La colaboración con los proveedores de servicios en línea en la lucha contra el terrorismo: una aproximación a la Unidad Nacional para la Eliminación de Contenidos Ilícitos (UNECI)

Silueta de un joven mirando la pantalla de un teléfono móvil en un espacio interior de diseño minimalista. La imagen en blanco y negro muestra un fuerte contraste entre las paredes iluminadas y las sombras.
Un joven observa su teléfono en un espacio interior. Foto: Warren Wong (@wflwong).
Isabella Pirlogea
Isabella Pirlogea
Publicado el 01 Jun 2026 //
Seguridad Internacional

Mensajes clave

  • La detección e identificación de contenidos terroristas en línea en España es llevada a cabo por equipos especializados de análisis y traducción integrados en la Unidad Nacional para la Eliminación de Contenidos Ilícitos (UNECI). La UNECI forma parte de la División de Contraterrorismo del Centro de Inteligencia contra el Terrorismo y el Crimen Organizado (CITCO). Su función principal es la monitorización de fuentes abiertas (OSINT) para detectar, analizar y actuar contra las amenazas relacionadas con el terrorismo y el extremismo violento en el entorno digital.
  • La UNECI desarrolla un enfoque preventivo basado en la generación de inteligencia estratégica y la gestión temprana del riesgo en el entorno digital. La eliminación de contenidos se desarrolla, por tanto, como una actividad preventiva de naturaleza administrativa, no judicial. La colaboración entre la UNECI y los proveedores de alojamiento en línea tiene por objeto fomentar la autoprotección de las plataformas de Internet para reducir la difusión de contenidos dañinos, ilegales y terroristas antes de que generen consecuencias para la sociedad en su conjunto.
  • La comunicación y cooperación con los proveedores de alojamiento en línea sigue el principio de corresponsabilidad promovido a nivel de la UE entre las fuerzas y cuerpos de seguridad y las empresas privadas. La UNECI trabaja con plataformas y proveedores en línea principalmente a través de asociaciones público-privadas basadas en la cooperación voluntaria.

Análisis

Internet se ha convertido en una herramienta indispensable para los grupos terroristas y extremistas violentos. En la UE, la respuesta legislativa al extremismo violento y al terrorismo en las plataformas digitales ha evolucionado a lo largo de la última década desde la autorregulación voluntaria de la industria hacia un marco de corresponsabilidad. Los proveedores de servicios en línea y de alojamiento que ofrecen servicios en la UE deben adoptar de manera proactiva medidas para prevenir, bloquear y eliminar los contenidos terroristas presentes en sus plataformas y servicios. Los proveedores de servicios en línea son intermediarios que permiten a los usuarios acceder e intercambiar contenidos, mientras que los proveedores de alojamiento son aquellos que almacenan y ponen dichos contenidos a disposición técnica del público a través de su infraestructura.

Con este objetivo, la Comisión Europea adoptó en 2021 el Reglamento sobre Contenidos Terroristas en Línea (TCO) (UE 2021/784), que entró en vigor en junio de 2022. El Reglamento TCO obliga a los proveedores de alojamiento a eliminar los contenidos terroristas en el plazo de una hora tras recibir una orden de eliminación de una autoridad nacional competente, y establece un conjunto de obligaciones relativas a la detección proactiva, la conservación de datos y la notificación. En el marco de la misma agenda que persigue una regulación coherente de la gobernanza digital, la Ley de Servicios Digitales (DSA) (UE 2022/2065), aplicable a partir de febrero de 2024, establece un marco integral de responsabilidad, transparencia y moderación de contenidos para los servicios digitales en toda la UE, al tiempo que fija normas que sustituyen a la autorregulación de la industria. Actualiza la Directiva de Comercio Electrónico de 2009 con el objetivo de armonizar las normas aplicables a los servicios digitales, reducir la fragmentación de las legislaciones nacionales y garantizar un entorno en línea seguro y predecible. Además de los contenidos terroristas, las plataformas deben hacer frente a los contenidos ilegales, la desinformación y los riesgos para la sociedad, lo que convierte a la DSA en un marco regulador más completo que el resto.

Los grandes proveedores de servicios y alojamiento y los organismos policiales de los Estados miembros de la UE ya han establecido relaciones de trabajo y estándares de cooperación público-privada para la eliminación y prevención de contenidos terroristas. Sin embargo, esta cooperación varía en toda la Unión. En España, la labor del Centro de Inteligencia contra el Terrorismo y el Crimen Organizado (CITCO) y de su Unidad Nacional para la Eliminación de Contenidos Ilícitos (UNECI) constituye un ejemplo paradigmático de cómo funciona en la práctica el principio de corresponsabilidad en el ámbito de la seguridad para incorporar a las plataformas en línea.

El papel y las responsabilidades del CITCO en la eliminación de contenidos terroristas

La implicación de España en la gobernanza de los contenidos terroristas en línea ha sido moldeada en gran medida por el CITCO, que ha ido construyendo un papel institucional singular en este ámbito a lo largo de la última década. Designado en 2015 como representante de España ante el Foro de Internet de la UE y punto de contacto nacional de la Unidad de Referencia de Internet (IRU) de Europol, el CITCO amplió progresivamente su mandato. En 2019 se convirtió en punto de contacto de España para el Protocolo de Crisis voluntario de la UE, y en 2021 fue formalmente designado como autoridad nacional competente de España en virtud del Reglamento TCO, en vigor desde junio de 2022. Para cumplir con este mandato, el CITCO impulsó la creación de la UNECI, constituida formalmente mediante el Real Decreto 207/2024. En la práctica, la emisión de órdenes de eliminación, la coordinación con las fuerzas policiales y la colaboración con Europol venían siendo funciones operativas desde principios de 2021.

La Unidad Nacional para la Eliminación de Contenidos Ilícitos (UNECI)

La UNECI opera como una unidad integrada en la División de Contraterrorismo del CITCO, con un mandato articulado en torno a la monitorización de fuentes abiertas (OSINT) del entorno digital en busca de contenidos terroristas y de extremismo violento. La Unidad Nacional cumple dos funciones complementarias: (a) la generación de inteligencia, mediante la cual los contenidos detectados en línea alimentan la evaluación estratégica más amplia de la amenaza terrorista realizada por el CITCO; y (b) la eliminación de contenidos, actuando contra el material ilegal vinculado al terrorismo o a los procesos de radicalización a través de los instrumentos jurídicos disponibles, incluidas las referencias voluntarias y las órdenes de eliminación de carácter vinculante, en coordinación con las fuerzas policiales nacionales y socios internacionales como Europol.

En consonancia con el principio de corresponsabilidad, la UNECI colabora directamente con proveedores especializados del sector privado que asisten a la Unidad en la monitorización, el análisis y el seguimiento de los contenidos terroristas e ilegales en línea.

Tres modalidades de cooperación con los proveedores de servicios

En la práctica, la cooperación de la UNECI con las plataformas digitales adopta tres formas distintas, que van desde la interacción cotidiana basada en la confianza hasta los mecanismos de respuesta de emergencia. Cada modalidad refleja un nivel diferente de obligación jurídica y de urgencia operativa, constituyendo en su conjunto un modelo escalonado que privilegia la prevención y la cooperación sobre la imposición regulatoria coercitiva.

Monitorización continua y referencias

La dimensión más habitual del trabajo de la UNECI consiste en la monitorización continua de las plataformas en línea en busca de contenidos ilícitos terroristas y extremistas violentos. La UNECI se relaciona con los proveedores de alojamiento en línea a través de un modelo escalonado que prioriza la cooperación voluntaria sobre la imposición formal: en primera instancia, la UNECI remite peticiones de retirada de contenidos basándose en la cooperación voluntaria en lugar de en la obligación legal. Estos señalamientos se llevan a cabo con frecuencia de forma colectiva a través de los Referral Action Days (RAD) coordinados por Europol, en los que varios Estados miembros y plataformas revisan conjuntamente grandes volúmenes de contenido online. Las órdenes de eliminación de enlaces con propaganda terrorista y extremista tienen, sin embargo, naturaleza administrativa, no judicial.

Cuando las notificaciones voluntarias son ignoradas, la UNECI procede a dictar una orden de eliminación obligatoria en virtud del Reglamento TCO, que las plataformas deben cumplir en el plazo máximo de una hora. La notificación de cumplimiento se tramita a través de la herramienta PERCI de Europol y, en la práctica, se produce en cuestión de minutos. Las órdenes de eliminación implican la obligación de conservar de datos por un período de seis meses, prorrogable a petición de las autoridades competentes. El canal a través del cual se tramitan estas órdenes varía según el tamaño y la presencia legal de la plataforma. Con las grandes plataformas con representación legal en la UE, la UNECI mantiene contacto directo permanente. Estas plataformas están obligadas a designar un punto de contacto o representante legal accesible para las autoridades nacionales competentes, a través del cual reciben las órdenes de eliminación de forma electrónica, también a través de la herramienta PERCI de Europol. Esta herramienta actúa como canal seguro y centralizado para evitar la duplicidad de órdenes entre distintos Estados miembros. Para las plataformas más pequeñas o especializadas que carecen de representación legal en la UE, en particular en el sector de los videojuegos, la UNECI recurre al Proyecto Sirius. Se trata de la plataforma conjunta de Europol y Eurojust que proporciona directrices, bases de datos de contacto y formularios estandarizados para solicitar la conservación y divulgación de datos a proveedores de servicios en contextos transfronterizos.

Amenazas inminentes para la vida

Dentro del ámbito operativo de la eliminación de contenidos existen circunstancias específicas en las que la UNECI también gestiona datos que pueden ser utilizados posteriormente como pruebas electrónicas en una investigación por delitos de terrorismo. Es el caso del artículo 14.5 del Reglamento TCO, en virtud del cual los proveedores de alojamiento en línea están obligados a notificar proactivamente a las autoridades competentes de los Estados miembros de la UE cuando detecten contenidos que supongan una amenaza inminente para la vida. En tales casos, la plataforma está legalmente obligada a conservar esos datos durante seis meses, prorrogables otros seis si se inicia formalmente una investigación policial.

El Protocolo de Crisis de la UE

Cuando se produce un atentado terrorista el CITCO tiene la facultad de activar el Protocolo de Crisis de la UE. Dicho Protocolo es un marco voluntario en virtud del cual los principales proveedores de servicios y alojamiento en línea, entre ellos Meta, Google y Microsoft, se han comprometido a actuar de manera coordinada. En un plazo que habitualmente no supera las 72 horas, el CITCO trabaja con las plataformas a través de un Equipo de Coordinación de Crisis gestionado por Europol para identificar y eliminar los contenidos que glorifiquen el atentado, sirvan de propaganda para la organización responsable del mismo o que resulten ofensivos para las víctimas, al tiempo que se preservan los datos para un posible uso judicial a posteriori. La cooperación de las plataformas con las agencias de seguridad se basa en la confianza previamente fomentada, y no meramente en la imposición legal. La intervención del CITCO concluye en este punto, previo al inicio de las investigaciones penales, que son responsabilidad exclusiva de las autoridades judiciales y policiales del país afectado.

La cooperación voluntaria como modus operandi

La trayectoria de España en el marco del Reglamento TCO demuestra que la cooperación voluntaria supera en eficacia a al modelo de coerción legal. Desde la entrada en vigor del Reglamento TCO, la UNECI ha emitido más de 100 órdenes de eliminación de contenido pernicioso; sin embargo, la mayor parte de su relación con las plataformas adopta la forma de señalamientos voluntarios. Línea de actuación que se ha consolidado con el tiempo. Por ejemplo, en 2024 la UNECI emitió por primera vez más señalamientos autónomos, por iniciativa propia de un Estado miembro, que las realizadas a través de los Referral Action Days coordinados por Europol, lo que refleja una creciente confianza bilateral entre las instituciones de seguridad y las plataformas. Estas mismas plataformas eliminan proactivamente más del 60% de los contenidos terroristas señalados, una capacidad que la UNECI fomenta activamente compartiendo inteligencia y conocimientos analíticos con los equipos de moderación de las plataformas.

Las órdenes de eliminación formales, de las cuales España emitió más de 60 en 2023, representando casi el 60% del total de órdenes emitidas en la UE ese año, siguen siendo la opción secundaria, empleada cuando se han agotado los canales de cooperación ordinarios establecidos. La tendencia en la actualidad apunta hacia una institucionalización cada vez más profunda de la relación entre la UNECI y las plataformas. funcionando progresivamente como socios y aliados en la detección temprana de riesgos, y no simplemente como regulador y actor regulado.

Prueba electrónica, eliminación de contenidos y contraterrorismo

El informe de aplicación del TCO de la Comisión Europea, publicado en febrero de 2024, reconoce que la eliminación de contenidos está funcionando, pero señala que los datos acumulados y conservados mediante dicho proceso raramente se aprovechan de forma sistemática para informar los procedimientos penales. La salvaguardia de datos por parte de los proveedores de servicios y alojamiento en la UE ha sido objeto de un largo debate y de una extensa jurisprudencia del Tribunal de Justicia de la Unión Europea (TJUE). El Tribunal ha ido restringiendo progresivamente las condiciones en las que se puede exigir a los proveedores de servicios que conserven datos de tráfico y de localización, incluso con fines de lucha contra el terrorismo. Esto ha suscitado críticas por parte de los organismos policiales de toda la Unión, que encuentran dificultades para llevar a cabo investigaciones sin normas claras sobre retención y conservación de datos.

En este contexto, en 2023 se adoptó un nuevo marco legislativo para armonizar la conservación y transferencia de pruebas procedentes de los proveedores de alojamiento en los asuntos penales de la UE. El Reglamento de Prueba Electrónica, aplicable a partir del 18 de agosto de 2026, introduce dos nuevos instrumentos en materia de acceso transfronterizo a pruebas electrónicas: la Orden Europea de Producción y la Orden Europea de Conservación, que permiten a las autoridades policiales solicitar directamente a los proveedores de servicios pruebas electrónicas transfronterizas, prescindiendo por completo de los cauces de asistencia judicial mutua. La Directiva que acompañaba al Reglamento, y que exigía a los Estados miembros adaptar su legislación procesal nacional, tenía un plazo de transposición hasta el 18 de febrero de 2026.

Todavía es incierto cómo habrá transpuesto España la Directiva sobre Prueba Electrónica dentro del plazo. El país tiene un historial documentado de retrasos en la transposición en el ámbito de la justicia y los asuntos de Interior, habiendo sido previamente multado por el TJUE en 2021 por no haber transpuesto la Directiva 2016/680 sobre protección de datos en el ámbito policial, y estando actualmente sometido a procedimientos de infracción por la transposición tardía de la Directiva NIS2. Queda por ver si los fiscales dispondrán de un nuevo instrumento europeo a partir de agosto de 2026 sin contar con un marco nacional a través del cual aplicarlo.

Conclusión

España ha construido uno de los marcos de contraterrorismo en línea operativamente más activos de la UE. Sin embargo, el entorno en el que se desarrolla esa cooperación está cambiando. Las plataformas con las que España colabora están sujetas actualmente a un conjunto expansivo y superpuesto de obligaciones regulatorias de la UE (del RGPD, la DSA, la DMA, la Ley de Inteligencia Artificial y la NIS2), que están reconfigurando la forma en que los actores privados se relacionan con las autoridades públicas en todos los ámbitos. El Reglamento de Prueba Electrónica entra en vigor en agosto de 2026, el Protocolo de Crisis de la UE está adquiriendo una base jurídica vinculante, y las normas de retención de datos siguen sin estar definidas. La lucha contra el terrorismo en línea ha dejado de ser un desafío puramente técnico u operativo para convertirse también en un desafío jurídico e institucional. La manera en que España afronte esta próxima fase dirá tanto de su capacidad legislativa como de su experiencia en materia de contraterrorismo.