- Advertisement -spot_img

La UE ordena a Google que abra el micrófono, la cámara y la pantalla de Android a los asistentes de inteligencia artificial rivales

El jueves, la Comisión Europea ordenó a Google que diera a los asistentes de inteligencia artificial rivales el mismo alcance en Android que Gemini ya tiene: la cámara, el micrófono, lo que sea que esté en la pantalla, una palabra de activación que se activa con la pantalla apagada y la capacidad de controlar otras aplicaciones en segundo plano imitando toques y tecleos.

Google debe enviarlo en la próxima versión importante, Android 18, y a más tardar el 1 de agosto de 2027.

Esta es una de las dos decisiones de especificación vinculantes adoptadas el 16 de julio en virtud de la Ley de Mercados Digitales, seis meses después de que la Comisión abriera el procedimiento el 27 de enero.

El segundo hace que Google entregue consultas de búsqueda, clics y datos de clasificación anónimos a motores de búsqueda rivales y a chatbots de inteligencia artificial que realizan búsquedas, por una tarifa basada en el costo. Tampoco lo es una multa.

Los procedimientos de especificación sólo dicen lo que tiene que construir un guardián; El poder separado de la Comisión para abrir un caso de incumplimiento, incluidas las multas, permanece intacto. Android es utilizado por alrededor del 60% de los usuarios de móviles europeos.

Cinco características cerradas, seis no

La decisión de Android cubre 11 características del sistema operativo. Google puede exigir una certificación antes de que una aplicación toque cinco de ellos, lo que las medidas publicadas denominan funciones restringidas:

  • Acceso centralizado a las aplicaciones de datos en el dispositivo y opte por compartir, hoy AppSearch.
  • Inteligencia sensible al contexto, la maquinaria siempre activa detrás de sugerencias proactivas como Magic Cue.
  • Integración estructurada en el dispositivo, es decir, acciones de aplicación y funciones de aplicación.
  • Automatización de pantalla, que Android implementa como Control por Computador.
  • Integración del sistema: configuración, medios, capturas de pantalla, notificaciones y energía.

El párrafo 55 detalla el tercero y apunta directamente a las propias aplicaciones de Google. Un asistente certificado puede recuperar y redactar Gmail, crear y administrar eventos de Calendario, extraer contenido de Drive y Docs, activar la navegación de Maps, controlar la reproducción de YouTube y consultar el historial de reproducciones, leer y escribir SMS, MMS y RCS en Mensajes, y realizar llamadas telefónicas.

Los otros seis no tienen ningún requisito de certificación: datos ambientales, detección de palabras activas siempre activas, invocación de pulsación larga, modelos en el dispositivo a nivel de sistema, implementación de modelos de terceros y ejecución en segundo plano.

El párrafo 119 los abre a todos los terceros, incluidas las aplicaciones instaladas por el usuario, y prohíbe a Google restringir el tipo o caso de uso de la aplicación que los llama.

Los datos ambientales significan entrada de micrófono, audio del sistema, cámara, contenido de la pantalla, ubicación y sensores como el acelerómetro, de forma continua y en segundo plano, bajo las mismas indicaciones de consentimiento que obtienen los propios servicios de inteligencia artificial de Google.

Esas indicaciones son las más ligeras: el resumen del caso de la Comisión señala que los servicios propios de Google llegan a los sensores hoy con procesos de consentimiento e indicadores de privacidad reducidos, mientras que los terceros obtienen el consentimiento en tiempo de ejecución por uso.

LEER  Por qué sus herramientas de seguridad de IA son tan fuertes como los datos que los alimenta

La detección de palabras activas utiliza el DSP de bajo consumo, por lo que sobrevive a una pantalla bloqueada y al ahorro de batería, y puede seguir grabando hasta que el usuario finalice la solicitud. Éste sólo llega a los teléfonos que ya llevan el chip. Permitir que varios asistentes escuchen a la vez llega a Android 19 y 1 de agosto de 2028.

El consentimiento aún lo controla todo, y Google aún puede exigir el aislamiento y el cifrado del proceso. Lo que no puede hacer, para estos seis, es decidir quién puede preguntar. Si quiere que el sensor se alimente sin procesar detrás de una puerta, las medidas le dejan una ruta: presentar una solicitud razonada que demuestre una buena causa y la Comisión puede mover la función a la lista restringida.

El programa que Google tiene que escribir

Para los cinco cerrados, Google tiene que establecer un programa de asistentes de IA calificados, permitir que autoridades de certificación confiables de terceros certifiquen a los asistentes de forma gratuita, aceptar esas certificaciones sin imponer condiciones y nunca revocarlas.

También redacta los términos del programa TCA y decide quién es aprobado como certificador, en términos que tienen que ser razonables y no discriminatorios, y que tiene que aprobar con la Comisión dos meses antes de cambiar. Por lo tanto, no puede revocar la certificación de un asistente por parte de una TCA. Puede revocar la TCA.

La barra en sí está tapada. Google puede probar si un asistente reconfirma la intención del usuario antes de acciones sensibles o irreversibles, si minimiza la divulgación involuntaria de datos, si borra la seguridad básica de la aplicación móvil y si está reforzado contra riesgos de agencia que anularían la intención del usuario.

Las medidas ofrecen insumos, cadena de suministro, integración, integridad del modelo e infraestructura como ejemplos de ellas. Cualquier cosa pasada necesita primero a la Comisión, y las mismas condiciones obligan a Géminis.

La suspensión es limitada: Google necesita un conjunto consistente de evidencia de prácticas que causan daños severos e inmediatos, y tiene que entregar esa evidencia a la Comisión y a las autoridades de certificación. Las apelaciones obtienen una respuesta en el plazo de un mes. También hay una puerta alrededor de la puerta.

El párrafo 135 obliga a Google a permitir que los usuarios den su consentimiento para eludir el requisito de certificación, por servicio, por dispositivo, sin enterrar el interruptor detrás del modo desarrollador.

Los términos preliminares vencen el 1 de febrero de 2027, los términos finales y las solicitudes abiertas el 1 de mayo de 2027.

Si envías una aplicación de Android

Para agosto de 2027, un asistente certificado, o uno no certificado al que el usuario saludó, podrá abrir su aplicación en una pantalla virtual, leer su pantalla y hacer clic en ella mientras el usuario hace otra cosa.

LEER  Los piratas informáticos explotan el día cero de SharePoint desde el 7 de julio para robar claves, mantener un acceso persistente

La lista de funciones de la función incluye permitir que una aplicación controlada bloquee vistas confidenciales de la aplicación controladora. Conecte esa decisión antes de la versión beta de Android 18.

Existen otras dos salidas solo si Google decide crearlas: bloquear la automatización en partes de su aplicación y mantener el contexto de su aplicación alejado de los componentes de sugerencias proactivas. La decisión permite ambas cosas. No requiere ninguna de las dos cosas.

El conjunto de datos de búsqueda

El método de anonimización se publica y se ejecuta en tres pasadas. Elimine los identificadores directos y los atributos que permiten que los registros se vuelvan a unir: nombres de usuario, direcciones IP, marcas de tiempo precisas, formato de entrada.

Suprima cualquier registro cuya consulta contenga términos raros como nombres completos, contraseñas, direcciones postales o números de cuentas bancarias, o que sean inusualmente largos. Luego generalice los metadatos hasta que cada usuario se ubique en un grupo de al menos 1000 personas que compartan ubicación, tipo de dispositivo e idioma de consulta, y el 95 % llegue a grupos de 29 000 o más.

Los contratos incluyen el resto: procesamiento protegido, sin vinculación a otros conjuntos de datos, sin divulgación posterior, sin intentos de reidentificación, una auditoría independiente antes del acceso y anualmente después.

Los destinatarios necesitan 50.000 usuarios mensuales promedio de la UE durante el año pasado, no pueden ser sancionados y no pueden ser controlados por un país que la UE trata como un riesgo grave y estructural de ciberseguridad o protección de datos. Los datos llegan con al menos siete días de retraso y se cortan después de cinco años por beneficiario. Google también puede evaluar, antes de compartir algo, si un destinatario específico presenta riesgos graves de seguridad cibernética y protección de datos.

El tiempo aquí es corto: formulario de elegibilidad y una página web del beneficiario para fines de agosto, conjunto de datos terminado para noviembre, fijación de precios para enero de 2027.

La objeción de Google

Kent Walker, presidente de asuntos globales de Google, dijo que la decisión de Android “amenaza la seguridad del dispositivo al otorgar permisos de dispositivo potentes y sensibles a aplicaciones externas”. Dijo que los fabricantes de teléfonos examinan a los asistentes hoy en día y que la decisión elimina esa protección.

En la mitad de la Búsqueda, su posición es que la anonimización no es lo suficientemente buena, que no se pregunta a los usuarios y que las consecuencias afectan a los secretos comerciales y la seguridad nacional. Citó a ENISA, la agencia de ciberseguridad de la UE, que escribió este mes que “los fundamentos de seguridad importan más que nunca en la era de la IA”.

Ese documento de ENISA trata sobre modelos de frontera que reducen la ventana entre el descubrimiento y la explotación de vulnerabilidades hacia cero. No menciona Android, interoperabilidad o permisos de aplicaciones.

La objeción no es imaginaria. Géminis es la prueba. La lista de contexto digital de la decisión ofrece notificaciones, SMS, contenidos de pantalla y capturas de pantalla de asistentes de terceros. El contenido de la notificación es el canal que SafeBreach utilizó para secuestrar el propio agente de utilidades de Android de Gemini mediante inyección indirecta, sin necesidad de ninguna aplicación maliciosa en el dispositivo.

LEER  La televisión estatal de Irán secuestró a la mitad de la transmisión en medio de tensiones geopolíticas; $ 90 millones robado en Crypto Heist

Google mitigó ese problema en el lado del servidor en noviembre de 2025, antes de que SafeBreach se publicara el mes pasado. El riesgo de insumos es ahora una de las cosas contra las que debe prepararse un candidato a asistente. Google escribe la prueba.

Lo que decía el borrador de abril

Las salvaguardias que Walker dice que faltan son las que llegaron después de que Google se quejara. El proyecto de medidas de la Comisión del 27 de abril no tiene características restringidas, ni un programa de asistente cualificado de IA ni autoridades de certificación.

El borrador del párrafo 134 prohibía a Google restringir quién se beneficia y permitía un proceso de verificación solo si estaba dirigido por terceros neutrales e independientes y se aplicaba únicamente en Play Store. La final permite a Google certificar a los solicitantes.

Las cláusulas de integridad del borrador prohibían límites a los propósitos, beneficiarios, aplicaciones, tecnologías y casos de uso; los pernos finales “a menos que se especifique lo contrario en este Anexo” en cada uno. El borrador de la Búsqueda era aún más flexible: sin umbral de usuarios, sin requisitos de capital, sin exclusión de riesgo país y un grupo mínimo de metadatos de 50 en lugar de 1.000.

Los plazos avanzaron en la misma dirección. La mayoría de las funciones de Android debían entregarse el 1 de enero de 2027 en el borrador. Aterrizan el 1 de agosto de 2027 en la decisión. Las palabras clave concurrentes van desde esa misma fecha de enero hasta agosto de 2028. La Comisión dice que las medidas finales tienen debidamente en cuenta lo que Google y terceros presentaron durante la consulta, y la diferencia muestra lo que se compró.

Lo que Google no consiguió es discreción. Las medidas de integridad deben ser estrictamente necesarias, justificadas por evidencia objetiva que debe conservar, verificables por alguien que no sea Google y aplicadas de manera idéntica a sus propios servicios.

No puede imponer “a terceros un nivel de integridad superior al que se aplica a sí mismo”. Debe avisar a la Comisión con cuatro semanas de antelación antes de aplicarla. La única forma de evitarlo es un cambio que no esté orientado al usuario, sea puramente técnico, idéntico para Google y todos los demás, e inofensivo para terceros. Los cuatro, o aviso.

Así pues, la lucha se traslada al 1 de febrero de 2027, cuando el borrador del programa condicione las tierras. Google pasó la primavera argumentando que los asistentes no certificados no deberían tener estos permisos y ganó un régimen de certificación que no existía en abril. Ahora tiene que escribirlo, en público, y una vez que conoce la definición, se le lee directamente a Géminis.

- Advertisement -spot_img

LEAVE A REPLY

Please enter your comment!
Please enter your name here

Últimos artículos

Bienvenido a ‘La Odisea del verano’: visite estos lugares para disfrutar...

“La Odisea”, la adaptación de Christopher Nolan del poema épico de Homero, ha llegado a la gran...

Noticias relacionadas

- Advertisement -spot_img