Política y regulación

Qué significa realmente la "marca de agua de IA" — y por qué es más difícil de lo que parece

Uncutly Editorial · 15 de julio de 2026 · 9 min de lectura

Gráfico oficial de C2PA que muestra una foto con una insignia de Content Credentials y el panel de datos de procedencia que contiene
Gráfico oficial de difusión en redes — c2pa.org

Cuando la Ley de IA de la UE exige que los proveedores marquen el contenido generado en un “formato legible por máquina… detectable como generado artificialmente”, la norma deliberadamente no dice cómo. La ley nombra un requisito, no una tecnología. En la práctica, ese requisito lo cumple un puñado de sistemas técnicos concretos, desarrollados durante años, cada uno con capacidades reales y una forma bien documentada de fallar. Predominan dos enfoques: los estándares de metadatos firmados criptográficamente, como las Content Credentials de C2PA, y las señales invisibles incrustadas directamente en píxeles o texto, como SynthID de Google DeepMind. Entender cómo funciona realmente cada uno —y, más útil aún, cómo falla cada uno— marca la diferencia entre asumir que una etiqueta de “marca de agua” significa algo duradero y saber exactamente qué puede prometer y qué no.

Dos cosas muy distintas se llaman “marca de agua”

El término se usa con ligereza, pero los dos enfoques dominantes resuelven el problema de maneras casi opuestas. Las Content Credentials de C2PA adjuntan un registro firmado —quién creó el contenido, con qué herramienta, qué ediciones ha sufrido desde entonces— como un paquete de datos independiente que viaja junto al archivo. Las marcas de agua estadísticas como SynthID no adjuntan nada aparte; alteran los propios valores de los píxeles, o las probabilidades de selección de tokens, en el momento mismo de la generación, de modo que la “marca” es inseparable del contenido. Una se parece más a un certificado notarial grapado a un documento. La otra se parece más a una firma tejida en las fibras del papel. A ambas se les llama marca de agua. No tienen casi nada más en común, ni siquiera la forma en que fallan.

Cómo se adjunta realmente un Content Credential

C2PA —la Coalition for Content Provenance and Authenticity, respaldada por más de 6.000 organizaciones miembro, entre ellas Adobe, Google, Microsoft, Amazon, Meta, Sony, la BBC, OpenAI y Truepic— define un flujo de trabajo de tres etapas. Un “generador de claim” (software o hardware) reúne un conjunto de afirmaciones sobre el contenido: dispositivo de captura, herramientas de edición usadas, manifiestos previos de los que desciende. Esas afirmaciones se convierten en un “claim”, que se firma con la clave privada del software creador en formato COSE, respaldado por un certificado X.509 emitido por una autoridad de certificación de confianza. El paquete firmado —el manifiesto— se empaqueta en un contenedor JUMBF y se incrusta en el archivo, convirtiéndose, bajo la marca orientada al consumidor, en un Content Credential: ese pequeño icono “cr” que quizá hayas visto en la esquina de una imagen, que abre un panel donde se indica cuándo se creó, qué se editó y quién firmó. Un detalle crucial: la cadena está diseñada para sobrevivir a ediciones legítimas —si una herramienta compatible abre una imagen con credencial, la edita y la vuelve a firmar, el nuevo manifiesto puede hacer referencia al anterior, construyendo un historial auditable en lugar de borrarlo.

Panel de Content Credentials con datos de procedencia —fecha, ediciones y actividad, firmante— sobre una foto a lo largo de varias ediciones

El problema: un manifiesto vive en el archivo, no en la imagen

C2PA ofrece dos formas de vincular un manifiesto a un contenido, y la más fuerte es también la más frágil. Un “hard binding” es un hash criptográfico de los bytes exactos del archivo; cambia un solo byte —recomprimir, redimensionar, volver a guardar en otro formato— y el hash deja de coincidir, por lo que la validación falla. Eso es intencional: busca señalar manipulación. Pero también significa que un manejo rutinario y completamente inocente de un archivo —una plataforma que recodifica una subida para ahorrar ancho de banda, una app que lo vuelve a guardar con menor calidad— puede romper el vínculo con la misma eficacia que una edición malintencionada. Un “soft binding”, derivado de una huella perceptual del contenido en lugar de sus bytes en bruto, es más duradero y puede permitir redescubrir un manifiesto mediante un servicio de búsqueda incluso después de que se elimine la copia incrustada —pero es una garantía más débil, y depende de que esa infraestructura de búsqueda exista y realmente se consulte. Y luego está el modo de fallo que no necesita ninguna herramienta de edición: la captura de pantalla. Una captura de pantalla no copia los bytes de un archivo ni su contenedor JUMBF incrustado —vuelve a renderizar los píxeles a través de la pila gráfica del sistema operativo y captura una imagen completamente nueva, sin ningún rastro de los metadatos del archivo original. Súmale la práctica bien conocida de las grandes plataformas de eliminar por defecto los metadatos EXIF y XMP de los archivos subidos —por razones de privacidad y ancho de banda anteriores a todo este tema—, y una credencial basada en contenedor ya tiene varias formas completamente ordinarias de desaparecer, sin que nadie haya intentado ocultar nada.

Incrustar la señal directamente en el contenido

El segundo enfoque existe precisamente para sobrevivir a lo que hace fallar al primero. SynthID y sistemas comparables incrustan una señal estadística imperceptible directamente en los valores de los píxeles durante la generación de imagen o vídeo, o en las probabilidades de selección de tokens durante la generación de texto —no adjunta nada aparte del contenido, sino que se distribuye a través de él. Como la señal viaja en la propia información visual o textual y no en un contenedor adicional, está diseñada para persistir ante recortes, redimensionamientos, recompresión, conversión de formato y —a diferencia de un manifiesto de metadatos— capturas de pantalla, ya que los píxeles capturados siguen portando la perturbación. La escala del despliegue a mediados de 2026 es real: Google afirma que SynthID ha marcado más de 10.000 millones de contenidos, ahora funciona por defecto en Gemini, Imagen, Veo y Lyria, y desde mayo de 2026 OpenAI se asoció con Google para incrustar SynthID en las imágenes de ChatGPT, DALL·E, Codex y la API de OpenAI, con Kakao y ElevenLabs también sumados, y una expansión hacia Search y Chrome.

Robusto no es lo mismo que irrompible

La contrapartida es que verificar una marca de agua estadística no es una comprobación criptográfica binaria que cualquiera pueda repetir de forma independiente —requiere pasar el contenido por un detector, normalmente propietario y controlado por el proveedor, que informa un nivel de confianza en lugar de una certeza: presente, ausente o incierto. Esa dependencia de un detector de caja negra es una primera debilidad. La segunda es que la propia señal puede atacarse directamente. Se ha demostrado que las marcas de agua textuales como SynthID-Text pueden burlarse mediante parafraseo, con ataques sofisticados que, según se reporta, reducen la precisión de detección hasta niveles cercanos al azar. En imágenes, un ataque de “regeneración por difusión” —codificar la imagen en un espacio latente, inyectar ruido y reconstruirla mediante un paso de difusión inversa— produce un resultado visualmente idéntico para una persona, pero que ya no lleva la señal estadística original; y esto no es un ejercicio teórico: ya existen públicamente herramientas de código abierto mantenidas activamente, diseñadas específicamente para eliminar SynthID, las credenciales C2PA y las etiquetas EXIF/XMP de “hecho con IA” de las imágenes. Debajo de todo esto hay además una tensión técnica inevitable: hacer que una marca de agua sea más resistente a los ataques tiende a degradar visiblemente la calidad de salida, y ningún esquema actual ha resuelto del todo esa tensión —así que los proveedores calibran para una resiliencia razonable frente a un manejo ordinario, no para una resistencia máxima frente a un adversario decidido.

El vacío que ninguno de los dos enfoques puede cerrar

Ambos sistemas comparten una limitación que nada tiene que ver con recortes ni parafraseo: la marca de agua es opcional a nivel de software, y solo marca la salida de un sistema que decidió implementarla. Una herramienta de generación de pesos abiertos ejecutada localmente puede simplemente no incluir el código de marca de agua, y nada en el formato del archivo, en la ley ni en la física de la situación puede hacer aparecer una marca en un contenido en el que un generador nunca la incorporó. Eso juega en ambos sentidos para cualquiera que quiera usar estas marcas como señal de confianza: la ausencia de una credencial o de una marca de agua detectable no prueba que un contenido no se generó con IA, y la presencia de una credencial válida no prueba que el contenido sea exacto, esté autorizado o se muestre en su contexto original —una fotografía real, editada de verdad y firmada correctamente en cada paso, aun así puede inducir a error. Una credencial demuestra una cadena de custodia, no honestidad. El propio Code of Practice de la Oficina de IA de la UE lo reconoce implícitamente al prescribir un enfoque multicapa —metadatos, marca de agua invisible y registro combinados— en lugar de respaldar un único mecanismo, porque quienes redactan las guías técnicas saben que ninguna capa por sí sola cubre todos los modos de fallo.

Entonces, ¿el requisito de etiquetado es realmente aplicable a nivel técnico?

Aquí es donde el panorama técnico conecta con el legal. La obligación de marcado legible por máquina del artículo 50(2) de la Ley de IA de la UE es genuinamente verificable en el origen: un regulador o auditor puede comprobar si un sistema de generación adjunta un manifiesto, una señal invisible, o ambos, en el momento en que se produce el contenido, y los proveedores cumplen ese estándar o no lo cumplen —esa parte de la ley tiene dientes técnicos reales. Lo que la ley no puede hacer es garantizar que la marca siga siendo legible en la copia del contenido que finalmente llega a un espectador, tres reenvíos, dos capturas de pantalla y una recompresión después. Nada en la regulación llega tan lejos porque nada en la tecnología subyacente llega tan lejos, y eso no es un descuido de quienes redactaron la norma —es un reflejo honesto de lo que estos sistemas pueden y no pueden hacer. Eso no vuelve inútil el requisito: un mundo en el que la mayoría del contenido de IA lleva una señal detectable, aunque imperfecta, en el momento de su publicación es un punto de partida notablemente mejor para las plataformas e investigadores que construyen sistemas de detección, comparado con la ausencia casi total de marcado que existía hace apenas unos años. Pero sí significa que la lectura sensata de una etiqueta “con marca de agua” o “etiquetado” no es “esto es rastreable de forma garantizada” —es “esto se marcó al crearse, y si eso sobrevivió hasta llegar a ti es una pregunta aparte que esta tecnología nunca se diseñó para responder con certeza”.

Los detalles regulatorios y técnicos anteriores reflejan información disponible públicamente a mediados de julio de 2026 —verifica las especificaciones y requisitos vigentes antes de tomar decisiones que dependan de ellos. Este artículo es información general, no asesoría legal ni de cumplimiento técnico.