fragmentación regulatoria que permite a las plataformas eludir los controles trasladando sus operaciones a jurisdicciones con requisitos menos exigentes.

Sin embargo, la experiencia de los primeros meses de aplicación del Reglamento confirma el patrón de resistencia estructural documentado a lo largo de este estudio: en lugar de asumir las obligaciones de transparencia, tanto Meta como Google optaron por prohibir directamente la publicidad política en la Unión Europea, y Google llegó a eliminar su archivo preexistente de anuncios políticos para la UE (41). Parte de la doctrina ha calificado esta respuesta de "cumplimiento malicioso": un ajuste formal a la letra de la norma que, al sustraer la publicidad política del escrutinio público en lugar de someterla a transparencia, vacía de contenido la finalidad que la norma perseguía (41). Este episodio confirma la advertencia formulada por la Comisión de Venecia en la sección 3.5 de este estudio: la opacidad de la gobernanza algorítmica de las plataformas durante los períodos electorales no se resuelve por la sola vía de imponer obligaciones de transparencia si las plataformas conservan la opción de eludirlas retirando el servicio regulado.

14.2. La iniciativa de la Comisión Europea sobre códigos de conducta para elecciones

La Comisión Europea, junto con el Parlamento Europeo y el Consejo, ha impulsado la actualización de los códigos de conducta para elecciones, con el objetivo de reforzar los compromisos de las plataformas digitales en materia de integridad electoral más allá de las obligaciones legales mínimas del DSA. La Recomendación (UE) 2023/2829 de la Comisión, de 12 de diciembre de 2023, sobre medidas para garantizar la integridad de los procesos electorales, ha establecido un marco de referencia que las plataformas se comprometen a implementar voluntariamente (26). El código de conducta actualizado incluye compromisos específicos en áreas como la transparencia de la publicidad política, la cooperación con verificadores de hechos, la detección de actividad inauténtica coordinada, y la protección de los datos de los usuarios durante los períodos electorales (26).

Sin embargo, la eficacia de los códigos de conducta sigue dependiendo de la voluntad de las plataformas de cumplirlos, y la experiencia del pasado sugiere que los compromisos voluntarios tienden a ser interpretados de manera flexible y a aplicarse de manera que favorezcan los intereses comerciales de las plataformas (4). El expediente DSA contra Meta, abierto pese a su adhesión al Código de Buenas Prácticas, por la política de degradación del contenido político en los sistemas de recomendación y por la retirada de CrowdTangle (37)(38), evidencia la insuficiencia de la autorregulación sin una supervisión independiente y sin mecanismos efectivos de sanción.

La doctrina ha señalado la necesidad de que los códigos de conducta sean complementados con obligaciones legales vinculantes, como las establecidas en el DSA y en el Reglamento (UE) 2024/900 sobre Transparencia y Segmentación de la Publicidad Política, en vigor desde octubre de 2025 (10)(41). Los códigos de conducta pueden servir como un primer paso hacia la regulación, y como un instrumento de sensibilización y de establecimiento de estándares sectoriales, pero no pueden reemplazar la regulación exógena que imponga obligaciones claras y sanciones efectivas en caso de incumplimiento. La Comisión Europea ha anunciado que supervisará de cerca la implementación de los códigos de conducta actualizados y que no dudará en proponer medidas legislativas adicionales si los compromisos voluntarios resultan insuficientes, como ha ocurrido en los casos documentados.

14.3. La evolución de las políticas de Meta, Google y TikTok tras los casos documentados

Los casos documentados —Cambridge Analytica, IRA, Rumanía 2024, el expediente Meta 2024‑2025— han tenido un impacto significativo en las políticas de integridad electoral de las principales plataformas digitales, que han revisado sus procedimientos y han adoptado medidas para prevenir la interferencia y para colaborar con las autoridades electorales.

Meta ha implementado cambios sustanciales en sus políticas de publicidad política, incluyendo la obligación de que los anuncios políticos lleven etiquetas de transparencia, la creación de una biblioteca de anuncios de acceso público, y la prohibición de anuncios que difundan desinformación electoral (3). Sin embargo, la opacidad algorítmica sigue siendo un problema estructural, como demuestra el propio expediente DSA que la Comisión mantiene abierto desde abril de 2024 (37)(38). Meta ha anunciado la creación de un panel independiente de supervisión de la integridad electoral, pero su composición y sus poderes no han sido especificados, y la doctrina ha expresado dudas sobre su capacidad para actuar de manera efectiva (10). La respuesta de Meta al nuevo Reglamento sobre publicidad política (TTPA) —prohibir directamente los anuncios políticos en la UE antes que asumir las obligaciones de transparencia— ilustra, además, cómo una plataforma puede eludir formalmente una obligación de transparencia suprimiendo el servicio regulado (41). La apertura del procedimiento formal contra Meta en virtud del DSA (37)(38) ha forzado a la plataforma a proporcionar información a la Comisión Europea, y las conclusiones preliminares de octubre de 2025 sobre el acceso de investigadores a los datos (40) es posible que conduzcan a cambios adicionales en sus políticas.

Google, a través de su plataforma YouTube, ha implementado políticas de moderación de contenido que incluyen la eliminación de contenido que difunda desinformación electoral y la etiquetación de contenido de fuentes oficiales. Google también ha establecido mecanismos de colaboración con verificadores de hechos, y ha proporcionado a las autoridades electorales acceso a datos agregados sobre la actividad de los usuarios durante los períodos electorales. Sin embargo, la escala de YouTube y la dificultad de moderar contenido en vídeo hacen que estas políticas sean difíciles de implementar de manera efectiva, y la doctrina ha señalado que YouTube sigue siendo un vector significativo de desinformación electoral (10).

TikTok, como plataforma emergente, se ha enfrentado a los procedimientos más recientes y más intensos en materia de integridad electoral. El procedimiento abierto por la Comisión Europea en virtud del DSA, tras el caso Rumanía 2024, ha forzado a TikTok a revisar sus políticas de mitigación de riesgos sistémicos y a proporcionar información sobre la actividad inauténtica coordinada detectada en la plataforma (18). TikTok ha anunciado la creación de un equipo dedicado a la integridad electoral, la implementación de medidas de etiquetado de contenido político, y la colaboración con verificadores de hechos y con autoridades electorales en los Estados miembros de la UE. Sin embargo, la eficacia de estas medidas sigue siendo incierta, y la doctrina ha señalado que la estructura descentralizada de TikTok y su algoritmo de recomendación, altamente eficaz para la viralización de contenido, hacen que la plataforma sea particularmente vulnerable a la manipulación (17)(18).

La evolución de las políticas de las plataformas es, en gran medida, reactiva: se adoptan después de que los escándalos hayan tenido lugar y después de que la presión pública y regulatoria haya forzado el cambio. La doctrina ha señalado la necesidad de pasar de un enfoque reactivo a un enfoque preventivo, basado en la monitorización continua de los algoritmos y en la obligación de las plataformas de notificar a las autoridades electorales cualquier cambio sustancial en sus políticas de distribución de contenido durante los períodos electorales (10). La implementación de este enfoque preventivo requiere un cambio cultural en la relación entre las plataformas y las autoridades, así como inversiones en capacidades técnicas que las plataformas no siempre están dispuestas a realizar.

14.4. Propuestas de creación de una autoridad internacional de supervisión electoral digital

La doctrina y las instituciones internacionales han señalado, de manera recurrente, la necesidad de crear una autoridad internacional de supervisión electoral digital que pueda abordar la naturaleza transnacional de la interferencia basada en metadatos. La Comisión de Venecia, en su doctrina sobre tecnologías digitales y estado de derecho, ha señalado que "la naturaleza transnacional de los comportamientos en línea requiere una autoridad internacional competente para resolver los conflictos más allá de las fronteras nacionales y regionales" (22), y que se necesitan "mecanismos de resolución de conflictos más adecuados a la lógica del mercado, sin descartar los procedimientos jurisdiccionales ante tribunales internacionales" (22). La Comisión ha subrayado que el "fortalecimiento del marco internacional para establecer mecanismos más eficientes de cooperación transnacional entre naciones y actores privados" es una prioridad (10).

Las propuestas concretas para la creación de esta autoridad varían en su alcance y en su estructura. Algunas propuestas abogan por una agencia de las Naciones Unidas, con mandato global y con poderes de investigación y sanción sobre las plataformas y sobre los actores de la interferencia. Otras propuestas, más modestas, abogan por una autoridad de la UE que pueda actuar en el ámbito de los Estados miembros, complementando al DSA y al RGPD, y que pueda cooperar con autoridades similares en otras regiones. La doctrina ha señalado que la creación de una autoridad internacional requiere un consenso político que, en el contexto actual de tensiones geopolíticas, es difícil de alcanzar (10). Rusia, como uno de los principales actores de la interferencia documentada, se opondría a cualquier autoridad que pudiera investigar y sancionar sus operaciones, y otros Estados con prácticas similares podrían bloquear la iniciativa.

Sin embargo, la experiencia de los casos documentados ha demostrado que la coordinación internacional es indispensable para abordar la interferencia transfronteriza, y que los marcos regulatorios nacionales y regionales, aunque necesarios, no son suficientes. La creación de una autoridad internacional, aunque ambiciosa, es una dirección de largo plazo que la doctrina y las instituciones internacionales han comenzado a explorar. La Comisión de Venecia ha señalado la necesidad de "definir o crear autoridades competentes adecuadas, resolver los conflictos de regulaciones nacionales y abordar las cuestiones de extraterritorialidad" (22), y estas tareas, aunque complejas, son esenciales para la protección de la integridad electoral en la era digital.

14.5. El papel de la inteligencia artificial generativa: el siguiente salto cualitativo en la manipulación

La emergencia de la inteligencia artificial generativa —capaz de producir contenido sintético indistinguible del auténtico, incluyendo texto, imágenes, audio y vídeo— representa el siguiente salto cualitativo en la evolución de las tácticas de interferencia electoral. La doctrina ha señalado que la IA generativa multiplicará exponencialmente el volumen de desinformación, reducirá el tiempo necesario para producir contenido manipulado, y hará cada vez más difícil distinguir entre contenido auténtico y contenido sintético (10). El caso de Nigeria, en el que los verificadores de hechos utilizaron metadatos para desmentir audio manipulado (13), es un ejemplo de la amenaza que la IA generativa representa: en el futuro, el audio sintético será mucho más difícil de detectar, y el análisis de metadatos puede no ser suficiente para desmentirlo.

La Comisión de Venecia, en su doctrina sobre tecnologías digitales, ha señalado que las elecciones deben ser declaradas como infraestructura crítica, y que los Estados deben fortalecer sus capacidades institucionales para prevenir las amenazas cibernéticas a la democracia (6)(22). Esta declaración adquiere una nueva urgencia ante la IA generativa, que permite a los actores de la interferencia operar a una escala y con una sofisticación que antes eran impensables. La doctrina ha señalado que la respuesta a la IA generativa debe incluir el desarrollo de herramientas automatizadas de detección de contenido sintético, la inversión en inteligencia artificial para la verificación de hechos, y la cooperación internacional para el intercambio de información sobre las técnicas de manipulación emergentes (10).

El DSA, en su redacción actual, no aborda específicamente la IA generativa, aunque el procedimiento abierto contra TikTok incluye la evaluación de los riesgos asociados a la generación de contenido sintético (18). La doctrina ha señalado la necesidad de que el futuro Reglamento sobre Transparencia y Segmentación Política incluya obligaciones específicas sobre la etiquetación de contenido generado por IA, y sobre la transparencia en el uso de algoritmos de recomendación que puedan ser utilizados para amplificar contenido sintético (10). Sin embargo, la carrera entre la generación de contenido sintético y la detección automatizada es asimétrica y favorece a los actores de la interferencia, que pueden adaptar sus técnicas a las contramedidas desplegadas. La doctrina ha señalado que la única forma de abordar esta asimetría es mediante la regulación ex ante de los algoritmos y de los procesos de generación de contenido, que imponga a las plataformas obligaciones claras de transparencia y de mitigación de riesgos, con independencia de que el contenido sea sintético o auténtico (10).

El impacto de la IA generativa en la integridad electoral es una de las principales áreas de incertidumbre para el futuro de la protección de la democracia digital. Los casos documentados de interferencia basada en metadatos y microsegmentación, aunque graves, pueden ser superados en gravedad por las nuevas técnicas de manipulación que la IA generativa posibilita. La doctrina ha señalado que la preparación de los sistemas democráticos para este nuevo escenario debe ser una prioridad de la agenda regulatoria internacional, y que la cooperación entre Estados, plataformas y sociedad civil es indispensable para evitar que la IA generativa se convierta en un arma de destrucción democrática a gran escala.

XV. Conclusiones generales y recomendaciones de política regulatoria

15.1. Síntesis de los hallazgos por caso y por patrón táctico

El examen sistemático de los casos documentados a lo largo del período 2014‑2026 permite extraer un conjunto de hallazgos consolidados que ofrecen una visión integrada del fenómeno de la interferencia electoral basada en metadatos y microsegmentación algorítmica. La síntesis que sigue se organiza en dos niveles: el de los casos particulares y el de los patrones tácticos transversales.

En el plano de los casos particulares, el estudio ha confirmado que Cambridge Analytica (2014‑2018) constituye el arquetipo de la interferencia de origen comercial, basada en la extracción masiva de datos mediante aplicaciones de apariencia legítima, el perfilado psicográfico a través del modelo OCEAN, y la microsegmentación de mensajes políticos dirigidos a electores vulnerables (1)(2)(15). La empresa, aunque carecía de instrumentos para medir la eficacia de sus campañas (13)(14), logró extraer datos de entre 50 y 65 millones de perfiles de Facebook (1), estableciendo un precedente táctico que ha sido replicado y adaptado por otros actores. Su disolución tras el escándalo (1)(10) no impidió que su legado táctico se difundiera en el ecosistema de la consultoría política digital.

La Agencia de Investigación de Internet rusa (2014‑2017) ha sido confirmada como el arquetipo de la interferencia de origen estatal, con una lógica geopolítica de desestabilización de las democracias occidentales, polarización social y erosión de la confianza institucional (3). Su escala operativa —126 millones de usuarios expuestos en Facebook, 2.752 cuentas suspendidas en Twitter, 45.000 mensajes en 48 horas durante el Brexit (3)(7)— supera con creces la de cualquier interferencia comercial, y su resiliencia ante sanciones y exposiciones públicas evidencia la dificultad de neutralizar operaciones financiadas y protegidas por Estados.

El caso Rumanía 2024 ha emergido como el precedente más relevante en el ámbito europeo, al suponer la primera anulación de unas elecciones presidenciales por interferencia digital en la UE (13). La manipulación algorítmica de TikTok, la actividad inauténtica coordinada de aproximadamente 25.000 cuentas (19), y las donaciones no declaradas superiores al millón de euros, incluidos pagos de 381.000 dólares a una cuenta vinculada a la promoción del candidato (11)(20), llevaron al Tribunal Constitucional a anular el proceso electoral, basándose en la distorsión de la igualdad de oportunidades y en la desinformación de los votantes (13). El precedente Rumanía ha abierto un debate sobre los estándares probatorios y sobre la proporcionalidad de la anulación como respuesta a la interferencia digital (14)(15).

El expediente abierto por la Comisión Europea contra Meta (2024‑2025) ha documentado cómo las decisiones algorítmicas de diseño de las plataformas —en este caso, la política de degradación general del contenido político en los sistemas de recomendación de Facebook e Instagram y la retirada de CrowdTangle— pueden producir efectos sobre la visibilidad de los actores políticos que la propia Comisión considera susceptibles de infringir el DSA (37)(38). Las conclusiones preliminares de octubre de 2025 sobre el acceso de investigadores a los datos de la plataforma (40) representan los primeros pasos hacia una supervisión efectiva de la neutralidad algorítmica en períodos electorales.

Los casos de Brasil, Filipinas, Nigeria y Kurdistán iraquí han confirmado la universalización del fenómeno, con patrones tácticos similares en contextos políticos y geográficos muy diversos (12)(13)(14). La heterogeneidad de las respuestas institucionales —desde la intervención de la Policía Federal en Brasil (12) hasta la decisión del Oversight Board de Meta en Kurdistán iraquí (14)— evidencia la ausencia de un estándar internacional mínimo de protección y la necesidad de fortalecer la cooperación y la transferencia de capacidades.

En el plano de los patrones tácticos transversales, el estudio ha confirmado la existencia de una cadena de valor de la interferencia en cuatro fases —extracción de datos, perfilado psicológico, entrega personalizada y retroalimentación en tiempo real— que opera en todas las modalidades de interferencia, con independencia del actor que la impulse. La evolución de las tácticas, desde los anuncios segmentados hasta la manipulación del feed y la supresión orgánica, refleja una sofisticación creciente que plantea desafíos cada vez mayores para la regulación y la detección (sección IX). La asimetría informativa entre los actores de la interferencia y los electores, así como entre las plataformas y las autoridades electorales, ha sido identificada como el factor estructural que subyace a todas las vulnerabilidades documentadas.

15.2. La necesidad de un enfoque integral: ex ante (diseño), in itinere (monitoreo) y ex post (sanción)

La lección más significativa que emerge del análisis de los casos documentados es la insuficiencia de los enfoques regulatorios fragmentarios y reactivos. La protección de la integridad electoral frente a la interferencia basada en metadatos y microsegmentación algorítmica exige un enfoque integral que abarque las tres fases del proceso electoral: la fase previa a la campaña (ex ante), la fase de desarrollo de la campaña (in itinere) y la fase posterior a la votación (ex post). Cada una de estas fases requiere instrumentos normativos y capacidades institucionales específicas, que deben ser articuladas de manera coherente.

La fase ex ante debe centrarse en el diseño del sistema electoral y en la prevención de la interferencia antes de que esta se produzca. Esto incluye la regulación de la extracción y el tratamiento de datos personales con fines políticos, la obligación de transparencia algorítmica de las plataformas durante los períodos electorales, y la creación de mecanismos de supervisión independientes que puedan monitorizar el cumplimiento de las obligaciones legales con carácter preventivo. El RGPD y el DSA representan avances en esta dirección, pero no son suficientes, como demuestran los casos documentados (sección X). Es necesario un régimen especial para el tratamiento de datos con fines de campaña electoral, que imponga obligaciones claras de transparencia, consentimiento informado y limitación de la finalidad, así como la obligación de las plataformas de proporcionar a las autoridades electorales acceso a los parámetros algorítmicos que determinan la visibilidad del contenido político.

La fase in itinere debe centrarse en el monitoreo continuo del proceso electoral y en la detección temprana de la interferencia. Esto incluye la creación de unidades de inteligencia electoral dotadas de capacidad técnica para analizar patrones de actividad inauténtica, desinformación coordinada y manipulación algorítmica en tiempo real. Los servicios de inteligencia rumanos demostraron que la detección temprana es posible cuando existen las capacidades técnicas adecuadas (19), pero la mayoría de los Estados carecen de estas capacidades. La cooperación internacional en el intercambio de inteligencia sobre interferencia electoral es indispensable, especialmente cuando los actores de la interferencia operan desde jurisdicciones extraterritoriales.

La fase ex post debe centrarse en la investigación, la sanción y la corrección de los efectos de la interferencia. Esto incluye la imposición de sanciones efectivas a las plataformas y a las empresas de datos que hayan vulnerado las obligaciones legales, la adopción de medidas correctivas en el proceso electoral (incluyendo, en casos extremos, la anulación de los resultados), y la reparación del daño causado a la confianza de los ciudadanos. El caso Rumanía 2024 ha demostrado que la anulación es una medida posible, pero debe ser utilizada de manera excepcional y proporcionada, basada en estándares probatorios claros y en un razonamiento jurídico transparente (13)(14)(15). La Comisión de Venecia ha señalado la necesidad de preparar a los órganos de gestión electoral para situaciones de emergencia (23), lo que implica que los procedimientos de respuesta ex post deben estar predefinidos y ensayados antes de que se produzca la interferencia.

15.3. Recomendaciones para legisladores nacionales y supranacionales

A la luz de los hallazgos del estudio, se formulan las siguientes recomendaciones para los legisladores nacionales y supranacionales:

Primera recomendación: adopción de un régimen especial de protección de datos para fines electorales. El RGPD, aunque aplicable al tratamiento de datos con fines políticos, no establece obligaciones específicas para las campañas electorales. Se recomienda la adopción de un régimen especial que imponga: (a) la obligación de obtener consentimiento expreso, informado y revocable para el tratamiento de datos con fines de segmentación política; (b) la prohibición del tratamiento de datos sensibles (incluidos los datos psicográficos inferidos) para fines de segmentación política sin consentimiento explícito; (c) la obligación de transparencia en los criterios de segmentación utilizados por las campañas; y (d) la obligación de las plataformas de etiquetar claramente los anuncios políticos con su origen, financiación y criterios de segmentación.

Segunda recomendación: refuerzo de la transparencia algorítmica durante los períodos electorales. El DSA, aunque establece obligaciones de mitigación de riesgos sistémicos, no exige a las plataformas la transparencia en tiempo real de sus algoritmos durante las campañas electorales. Se recomienda la adopción de una normativa que imponga a las plataformas: (a) la obligación de proporcionar a las autoridades electorales acceso a los datos agregados sobre la visibilidad del contenido político, desglosados por candidato, partido y segmento demográfico; (b) la obligación de notificar a las autoridades electorales cualquier cambio sustancial en los parámetros del algoritmo durante el período electoral; y (c) la obligación de someter sus algoritmos a auditorías externas independientes antes del inicio de cada ciclo electoral.

Tercera recomendación: tipificación penal de la interferencia electoral digital. El Convenio de Budapest sobre Ciberdelincuencia, aunque aplicable a algunas conductas, no tipifica específicamente la interferencia en procesos electorales mediante microsegmentación y desinformación algorítmica. Se recomienda la adopción de un Protocolo adicional al Convenio de Budapest, o de una normativa nacional específica, que tipifique como delito: (a) la interferencia en la igualdad de oportunidades electorales mediante la manipulación algorítmica de la visibilidad de los candidatos; (b) la coordinación de actividad inauténtica en plataformas digitales con el fin de distorsionar el debate electoral; y (c) la obtención y el tratamiento de datos personales con fines de interferencia electoral sin consentimiento informado.

Cuarta recomendación: armonización de los estándares de impugnación electoral por interferencia digital. La diversidad de estándares probatorios y de procedimientos de impugnación en los distintos Estados genera incertidumbre y dificulta la respuesta efectiva a la interferencia. Se recomienda la adopción de directrices internacionales, a través de la Comisión de Venecia o de la OSCE/ODIHR, que establezcan criterios comunes para: (a) la admisibilidad de pruebas de inteligencia en procedimientos de impugnación electoral; (b) el estándar de prueba requerido para la anulación de elecciones por interferencia digital, basado en la distorsión del proceso más que en la demostración de la alteración del resultado; y (c) la proporcionalidad de la anulación como medida correctiva, reservada para casos de interferencia grave y sistémica.

Quinta recomendación: fortalecimiento de la cooperación internacional y creación de mecanismos de atribución. La interferencia transfronteriza requiere una respuesta coordinada que trascienda las fronteras nacionales. Se recomienda: (a) la creación de un mecanismo permanente de cooperación entre servicios de inteligencia y autoridades electorales para el intercambio de información sobre interferencias detectadas; (b) el establecimiento de procedimientos internacionales de atribución de la interferencia a Estados u otros actores, con base en pruebas técnicas y jurídicas; y (c) el desarrollo de un régimen de sanciones internacionales que pueda aplicarse a los Estados y actores responsables de interferencia electoral, complementario a las sanciones nacionales.

15.4. Recomendaciones para autoridades electorales y órganos judiciales

A los legisladores deben seguirles los operadores del sistema —autoridades electorales y órganos judiciales—, que son los llamados a aplicar el marco normativo en situaciones concretas. Se formulan las siguientes recomendaciones:

Primera recomendación: desarrollo de capacidades técnicas forenses. Las autoridades electorales y los órganos judiciales deben disponer de equipos especializados en análisis de datos, algoritmos y actividad inauténtica en plataformas digitales. La formación en ciberseguridad y en análisis forense de metadatos debe ser una prioridad de las políticas de capacitación de las autoridades electorales. El uso de metadatos como herramienta forense para desmentir contenido manipulado, documentado en el caso de Nigeria (13), debe ser estandarizado y protocolizado.

Segunda recomendación: adopción de protocolos de respuesta rápida. Las autoridades electorales deben disponer de protocolos predefinidos para la detección y respuesta a la interferencia durante los períodos electorales. Estos protocolos deben incluir: (a) la monitorización continua de las plataformas para detectar actividad inauténtica y manipulación algorítmica; (b) la colaboración con las plataformas para la eliminación de contenido inauténtico o manipulado; (c) la comunicación pública transparente sobre la interferencia detectada, sin generar pánico o desconfianza innecesaria; y (d) la preparación de medidas de contingencia, incluyendo la posible repetición de votaciones en circunscripciones afectadas o, en casos extremos, la anulación del proceso electoral.

Tercera recomendación: estándares probatorios adaptados a la naturaleza de las pruebas digitales. Los órganos judiciales deben desarrollar una jurisprudencia específica sobre la valoración de pruebas digitales en procedimientos de impugnación electoral. El estándar de prueba no debe ser el de la certeza absoluta sobre la alteración del resultado, sino el de la constatación de una irregularidad grave que vicie el proceso electoral en su conjunto, como ha establecido el Tribunal Constitucional rumano (13). La prueba indiciaria, basada en análisis de datos agregados, patrones de actividad y metadatos, debe ser admisible siempre que se base en metodologías técnicas sólidas y reproducibles.

Cuarta recomendación: comunicación y transparencia con la ciudadanía. La erosión de la confianza es un daño autónomo que debe ser abordado con una comunicación transparente y proactiva por parte de las autoridades electorales. Las autoridades deben informar a la ciudadanía sobre la interferencia detectada, las medidas adoptadas para contrarrestarla, y la integridad del proceso electoral. La transparencia en la comunicación no solo contribuye a la confianza, sino que también actúa como un elemento disuasorio para los actores de la interferencia.

15.5. Recomendaciones para plataformas digitales y organismos de autorregulación

Las plataformas digitales, como actores centrales del ecosistema de la interferencia, deben asumir una responsabilidad proactiva en la protección de la integridad electoral, que vaya más allá del cumplimiento mínimo de las obligaciones legales. Se formulan las siguientes recomendaciones:

Primera recomendación: inversión en detección temprana de actividad inauténtica. Las plataformas deben invertir en sistemas automatizados de detección de actividad inauténtica coordinada, bots y redes de cuentas falsas, que puedan operar en tiempo real durante los períodos electorales. El caso Rumanía 2024 ha demostrado que las plataformas no detectaron la actividad inauténtica a pesar de su escala (19)(18), lo que evidencia la insuficiencia de las inversiones actuales. La detección temprana debe ser una prioridad, no un coste operativo minimizado.

Segunda recomendación: transparencia algorítmica voluntaria. Aunque la regulación exógena es necesaria, las plataformas deberían adoptar voluntariamente medidas de transparencia algorítmica que demuestren su compromiso con la integridad electoral. Esto incluye la publicación periódica de informes sobre la visibilidad del contenido político, desglosados por candidato, partido y segmento demográfico, durante los períodos electorales. La política de "contenido político" de Meta, actualmente investigada por la Comisión en virtud del DSA (37)(38), debería ser auditada de manera independiente y sus parámetros deberían ser públicos.

Tercera recomendación: colaboración efectiva con autoridades electorales. Las plataformas deben establecer mecanismos de colaboración efectiva con las autoridades electorales, que incluyan: (a) canales de comunicación rápida para la notificación de actividad inauténtica o manipulación; (b) el acceso a datos agregados para la investigación de interferencias; (c) la adopción de medidas rápidas para eliminar contenido inauténtico o manipulado; y (d) la formación de las autoridades electorales en el uso de las herramientas de las plataformas.

Cuarta recomendación: adaptación a la inteligencia artificial generativa. Las plataformas deben desarrollar políticas específicas para el contenido generado por IA, incluyendo la etiquetación obligatoria de contenido sintético, la inversión en herramientas de detección automatizada, y la eliminación de contenido sintético que difunda desinformación electoral. La doctrina ha señalado que la IA generativa será el siguiente salto cualitativo en la manipulación (10), y las plataformas deben prepararse para este escenario.

Quinta recomendación: autorregulación con supervisión independiente. Los códigos de conducta y los compromisos voluntarios deben ser complementados con mecanismos de supervisión independiente, como los consejos de supervisión o las auditorías externas. El Oversight Board de Meta ha demostrado que la supervisión independiente puede ser efectiva en casos concretos, como el de Kurdistán iraquí (14), pero su alcance es limitado y su capacidad de sanción es inexistente. La autorregulación debe evolucionar hacia un modelo de "co-regulación", en el que los compromisos voluntarios sean supervisados y sancionados por autoridades públicas.

15.6. Líneas de investigación futura

El presente estudio, aunque exhaustivo en el análisis de los casos documentados y en la identificación de los problemas jurídicos y regulatorios, deja abiertas diversas líneas de investigación que deberán ser abordadas en el futuro para profundizar en la comprensión del fenómeno y para desarrollar respuestas más efectivas.

En primer lugar, la evaluación empírica del impacto de la interferencia sigue siendo un área de investigación prioritaria. La controversia académica sobre la capacidad real de modificación de resultados (13)(14)(16) requiere nuevos estudios empíricos que utilicen diseños metodológicos más robustos, incluyendo experimentos naturales, análisis de series temporales y modelos contrafácticos más sofisticados. La disponibilidad de datos de las plataformas, aunque limitada, debería ser objeto de negociación con las autoridades regulatorias para facilitar la investigación académica.

En segundo lugar, el desarrollo de herramientas forenses para la detección de interferencia es una línea de investigación aplicada de gran relevancia. El análisis de metadatos, como se demostró en Nigeria (13), es una herramienta útil, pero su eficacia disminuye ante la inteligencia artificial generativa. La investigación en técnicas de detección automatizada de contenido sintético, de actividad inauténtica coordinada y de manipulación algorítmica debe ser una prioridad de la investigación en ciberseguridad y en ciencia de datos.

En tercer lugar, el estudio comparado de los marcos regulatorios nacionales es esencial para identificar buenas prácticas y para promover la armonización internacional. La diversidad de respuestas institucionales documentada en el estudio —desde la anulación en Rumanía (13) hasta la ausencia de respuesta en Filipinas — evidencia la necesidad de un análisis comparado que identifique los factores que explican la eficacia de las respuestas y que permita la transferencia de conocimiento entre jurisdicciones.

En cuarto lugar, el impacto de la inteligencia artificial generativa en la integridad electoral es una línea de investigación emergente que requiere atención inmediata. La capacidad de generar contenido sintético indistinguible del auténtico plantea desafíos cualitativamente distintos a los de la interferencia basada en metadatos y microsegmentación, y requiere el desarrollo de nuevos marcos conceptuales y de nuevas herramientas de detección y prevención.

En quinto lugar, la dimensión ética y constitucional de la interferencia electoral merece una reflexión más profunda. La tensión entre la libertad de expresión y la protección de la integridad electoral (sección XI) requiere un análisis filosófico y constitucional que vaya más allá de la regulación técnica. La cuestión de si la microsegmentación psicográfica vulnera la dignidad humana y la autonomía del elector, y de si la regulación de los algoritmos de las plataformas es compatible con la libertad de expresión, son cuestiones que exigen un debate ético y constitucional que aún está en sus fases iniciales.

Finalmente, la gobernanza global de la integridad electoral en la era digital es una línea de investigación de largo plazo que aborda la necesidad de crear instituciones internacionales con capacidad para investigar, atribuir y sancionar la interferencia transfronteriza. La Comisión de Venecia ha señalado la necesidad de una autoridad internacional competente (22), pero los obstáculos políticos y técnicos son considerables. La investigación sobre los modelos de gobernanza global, las experiencias de cooperación internacional en otros ámbitos (como el cambio climático o el comercio), y las lecciones de los casos documentados, proporcionará la base para avanzar en esta dirección.

El estudio ha demostrado que la interferencia electoral basada en metadatos y microsegmentación algorítmica no es una amenaza teórica, sino una realidad operativa que ha afectado a procesos electorales en todos los continentes y que ha llevado a la anulación de unas elecciones presidenciales en un Estado miembro de la Unión Europea. La respuesta institucional, aunque en evolución, sigue siendo fragmentaria, reactiva e insuficiente para abordar la escala y la sofisticación del fenómeno. La protección de la integridad electoral en la era digital exige un enfoque integral, basado en la regulación ex ante, el monitoreo in itinere y la sanción ex post, así como en la cooperación internacional y en el fortalecimiento de las capacidades técnicas de las autoridades electorales y judiciales. Las recomendaciones formuladas en el presente estudio ofrecen una hoja de ruta para los legisladores, las autoridades electorales, los órganos judiciales y las plataformas digitales, en la convicción de que la defensa de la democracia representativa frente a la interferencia digital es uno de los desafíos más urgentes de nuestro tiempo.

Bibliografía

(1) Parlamento Europeo, Pregunta parlamentaria P‑001683‑18, de 17 de abril de 2018, sobre "Uso indebido de datos de Facebook por parte de Cambridge Analytica", Diario Oficial de la Unión Europea.

(2) Jiang Xiaoyuan (江晓原), "Cambridge Analytica: El gran escándalo de la manipulación de datos y su funcionamiento interno", Aisixiang, 2018.

(3) New Knowledge, "The Tactics and Tropes of the Internet Research Agency", informe presentado al Comité Selecto de Inteligencia del Senado de los Estados Unidos, 2018.

(4) Parlamento Europeo, Resolución de 25 de octubre de 2018 sobre el uso de los datos de los usuarios de Facebook por parte de Cambridge Analytica y el impacto en la protección de datos (2018/2855(RSP)).

(5) European Youth Portal, "Romania presidential elections annulled over Russian-style TikTok campaign", 2024.

(6) ScienceDirect, artículo académico sobre el caso Rumanía 2024 y el papel de TikTok en la interferencia electoral, 2025.

(7) UK Parliament, Written Evidence — Professor Saul Newman, "Russian disinformation campaigns during the Brexit referendum and the 2019 general election".

(8)(9) [Notas retiradas de la versión original: remitían a dos preguntas parlamentarias ("E‑001567/2026" y "E‑000086/2026") que no ha sido posible localizar en el registro público del Parlamento Europeo ni corroborar por ninguna otra vía, junto con estadísticas sobre Meta en Italia que tampoco han podido verificarse. Los pasajes que se apoyaban en exclusiva en estas notas han sido reescritos o sustituidos por el expediente DSA de la Comisión Europea contra Meta, documentado en las notas (37)-(40). Donde las notas (8)/(9) aparecían como cita redundante junto a otras fuentes ya verificadas (p. ej., los datos de Cambridge Analytica o de Rumanía), se han eliminado sin afectar al resto de la cita.]

(10) The Foreign Policy Centre, "Hybrid interference patterns in Moldova's 2025 parliamentary elections and the role of BlackCore", 2026.

(11) arXiv, "Bots, elections and controversies in Twitter: The case of Brazil's polarized elections", 2023.

(12) Agência Brasil, "PF investiga milícia digital que atuava para desacreditar urnas eletrônicas", 2023.

(13) IJNet (International Journalists' Network), "Fighting disinformation in Nigeria's 2023 elections: The use of metadata to debunk manipulated audio", 2023.

(14) Oversight Board de Meta, Decisión sobre etiquetado de audio manipulado en el contexto electoral de Kurdistán iraquí, 2024.

(15) Columbia Business School, CaseWorks, "Cambridge Analytica and the Use of Psychographics in the 2016 US Elections".

(16) Flinders University / Taylor & Francis, "Digital (Dis)Information Operations: Questioning Cambridge Analytica's actual capacity to manipulate elections", 2025.

(17) Università degli Studi di Padova, Tesis doctoral sobre el caso Cambridge Analytica como arquetipo de desinformación y democracia.

(18) Sage Journals, "Quantifying social media manipulation during the Brexit referendum", 2019.

(19) Oxford Academic / Marco Bastos, "Analysis of 45 million Brexit tweets from a quarter of a million UK users", 2019.

(20) The Conversation, "Internet Research Agency: investigating 3 million tweets from Russian trolls, including case studies on the 2016 election, COVID-19 and Crimea annexation".

(21) Comisión de Venecia (Comisión Europea para la Democracia a través del Derecho), Código de Buenas Prácticas en Materia Electoral, adoptado en 2002 y actualizado.

(22) Comisión de Venecia, Doctrina sobre tecnologías digitales y estado de derecho, dictámenes y estudios 2019‑2025.

(23) Comisión de Venecia, "Guidance Note on cyber threats to elections", 2023.

(24) Convenio sobre la Ciberdelincuencia (Convenio de Budapest), 23 de noviembre de 2001, Consejo de Europa.

(25) Comité del Convenio sobre Ciberdelincuencia (T‑CY), Guidance Note para facilitar la acción de la justicia penal contra la interferencia electoral mediante ordenadores, julio de 2019.

(26) Comisión Europea, Recomendación (UE) 2023/2829, de 12 de diciembre de 2023, sobre medidas para garantizar la integridad de los procesos electorales.

(27) Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD).

(28) Comité Europeo de Protección de Datos (CEPD), Declaración sobre el uso de datos personales durante las campañas electorales, 2019.

(29) OSCE/ODIHR, Informes de misión de observación electoral, 2019‑2025.

(30) The New York Times, "Cambridge Analytica and Facebook: The scandal and the fallout", 2018.

(31) The Observer, "Cambridge Analytica: how data mining helped Trump and Brexit", 2018.

(32) South China Morning Post, "How Cambridge Analytica's parent company helped 'man of action' Rodrigo Duterte win the 2016 Philippines election", 2018.

(33) Cambridge University Press, "Disinformation landscape in the Philippines".

(34) Federal Trade Commission (FTC), "Facebook to pay $5 billion for privacy violations", 2019.

(35) International Foundation for Electoral Systems (IFES), "The Romania 2024 precedent: election annulment due to digital interference".

(36) VIGINUM (organismo gubernamental francés de vigilancia de interferencia digital), Informe sobre el caso Rumanía 2024 y advertencia sobre replicabilidad, 2025.

(37) Comisión Europea, Comunicado de prensa IP/24/2373, "Commission opens formal proceedings against Facebook and Instagram under the Digital Services Act", 30 de abril de 2024.

(38) Comisión Europea, "Commission opens formal proceedings against Meta under the Digital Services Act related to the protection of minors on Facebook and Instagram", Dirección General de Redes de Comunicación, Contenido y Tecnologías (CNECT), 2024‑2025.

(39) Declaraciones de la presidenta de la Comisión Europea, Ursula von der Leyen, con ocasión de la apertura del expediente DSA contra Meta, 30 de abril de 2024, Praga.

(40) Comisión Europea, "Commission preliminarily finds TikTok and Meta in breach of their transparency obligations under the Digital Services Act", 24 de octubre de 2025; Parlamento Europeo, Respuesta a la pregunta parlamentaria E‑000086/2026.

(41) Reglamento (UE) 2024/900 del Parlamento Europeo y del Consejo, de 13 de marzo de 2024, relativo a la transparencia y segmentación de la publicidad política, en vigor desde el 10 de octubre de 2025; sobre la respuesta de las plataformas, EU DisinfoLab, "Malicious semi-compliance as platform approach to EU regulation", 2025.