A los colegios les encantan las buenas fotos, ya sean de una excursión a un castillo, de una entrega de premios de ciencias o de una jornada deportiva capturada desde tres ángulos diferentes. Durante dos décadas, este tipo de imágenes festivas se han publicado directamente en las páginas web de los colegios, acompañadas de un pie de foto con el nombre y el curso del alumno. Pero esos días han quedado atrás, porque estamos en el año 2026 y en Internet ya no podemos disfrutar de las cosas bonitas.
Según informó en primicia The Guardian, los expertos instan ahora a los colegios a retirar esas fotografías. Según la Agencia Nacional contra el Crimen del Reino Unido, la Fundación Internet Watch y un órgano consultivo denominado Grupo de Trabajo de Alerta Temprana (EWWG), los chantajistas han estado recopilando fotos escolares comunes, procesándolas con deepfake basadas en inteligencia artificial para fabricar material de abuso sexual infantil (CSAM) y exigiendo un pago a cambio de mantener las imágenes fuera de la red.
Una escuela, 150 imágenes
A finales del año pasado, unos ciberdelincuentes se pusieron en contacto con un instituto británico cuyo nombre no se ha revelado para plantearle esa exigencia. La IWF clasificó 150 de las imágenes resultantes como material de abuso sexual infantil (CSAM) según la legislación británica y generó huellas digitales para cada una de ellas, con el fin de que las principales plataformas pudieran bloquear su nueva publicación.
La IWF no ha revelado el nombre del centro educativo ni del cuerpo policial, y no cree que se trate de un caso aislado. El EWWG afirma que es «solo cuestión de tiempo» que más centros educativos se enfrenten a exigencias similares.
La ministra británica de Protección Infantil, Jess Phillips, la calificó de «amenaza emergente profundamente preocupante». En febrero de 2025, el Reino Unido se convirtió en el primer país en prohibir las herramientas de inteligencia artificial diseñadas específicamente para generar material de abuso sexual infantil.
Cómo hemos llegado hasta aquí
Esta amenaza no ha surgido de la noche a la mañana, y no se limita al Reino Unido. Se trata de la evolución de una amenaza que viene de lejos: la sextorsión, es decir, cuando alguien utiliza imágenes íntimas para chantajearte. Tradicionalmente, la sextorsión se basaba en imágenes íntimas reales que habían sido robadas o difundidas, pero deepfake lo ha cambiado todo.
El Centro de Denuncias de Delitos en Internet (IC3) del FBI registró más de 16 000 denuncias de sextorsión durante el primer semestre de 2021, con pérdidas que superaron los 8 millones de dólares. En junio de 2023, la agencia advirtió de que la táctica había cambiado: los atacantes estaban utilizando fotos comunes de las redes sociales para crear imágenes explícitas falsas y extorsionar a menores.
La línea de ayuda infantil británica Childline ha observado cambios similares a medida que deepfake se vuelven más accesibles. Ya registra numerosos casos de sextorsión cada año, muchos de ellos de niños a los que se ha manipulado para que compartieran imágenes íntimas de sí mismos. Ahora, la organización está recibiendo llamadas de niños a los que se les envían imágenes deepfake de ellos mismos sin que haya habido ningún contacto previo.
Por ejemplo, a una chica de 15 años le enviaron un desnudo falso «muy convincente» creado a partir de sus Instagram .
En noviembre de 2025, las denuncias presentadas ante la IWF sobre material de abuso sexual infantil generado por IA se habían más que duplicado con respecto al año anterior, pasando de 199 a 426. Las niñas representaban el 94 % de las víctimas. Según la organización, los casos denunciados incluían a niños de edades comprendidas entre recién nacidos y dos años.
El ecosistema en torno a estas herramientas es de carácter industrial. En abril de 2025, un investigador descubrió un depósito de AWS S3 expuesto perteneciente a la aplicación surcoreana «nudify» GenNomis, que contenía 93 485 imágenes generadas por IA junto con las instrucciones que las habían producido.
Lo que se está comunicando a los centros educativos
El EWWG recomienda sustituir las fotos en primer plano en las que se pueda identificar a los alumnos por imágenes tomadas desde lejos, imágenes borrosas o fotos tomadas desde atrás. También aconseja a los centros educativos que eliminen los nombres completos de los pies de foto, revisen las imágenes existentes y pidan a los padres que vuelvan a firmar los formularios de consentimiento.
De hecho, recomienda a los colegios que se replanteen si realmente es necesario publicar fotos de los niños en Internet.
Algunas escuelas ya han tomado medidas. Según The Guardian, la Loughborough Schools Foundation, un grupo de tres colegios privados que comparten una página web, eliminó por completo el año pasado las imágenes en las que se pudiera reconocer a los alumnos.
La Oficina del Comisionado de Información del Reino Unido (ICO) afirma que «en general, seguiría esperándose que se ofreciera a los padres la posibilidad de oponerse» al publicar una foto identificable de un menor, pero señala que esto no equivale jurídicamente a un consentimiento, cuyo umbral es más elevado.
La situación se complica en Estados Unidos, donde los estados suelen tener sus propias leyes sobre la privacidad de los alumnos. Sin embargo, en términos generales, en virtud de la Privacy Derechos Educativos y Privacy de la Familia (FERPA), los centros educativos suelen incluir las fotografías identificativas de los alumnos dentro de la categoría de «información de directorio». Esta categoría también abarca el nombre, la dirección, el número de teléfono, la fecha y el lugar de nacimiento, la participación en actividades y deportes oficialmente reconocidos, y las fechas de asistencia.
En virtud de la FERPA, los centros educativos pueden publicar este tipo de información, a menos que el tutor del menor se oponga expresamente. Deben notificarlo al tutor cuando deseen publicarla, pero es posible que ese procedimiento no se aplique de forma indefinida una vez que el alumno haya abandonado el centro.
Esto significa que las fotos y los datos de los alumnos pueden seguir disponibles en Internet mucho tiempo después de que las familias den por hecho que han desaparecido.
¿Qué pasa después?
En el Reino Unido, el servicio «Report Remove» de Childline permite a los menores denunciar imágenes o vídeos explícitos de sí mismos que se hayan publicado en Internet. El año pasado, el servicio recibió 394 denuncias de chantaje presentadas por menores de 18 años, lo que supone un aumento de un tercio con respecto a 2024.
Mientras tanto, el Gobierno del Reino Unido está modificando el proyecto de ley sobre delincuencia y policía, obligando a las plataformas a retirar las imágenes íntimas que hayan sido señaladas en un plazo de 48 horas o, de lo contrario, se enfrentarán a multas equivalentes al 10 % de sus ingresos globales.
Prevemos una carrera entre los organismos reguladores y los ciberdelincuentes que utilizan la inteligencia artificial. Por el momento, los atacantes aún tienen que buscar las fotos manualmente. La preocupación es que este proceso podría automatizarse pronto, lo que permitiría a los delincuentes recopilar nombres y fotos de las páginas web de los colegios y las redes sociales a gran escala.
Para los padres, la forma más sencilla de proteger a sus hijos puede ser limitar el número de fotos en las que se les pueda identificar que están disponibles en Internet. Esto implica estar atentos no solo a lo que ocurre en el colegio de sus hijos, sino también en sus clubes deportivos, actividades extraescolares y cuentas en redes sociales.
