← Cuadernos Lacre

Análise · 20 de maio de 2026

Kill switch e a captura institucional

Unha promesa de protección que retén a posibilidade de retirala. Cando o interruptor existe, alguén acaba preméndoo.

A promesa que se sostén sobre a posibilidade de retirala

En 2017, durante o furacán Irma, varios propietarios de Tesla en Florida descubriron que o seu coche, ao recibir unha actualización remota do fabricante, gañaba de súpeto quilómetros adicionais de autonomía. Non pagaran por eles. A batería sempre puidera entregalos; o fabricante decidira, a fin de segmentar o mercado, non llo permitir ao cliente. Durante a emerxencia, Tesla activou a capacidade completa de forma temporal. Pasada a emerxencia, desactivouna.

O que a noticia describía como un xesto de xenerosidade era, lido amodo, outra cousa. O propietario nunca fora dono do produto enteiro que pagou. El fabricante retén unha capacidade técnica —ampliar ou reducir prestacións a distancia— e elixiu exercela a favor do cliente nese caso concreto. Podería ter elixido o contrario. A historia no conta un acto de bondade; conta unha arquitectura de poder.

Este artigo ocúpase desa arquitectura. Chamámola, por convención do sector, kill switch: o interruptor remoto que permite ao operador desactivar, modificar o retirar capacidades dun produto, un servizo ou un dispositivo que o usuario xa cría seu. A pregunta non é se o operador é honesto. A pregunta é que pasa cando deixa de selo, ou cando alguén o obriga a usar o interruptor noutra dirección.

Que é exactamente un kill switch

O termo vén do inglés e tradúcese con dificultade: interruptor de morte resulta dramático; interruptor remoto resulta neutro de máis. O que define ao kill switch non é o dramatismo, senón unha propiedade sinxela: a capacidade técnica de desactivar algo a distancia, en mans de quen non é o usuario que o utiliza. Pode ser un peche completo —o coche que non arranca, o arquivo que se borra, a conta que queda suspendida— ou un peche parcial —a función que desaparece, a batería que perde alcance, a subscrición que se interrompe.

Non todo control remoto é un kill switch. Unha actualización de seguridade rutinaria, autorizada polo usuario ao instalar o produto, non o é. Tampouco o é un sistema antirroubo activable polo propietario mesmo cando lle rouban o teléfono. O kill switch, en sentido propio, ten tres trazos: o seu uso é decisión do operador, non do usuario; non require consentimento puntual do afectado para activarse; e exércese sobre un producto ou servizo que o usuario consideraba xa seu en sentido pleno.

A galería europea de interruptores en activo

Tesla repite o patrón con frecuencia, no seu caso de forma documentada: degradacións contractuais de autonomía aplicadas a vehículos de segunda man que cambiaron de dono, retiradas de funcións de condución asistida tras revocación de licenza, modificacións unilaterais do comportamento do producto entre versións de firmware. John Deere leva anos no centro do debate europeo e estadounidense sobre dereito a reparar: a compra do tractor inclúe unha capa de software cuxa servizo depende da rede oficial do fabricante; cando esa rede nega a alta, o tractor reduce funcións esenciais. BMW ofreceu en 2022 unha subscrición mensual para activar a calefacción de asentos en coches que xa a traían instalada fisicamente; a presión pública obrigou a retirar o modelo, pero a capacidade técnica permanece.

No plano do software, o patrón é estrutural. Adobe Creative Cloud revoca licenzas mensuais cando a subscrición non se renova, deixando inutilizables arquivos que o usuario creou con esas ferramentas. Microsoft pode desactivar copias de Windows que considera non xenuínas, sen recurso práctico. Google retira aplicacións do Play Store cumprindo ordes xudiciais ou decisións internas; a aplicación desinstalada desinstálase tamén dos teléfonos onde estaba. Apple Pay desactivouse en Rusia en marzo de 2022 ao cumprir Apple as sancións internacionais: lexítimo no contexto, pero o procedemento estaba sempre dispoñible.

O argumento lexítimo do lado do fabricante

Quen deseña un destes sistemas adoita ofrecer argumentos perfectamente válidos:

  1. Prevención do roubo. Se me rouban o coche ou o teléfono, agradezo que o fabricante poida inutilizalo a distancia.
  2. Prevención do fraude. As subscricións impagadas requiren un mecanismo de corte; sen ese mecanismo, o modelo de negocio desprómbase.
  3. Prevención do uso indebido. Unha ferramenta perigosa en mans equivocadas pode beneficiarse de poder revogarse.
  4. Cumprimento normativo. Certas ordes legais obrigan ao operador a retirar contido, deshabilitar funcións o suspender contas, e un sistema sen interruptor é un sistema que non pode cumprilas.

Os catro argumentos son certos. Ningún cambia a natureza do asunto. É certo que un kill switch facilita a prevención do roubo; tamén é certo que esa mesma capacidade serve para coaccionar ao cliente vivo, non só para prexudicar ao ladrón. É certo que o modelo de subscrición necesita un corte; tamén é certo que o corte pode executarse mañá sobre un cliente actual por unha razón distinta da prevista no contrato. A cuestión no é se o kill switch ten usos lexítimos. A cuestión é que, unha vez existe, os seus usos non se limitan aos previstos na documentación inicial.

A captura institucional

Aquí entra o concepto que dá título ao artigo. A captura institucional é a situación na que un actor —unha empresa privada, unha administración, un organismo regulador— acaba exercendo capacidades que adquiriu ou se lle concederon para fins limitados con fins máis amplos, distintos, ou francamente opostos aos orixinais. A economía política coñece o fenómeno desde hai décadas na regulación financeira. A industria tecnolóxica estao descubrindo da súa propia man.

O mecanismo é o seguinte. A empresa deseña o kill switch para fins lexítimos: antirroubo, xestión de subscrición, cumprimento. A empresa documenta eses fins nas súas condicións de uso, na súa política de privacidade, nas súas mensaxes públicas. Pasan os anos. Un Goberno emite unha orde baixo unha lexislación nova; a empresa vese obrigada a usar o interruptor nunha dirección non descrita na súa documentación orixinal. Un accionista activista entra ao consello e modifica a política comercial; os interruptores existen, e aplícanse segundo a nova política. A empresa é adquirida por outra maior; os termos do servizo reescríbense unilateralmente con notificación de trinta días. En cada caso, o cliente que confiou no interruptor para os fins documentados atópase con que o interruptor segue aí, pero responde a outros intereses.

O caso paradigmático para o lector europeo: o caso Apple contra o FBI en San Bernardino, en 2016. Tras un atentado en California, o FBI esixiu a Apple desbloquear un iPhone do autor. Apple negouse, sostendo en parte argumentos de principio e en parte un argumento técnico: o sistema, tal e como estaba deseñado, non permitía á propia empresa desbloquear o dispositivo sen reescribir o software base. A defensa máis sólida non foi moral; foi arquitectónica. Apple non se sostivo sobre a promesa de non apertar o interruptor; sostívose sobre a ausencia do interruptor. Outras empresas, con interruptores presentes na súa arquitectura, non puideron soster a mesma posición ante presións equivalentes.

A traxectoria normativa europea

O dereito europeo, na última lexislatura, foi empuxando cara a máis capacidades de control remoto, non menos. O Regulamento de Servizos Dixitais (DSA), plenamente aplicable desde febreiro de 2024, obriga ás plataformas a habilitar mecanismos rápidos de retirada de contido baixo orde de autoridade competente; mecanismos que non existirían sen a capacidade técnica subxacente. O Regulamento de Intelixencia Artificial (AI Act), en vigor escalonadamente desde agosto de 2024, esixe aos provedores de certos sistemas de IA de alto risco dispor de medidas que permitan a súa desactivación ou supervisión humana significativa: unha forma normativa de kill switch obrigatorio. O Regulamento de Mercados Dixitais (DMA) introduce, en cambio, obrigas de interoperabilidade: unha corrente oposta que limita os efectos de bloqueo.

Para o profesional europeo, a lectura honesta é a seguinte: a pregunta «o operador pode desactivar este servizo para min?» ten cada ano máis respostas afirmativas por esixencia legal, non menos. Isto non cuestiona a lexitimidade da normativa —o DSA responde a problemas reais—, pero si reforza unha cousa: confiar en que o operador non vaia usar o interruptor esixe confiar, ademais, en que ningunha obriga legal futura o obrigará a usalo nunha dirección que hoxe non se contempla. É unha confianza que non descansa só sobre a empresa; descansa sobre o contorno normativo enteiro.

A pregunta de deseño que poucas veces se formula

A maioría do deseño técnico contemporáneo asume que o interruptor existirá e promete a continuación non abusar del. Existe unha alternativa, máis esixente pero perfectamente factible: deseñar asumindo que o interruptor non debe existir. Non é un eslogan. Implica decisións concretas: arquitectura distribuída fronte a centralizada, dereitos no dispositivo do usuario fronte a derivados da conta, contido cifrado con claves que o operador non ten fronte a contido cifrado con claves que o operador conserva, identidade criptográfica do usuario fronte a identidade xestionada polo operador. Cada unha destas decisións ten un custo técnico real e consecuencias comerciais reais. Pero todas comparten unha propiedade: unha vez tomadas, eliminan certas ordes legais como obxecto posible. O que non se pode executar non se pode ordenar executar.

Para o lector profesional

Cinco preguntas que convén facer ao provedor de calquera servizo profesional crítico antes de adoptalo, formuladas na orde en que un inspector de continuidade de negocio as plantexaría:

  1. Existe capacidade técnica do provedor para suspender, bloquear, eliminar o degradar o meu servizo, datos ou produto a distancia?
  2. En que supostos contractualmente declarados pode o provedor exercer esa capacidade?
  3. En que supostos non declarados —orde xudicial, sanción internacional, cambio de política unilateral, adquisición corporativa— pode exercela tamén?
  4. Se se exerce, que tempo de continuidade da actividade profesional teño, e que plan de saída está dispoñible?
  5. Existe unha alternativa arquitectónica onde a pregunta un teña resposta «non» por construción, non por promesa?

Non sempre a resposta á pregunta cinco está dispoñible ou resulta proporcionada. Unha folla de cálculo persoal probablemente non merece esa esixencia. Un expediente xurídico activo, unha historia clínica dun paciente, unha contabilidade fiscal, unha conversa deontoloxicamente protexida, si. A proporcionalidade é unha decisión profesional; a lectura honesta da pregunta un non o é: ou o interruptor existe, ou non existe.

A protección que retén a posibilidade de retirarse non é protección estrutural; é confianza renomeada. A confianza, dino noutro Caderno, é unha solución social válida cando se concede a quen a merece, fráxil ante o primeiro cambio de mans. A defensa estructural máis limpa é a que non se pode retirar porque non existe en primeiro lugar. Como con todo en arquitectura: unha elección de deseño, non unha decisión de márketing.

Fontes e lectura adicional

  • Tesla — actualización de setembro de 2017 ampliando temporalmente a autonomía de baterías de modelos S e X en Florida durante o furacán Irma. Caso amplamente documentado en prensa especializada e reportes posteriores sobre revogacións contractuais de autonomía.
  • Regulamento (UE) 2022/2065 de Servizos Dixitais (DSA) — aplicable plenamente desde o 17 de febreiro de 2024. Artigos 16 e 9, sobre mecanismos de notificación e acción e ordes das autoridades competentes.
  • Regulamento (UE) 2024/1689 de Intelixencia Artificial (AI Act) — en vigor desde o 1 de agosto de 2024, aplicación graduada ata agosto de 2026. Artigos sobre supervisión humana e medidas de mitigación obrigatorias para sistemas de alto risco.
  • United States District Court — Apple, Inc. (16 de febreiro de 2016). Documentación do caso coñecido como San Bernardino sobre acceso a iPhone en investigación penal.
  • U.S. Federal Trade Commission — memorandos sobre dereito a reparar (2021-2024) con referencias específicas a John Deere e ao sector agrícola; complementado pola Directiva (UE) 2024/1799 sobre a promoción da reparación de bens.

Lecturas recentes