Europol aspira a convertirse en una fuerza policial poderosa con amplios poderes de vigilancia. Pero en su intento por dar resultados en la lucha contra la delincuencia transfronteriza grave, la agencia parece haberse descontrolado a sí misma, revela esta investigación.
Europol, la agencia policial de la Unión Europea, construyó y operó un sistema paralelo de análisis de datos que contenía enormes cantidades de información personal sensible, utilizándolo durante años más allá de su ámbito legal mientras mantenía ocultas partes del mismo, según documentos internos y testimonios de denunciantes.
Descrito por exfuncionarios como un "entorno informático en la sombra", el sistema funcionaba como una serie de plataformas que operaban en paralelo a las bases de datos oficiales de la agencia. Permitía al personal de Europol acceder y analizar datos altamente sensibles, como registros telefónicos, documentos de identidad, información financiera y de geolocalización, incluso de personas no sospechosas de haber cometido un delito.
Esta investigación de Solomon, CORRECTIV y Computer Weekly —basada en correos electrónicos filtrados, informes internos obtenidos mediante solicitudes de acceso a la información (FOI) y testimonios de exfuncionarios— descubrió que el sistema operó durante años sin las salvaguardas básicas de seguridad y protección de datos exigidas por la legislación de la UE.
En la práctica, se convirtió en el entorno principal de la agencia para el análisis de delitos a gran escala, a pesar de carecer de controles adecuados sobre quién accedía o modificaba los datos. Los expertos señalan que esto dejó a personas inocentes vulnerables a ser vinculadas erróneamente con actividades delictivas, con posibles consecuencias para su vida personal y familiar, su libertad de movimiento y sus carreras profesionales.
Por primera vez en la historia de la agencia, varios exaltos cargos han dado un paso al frente para revelar que elementos de este entorno en la sombra —incluida una herramienta de inteligencia clandestina conocida internamente como la "Olla a Presión"— parecen haber sido ocultados durante años al máximo órgano de control de privacidad de la UE, el Supervisor Europeo de Protección de Datos (SEPD). El sistema podría seguir en uso hoy en día.
"Protegen la ley mientras la violan", declaró un exalto cargo. Al igual que otros antiguos miembros internos, la fuente concedió una entrevista para esta investigación bajo condición de anonimato. Su identidad ha sido verificada por el equipo de investigación.
Los hallazgos se producen en un momento crucial: la Comisión Europea se prepara para proponer una nueva legislación que ampliaría el mandato de Europol y duplicaría su presupuesto anual, aumentando significativamente su capacidad para acumular y procesar datos en todo el bloque. Al mismo tiempo, este año se nombrará a un nuevo director ejecutivo, en sustitución de Catherine De Bolle, cuyo mandato finalizó el 1 de mayo.
En respuesta a esta investigación, un portavoz de Europol declaró: "Europol ha informado al SEPD sobre sus sistemas y aplicaciones de procesamiento de datos operativos de manera transparente. La afirmación de que Europol 'mantuvo oculta' información sobre entornos o sistemas de procesamiento es una tergiversación de los hechos."
Un "entorno informático en la sombra"
En el centro de las cuestionables prácticas de datos de la agencia se encontraba un sistema conocido como la Red Forense Informática, o CFN por sus siglas en inglés: un entorno que albergaba enormes cantidades de información personal sensible.
Según Europol, el sistema se creó en 2012 para procesar datos operativos complejos vinculados a las investigaciones que respaldaba. Su finalidad era proporcionar un entorno "seguro y compartimentado" para procesar información que no podía ser gestionada en sus sistemas existentes, debido a su volumen, formato o posibles riesgos de seguridad, incluidos malware procedente de dispositivos digitales.
En 2019, la CFN contenía al menos dos petabytes de datos, casi 420 veces más que las bases de datos oficiales de delincuencia de Europol en ese momento.
Según la legislación de la UE, los datos personales sensibles –ya sean proporcionados por los Estados miembros, recopilados durante investigaciones transfronterizas o transferidos por plataformas en línea como Facebook o Telegram– están sujetos a normas estrictas que regulan cómo pueden almacenarse, accederse y analizarse. Pero los documentos internos y los testimonios de testigos indican que, en este caso, esas salvaguardas estaban ausentes.
Pruebas nunca antes vistas señalan que los analistas de Europol obtuvieron acceso a los datos a través de este sistema, a pesar de importantes fallos de seguridad y privacidad. El sistema no registraba adecuadamente quién accedía a los datos ni si estos habían sido modificados o eliminados. Durante años, operó sin una supervisión oficial suficiente, incluso después de convertirse en el eje del trabajo analítico de la agencia.
La agencia está diseñada para funcionar como un centro neurálgico impulsado por inteligencia artificial, analizando grandes volúmenes de datos personales y delictivos en tiempo casi real para identificar patrones y pistas. Con sede en La Haya, los más de 1.000 empleados de Europol se encuentran en el centro de la cooperación policial europea. La agencia agrupa y analiza datos de las autoridades policiales nacionales de toda la UE, apoyando investigaciones sobre terrorismo, abuso sexual infantil, delincuencia organizada grave y ciberdelincuencia.
El sistema informático en la sombra de Europol tomó forma en un momento de crisis.
Presión para dar resultados
En noviembre de 2015, los ataques coordinados en París causaron 130 muertos y cientos de heridos. En medio de informes sobre fallos policiales, la presión sobre Europol se intensificó. "Realmente se esperaba que diéramos un paso al frente en ese momento", recordó el entonces director de Europol, Rob Wainwright, en una entrevista hace dos años. "Ese fue el momento en el que teníamos que dar resultados".
Europol creó el Grupo de Trabajo Fraternité, y las autoridades policiales de los Estados miembros comenzaron a enviar enormes volúmenes de datos a la agencia: registros telefónicos, informes de inteligencia, información de viajes. Gran parte de ellos acabaron en el sistema CFN. Entre los datos incorporados, por ejemplo, se encontraban registros de llamadas de personas que casualmente se hallaban cerca de los atentados del Bataclan.
La expectativa era clara: Europol debía convertir este aluvión de información en inteligencia procesable para ayudar a rastrear y prevenir nuevas tramas terroristas, y hacerlo rápidamente.
El sistema informático en la sombra no se originó con los ataques. Pero tras ellos, su papel se expandió de forma espectacular.
Según varios exfuncionarios de Europol, el Centro Europeo de Ciberdelincuencia (EC3) de la agencia secuestró efectivamente la CFN. Normalmente, el departamento de TI gestiona y controla dicha infraestructura. Sin embargo, este sistema quedó fuera de su alcance.
La CFN, creada en 2012, había sido diseñada originalmente para almacenar y procesar inicialmente, o filtrar, las crecientes cantidades de material digital y vincularlo a investigaciones específicas, bajo estrictas normas de tratamiento y protección de datos.
Sin embargo, en pocos años, evolucionó más allá de su propósito original, convirtiéndose en lo que un exalto cargo describió como un "agujero negro" para el análisis de datos sin regulación por parte de la unidad de ciberdelincuencia de Europol.
Grandes volúmenes de datos podían almacenarse y analizarse con menos restricciones que en los sistemas formales de la agencia.
Los exfuncionarios de Europol entrevistados para esta investigación describieron cómo el personal de la Dirección de Operaciones —responsable de las investigaciones penales— instaló capacidad adicional de computación y almacenamiento en el sistema al margen de los procedimientos habituales. Se desarrollaron nuevas herramientas y aplicaciones de procesamiento de datos dentro de este entorno, sin supervisión externa, según los exfuncionarios.
La amenaza de un "cierre completo"
A principios de 2019, cuando el recién introducido Reglamento General de Protección de Datos (RGPD) convirtió la protección de datos en un imperativo legal, la magnitud de las prácticas de datos no conformes de Europol se había vuelto imposible de ignorar.
El 15 de febrero, un informe de cinco páginas de Daniel Drewer, el delegado de protección de datos interno de la agencia hasta la fecha, llegó a los escritorios de los tres directores adjuntos de la agencia.
El mensaje era contundente: el 99 por ciento de los datos operativos de Europol se almacenaban y procesaban en la CFN, sin las salvaguardas básicas de protección de datos y seguridad. En la práctica, un sistema diseñado para preprocesar grandes volúmenes de datos brutos se había convertido en la plataforma principal de la agencia para el análisis de delitos.
Los analistas de Europol podían examinar ingentes cantidades de datos personales, incluida información que no estaban legalmente autorizados a conservar, y reutilizarla para el análisis delictivo.
"Hay indicios de que la CFN prácticamente no solo se utiliza para trabajo forense propiamente dicho, sino también para otras formas de análisis operativo", escribió Drewer en el informe, obtenido a través de una solicitud de acceso a la información. El volumen y la diversidad de archivos en el sistema sugerían que la "CFN ha evolucionado de hecho hasta convertirse en el entorno de elección para todas las formas posibles de análisis delictivo".
Los datos, según Europol, procedían de las autoridades policiales de los Estados miembros y de otros socios operativos, o eran recopilados por la agencia a través de actividades de inteligencia de fuentes abiertas. Al menos uno de los proyectos, "Punto Focal Viajeros", también contenía datos proporcionados por la Oficina Federal de Investigación (FBI) de Estados Unidos.
A menos que Europol reformara por completo todo el sistema de datos paralelo, Drewer advirtió de una posible prohibición de la CFN, que "de hecho podría equivaler a un cierre total de la actividad operativa de Europol", al tiempo que "afectaría gravemente a la confianza" de los Estados miembros.
"Tener un entorno de procesamiento paralelo donde las barreras dejan de existir es más barato, más rápido y más eficaz", declaró a esta investigación un exalto cargo de Europol. "Pero sin ellas, cualquiera está a merced del tipo que está delante de la pantalla".
Preguntado al respecto, Europol respondió que esta afirmación "es una tergiversación de los hechos". El portavoz no respondió a las preguntas sobre si los Estados miembros y el FBI saben que los datos que proporcionaron acabaron en este entorno no regulado.
La enorme magnitud de las prácticas irregulares reveladas por esta investigación ha permanecido desconocida para el público y para los legisladores hasta ahora.
Comprendiendo la magnitud del problema
El 1 de abril de 2019, la entonces directora ejecutiva de Europol, Catherine De Bolle, notificó formalmente a la autoridad de protección de datos de la UE, el SEPD, los hallazgos de Drewer, tras intensos debates internos sobre cómo responder.
La revelación desencadenó lo que se conocería como el "Desafío del Big Data": un enfrentamiento de años entre Europol y el supervisor externo, que culminó con una orden del SEPD para que Europol eliminara los datos que mantenía en infracción de la legislación de la UE.
Públicamente, la disputa se centró en que Europol conservaba datos ilegalmente más tiempo del permitido por la ley. Pero documentos internos no publicados anteriormente, revisados por esta investigación, sugieren que las preocupaciones eran más profundas.
Señalaban enormes vulnerabilidades de seguridad incrustadas en el propio sistema.
En el interior de la agencia, el personal trabajaba para comprender la magnitud del problema.
Una evaluación de seguridad integral, desencadenada por los hallazgos de Drewer y realizada a principios de 2019, concluyó que la CFN carecía de "controles de seguridad básicos". Abordar los problemas requeriría que Europol abandonara el sistema "tal como está en la actualidad e implementara una nueva configuración" —desde cero.
Docenas de graves vulnerabilidades de seguridad dentro del sistema CFN, enumeradas en informes obtenidos a través de solicitudes de acceso a la información, revelan un patrón de fallos sistémicos:
· "asignación ineficaz de roles y responsabilidades de seguridad"
· "gestión insuficiente de los derechos de acceso privilegiado"
· "instalación de software sin restricciones"
· "incumplimiento de las normas de seguridad de Europol"
· "falta de gestión de contraseñas"
· "falta de registros de uso administrativo"
· "protección insuficiente de la información de registros"
· "registro y supervisión de eventos insuficientes"
· "control de acceso a la red insuficiente"
En conjunto, estas deficiencias implicaban que el acceso a los datos sensibles no podía rastrearse, controlarse, auditarse ni protegerse de manera fiable. Al mismo tiempo, el acceso al sistema parece haberse ampliado significativamente con el tiempo.
Entre las carencias más preocupantes se encuentran los controles de acceso y los registros de auditoría. Los expertos señalan que no se trata de meras formalidades técnicas, sino de salvaguardas fundamentales de seguridad y responsabilidad, exigidas por la legislación de la UE.
"La supuesta existencia de un gran número de cuentas de administrador es muy preocupante y constituye una clara vulneración de los requisitos de integridad y confidencialidad", afirmó Peter Sommer, experto independiente en forensia digital. Explicó que los administradores pueden acceder, modificar o eliminar cualquier dato –incluidos los registros del sistema–, lo que dificulta el rastreo de la actividad y aumenta el riesgo de abuso y ataques externos.
"La multiplicación innecesaria de facilidades para administradores permite que empleados deshonestos causen daños con facilidad, pero también es una puerta de entrada muy favorecida por los piratas informáticos externos", señaló Sommer.
En respuesta a esta investigación, Europol afirmó que el acceso al sistema estaba "limitado al personal autorizado que trabaja para Europol". Añadió que existía una "Política de Uso y Gestión" desde 2012. Dicha política, según la agencia, "contenía disposiciones específicas sobre acceso de usuarios y registros de auditoría en relación con la CFN" y "seguía en vigor en 2019 y era conocida por todas las partes interesadas pertinentes".
Demasiado grande para abandonarlo
Cuando la magnitud del problema se hizo evidente, el sistema CFN ya estaba profundamente arraigado en las operaciones de Europol.
Tras el fracaso en 2017 de un proyecto que debía ofrecer una configuración alternativa en colaboración con la empresa tecnológica estadounidense Palantir Technologies, abandonar la plataforma CFN ya no era una opción realista.
En su lugar, Europol trató de adecuarla a la normativa restringiendo el acceso y aplicando medidas de mitigación en materia de seguridad y protección de datos –un proceso que llevaría años de negociación con el SEPD.
En una respuesta por escrito, Europol afirmó que había revelado la existencia del sistema en 2019 "en aras de la transparencia total", describiéndolo como un entorno necesario para procesar datos operativos complejos, especialmente conjuntos de datos de gran volumen o técnicamente difíciles. La agencia señaló que desde 2019 se estaban llevando a cabo reformas para sustituir la CFN por un nuevo entorno forense y alinear las prácticas con los requisitos de protección de datos.
Un portavoz añadió: "Europol facilitó al SEPD, de forma proactiva, información sobre las mejoras necesarias en la CFN ya en 2019; por lo tanto, Europol abordó sus necesidades de mejora identificadas con total transparencia hacia su supervisor de protección de datos".
El SEPD siguió supervisando el sistema en los años posteriores. Pero persistieron problemas clave.
A finales de 2023, el supervisor constató que todavía no siempre era posible determinar si se había accedido o modificado a datos personales específicos. Un portavoz del SEPD declaró a esta investigación que las limitaciones del sistema de registro implicaban que los investigadores solo podían "deducir" que los datos habían sido "accedidos" o "modificados".
En febrero de 2026, el SEPD informó al Grupo Parlamentario Conjunto de Supervisión –un comité de control formado por parlamentarios europeos y nacionales– que cerraría su supervisión de la CFN, a pesar de que 15 de las 150 recomendaciones no se habían aplicado.
El supervisor señaló que esos asuntos pendientes se referían a "cuestiones de particular importancia", incluidas salvaguardas de seguridad fundamentales.
La Olla de Presión
A lo largo de los años, incluso cuando cambiaba el liderazgo de Europol y continuaban los esfuerzos para abordar las preocupaciones con el SEPD, partes de su ecosistema de análisis de datos parecen haber permanecido al margen de la supervisión formal.
Uno de esos sistemas es conocido internamente como la "Olla de Presión".
Según exmiembros internos, en partes de la agencia se entendía como un espacio donde los datos operativos podían almacenarse y analizarse rápidamente sin las restricciones de la legislación de la UE.
En respuesta a las preguntas, Europol afirmó que el sistema al que internamente se refieren como la Olla de Presión es en realidad su Entorno Operativo con Conexión a Internet (IFOE, por sus siglas en inglés), una plataforma utilizada para recopilar y clasificar datos de fuentes disponibles al público –incluido material relacionado con la actividad terrorista en línea– antes de que sean introducidos en los sistemas operativos de la agencia.
Pero los documentos internos y los testimonios de exaltos cargos apuntan a otra cosa: un sistema separado y no revelado que opera paralelamente a él.
¿Protegido del escrutinio?
Ya en 2019, los funcionarios describían la Olla de Presión como un "entorno preparado en modo de emergencia", distinto del proyecto formal IFOE, según correos electrónicos filtrados a esta investigación.
Según un exalto cargo de primer nivel, el SEPD fue informado de la existencia del término en 2022, cuando sus tratos con Europol comenzaron a amenazar con exponer la Olla de Presión. Para entonces, el sistema ya llevaba "funcionando años", afirmó el exfuncionario.
Europol presentó el término como un acrónimo de IFOE. Aunque se mencionó su nombre, la Olla de Presión en sí no fue presentada para revisión, ni siquiera durante las investigaciones pertinentes, según el exfuncionario.
Durante una investigación de 2022 sobre el procesamiento de datos de un activista holandés –que, según el funcionario, había sido procesado a través de la Olla de Presión– el SEPD examinó las bases de datos formales de Europol, pero no la Olla de Presión.
Los documentos revisados para esta investigación indican inquietud interna en partes de la agencia durante ese período.
El 5 de octubre de 2022, un empleado de Europol envió un correo electrónico marcado con "Importancia: Alta" a altos cargos, advirtiendo de que los reguladores podrían pronto tener conocimiento de la "situación irregular con la Olla de Presión y el IFOE".
"Nosotros (TIC) señalamos en múltiples ocasiones la importancia de eliminar la Olla de Presión y transformarla en [un sistema] con diseños, controles, etc. adecuados", escribió el empleado. "Sin embargo, normalmente se excluía del alcance porque otros proyectos eran priorizados por el negocio", concluye el correo.
Un exalto cargo de Europol ofreció una explicación contundente sobre cómo pudo escapar un sistema así al escrutinio durante las inspecciones del SEPD. "Cuando hablamos de inspección", afirmó, "no nos referimos a una redada con expertos en TI monitoreando sistemas y confiscando servidores. Hablamos de una conversación educada".
Problemas con lo que se reveló
Ahora, Europol parece estar avanzando hacia la formalización del sistema. En octubre de 2025, consultó al SEPD sobre una herramienta denominada "IFOE – Área de Respuesta Rápida", presentándola como un desarrollo futuro.
Sin embargo, según un exalto cargo de Europol, lo que se presentó al SEPD no es en absoluto una nueva herramienta, sino un intento de formalizar la Olla de Presión.
Europol afirma que consulta al SEPD de conformidad con el Reglamento de Europol sobre los desarrollos del IFOE y que no ocultó información sobre los sistemas de procesamiento. Pero esto parece aplicarse únicamente al sistema oficial, no a la infraestructura informática paralela.
Aun así, incluso lo que se reveló fue suficiente para alarmar al supervisor.
El SEPD advirtió de que el sistema que revisó corría el riesgo de convertirse en "un entorno paralelo en toda regla al entorno operativo habitual de Europol".
Preguntado por nuestro equipo, el SEPD afirmó que ve un riesgo de que el personal de Europol realice "expediciones de pesca" que involucren datos personales de individuos sin vínculo alguno con actividad delictiva.
"La acusación de que Europol busca recopilar información sin relevancia para investigaciones penales fuera del ámbito de sus tareas según el Reglamento de Europol es una tergiversación de los hechos", declaró un portavoz de Europol.
La nueva advertencia del SEPD apunta a una preocupación más amplia: incluso cuando Europol avanza hacia la formalización de partes de su infraestructura paralela, existe el riesgo de que los problemas de supervisión limitada reaparezcan en nuevas formas.
Si bien al menos un correo electrónico sobre la Olla de Presión llegó a los directores adjuntos, sigue sin estar claro en qué medida los sistemas descritos en los documentos internos eran conocidos por el entonces director ejecutivo de la agencia, Rob Wainwright, y, después de 2018, por Catherine De Bolle.
Cuando se le preguntó, Wainwright respondió que no "recuerda ninguna discusión específica sobre este asunto durante su mandato". Añadió que sí recordaba haber "trabajado muy estrechamente" con el delegado de protección de datos de Europol, Daniel Drewer, y que el establecimiento y la promoción de un marco sólido de protección de datos "era una parte esencial de la misión de Europol y una prioridad estratégica fundamental".
Un mandato en expansión
Europol está entrando en una nueva fase de expansión.
Se espera que la Comisión Europea proponga una nueva legislación que duplicaría el presupuesto y la plantilla de la agencia, como parte de un esfuerzo más amplio para convertir a Europol en una "agencia policial verdaderamente operativa".
Los cambios propuestos ampliarían significativamente los poderes de la agencia. Pero lo harían en un contexto de preguntas sin resolver sobre cómo ya se han ejercido esos poderes –y qué sigue oculto.
La directora ejecutiva De Bolle, que dejó Europol al final de su mandato el 1 de mayo, declinó ser entrevistada para esta investigación.