Deepfakes sexuales e IA: el modelo regulatorio australiano como referencia global

La proliferación de herramientas de inteligencia artificial generativa ha transformado radicalmente el perfil del abuso basado en imagen. Crear una imagen sexualmente explícita de una persona real sin su consentimiento ya no requiere acceso a material fotográfico íntimo previo: basta con una fotografía ordinaria y una aplicación disponible en cualquier dispositivo. Australia ha respondido a este fenómeno con un enfoque legislativo que merece atención comparada, tanto por su amplitud como por la celeridad con que ha articulado una respuesta penal, administrativa e institucional. La Criminal Code Amendment (Deepfake Sexual Material) Act 2024, analizada aquí junto con la guía operativa de la Comisionada de Seguridad Electrónica (eSafety Commissioner), ofrece un modelo que otros ordenamientos están empezando a estudiar.

La nueva tipología del daño: sintético pero real

El punto de partida del análisis es también su mayor complejidad conceptual. El abuso basado en imagen —entendido tradicionalmente como la difusión no consentida de material íntimo auténtico— se enfrenta ahora a una categoría de contenido que no existía en el momento de su creación real, pero que puede resultar indistinguible de ella. Los deepfakes sexuales son imágenes o vídeos generados o alterados mediante IA que representan a personas reales en situaciones sexualmente explícitas o sugestivas que nunca ocurrieron.

Conviene detenerse en esto porque la respuesta jurídica más frecuente ante esta clase de material ha sido relativizarlo: si la imagen es falsa, el daño también lo sería. La guía operativa de la eSafety Commissioner rechaza expresamente este razonamiento, y con razón. El perjuicio para la víctima no deriva de la autenticidad del contenido, sino de su difusión, de la pérdida de control sobre la propia imagen, de la humillación y del estigma asociados. Una imagen sexualmente explícita generada por IA que circula en el entorno escolar o laboral de una persona produce efectos equivalentes —en muchos casos, superiores— a los del material auténtico, precisamente porque la posibilidad de refutación factual no elimina el daño reputacional ni el trauma psicológico. Los estudios citados en la guía —entre ellos el de Thorn y Burson (2025) sobre deepfakes de desnudos y menores— confirman que uno de cada diez menores en entornos anglosajones conoce casos en los que sus pares han utilizado IA para generar imágenes de desnudos de otros jóvenes. La escala del problema obliga a abandonar cualquier lectura minimizadora.

El régimen penal de la Criminal Code Amendment Act 2024

Australia tipificó a nivel federal, mediante la Criminal Code Amendment (Deepfake Sexual Material) Act 2024, los delitos de transmisión no consentida de material sexual —tanto material real como material creado o alterado mediante tecnología— relacionados con adultos. La pena máxima para el delito autónomo de difusión no consentida de material sexual privado alcanza los seis años de prisión.

Lo que resulta técnicamente relevante de esta regulación es su neutralidad tecnológica. La norma federal no distingue entre material en su forma inalterada y material creado o modificado mediante herramientas de IA. Ambas categorías quedan capturadas por el mismo tipo penal. Esta decisión legislativa es deliberada y funciona como respuesta directa a la brecha que existía cuando los ordenamientos penales —redactados antes de la generalización de la IA generativa— no podían perseguir eficazmente la creación de deepfakes sexuales porque el material, al ser sintético, no encajaba en los supuestos originales del delito de difusión de imágenes íntimas.

Ahora bien, la regulación federal se limita a los mayores de 18 años como sujetos pasivos directos de los tipos específicos allí previstos. Para los menores, el análisis presenta una mayor heterogeneidad territorial. La guía señala que la creación y distribución de deepfakes sexuales puede constituir delito en algunos estados para menores de 18 años, y señala el ejemplo de Australia del Sur, donde la legislación criminaliza expresamente la creación y distribución de deepfakes asistidos por IA que sean humillantes, degradantes, invasivos o sexualmente explícitos, incluso cuando el contenido es completamente sintético y el infractor es menor de edad. Esto plantea una cuestión interpretativa relevante: cuando el material deepfake representa a un menor, la calificación puede concurrir simultáneamente con los tipos penales de material de abuso sexual infantil, con independencia de que las imágenes sean generadas artificialmente. Este es un ámbito en el que la evolución legislativa es especialmente rápida y en el que la disminución del umbral de acceso a las herramientas de generación obliga a una revisión constante de los marcos aplicables.

El tratamiento diferenciado de los infractores menores de edad refleja también una orientación político-criminal consciente. En lugar de apostar exclusivamente por la respuesta punitiva, la guía menciona el recurso a programas de diversión, enfoques restaurativos, órdenes de supervisión comunitaria y programas de educación y asesoramiento. Esta combinación responde a una constatación empírica: la creación de deepfakes en entornos escolares se produce con frecuencia sin que el infractor haya evaluado plenamente el daño que causa, lo que no elimina la responsabilidad, pero sí sugiere que la respuesta más eficaz a largo plazo incorpora componentes educativos junto a los sancionadores.

El sistema administrativo: el papel de la eSafety Commissioner

Junto al régimen penal, Australia ha construido un sistema administrativo paralelo articulado en torno a la eSafety Commissioner, autoridad independiente con competencias para recibir denuncias, investigar incidentes de abuso basado en imagen y ordenar la retirada de contenido a las plataformas. La guía analizada, publicada en junio de 2025, forma parte del eSafety Toolkit for Schools y constituye un instrumento operativo dirigido específicamente a los centros educativos.

El valor de este doble carril —penal y administrativo— radica en que ofrece vías de actuación diferenciadas según la urgencia y la naturaleza del incidente. La denuncia a la policía local es el primer paso recomendado, pues las autoridades policiales tienen competencias de incautación de dispositivos y de interrogatorio que la eSafety Commissioner no posee. Sin embargo, la interposición de la denuncia policial no agota la respuesta: el sistema prevé que, una vez obtenido el número de evento policial, se reporte también a la eSafety Commissioner, especialmente cuando el material ha sido difundido en línea o existe amenaza de difusión. La articulación secuencial de ambas vías no es meramente formal: busca asegurar que la retirada del contenido de las plataformas digitales pueda producirse en el menor tiempo posible, reduciendo así la propagación secundaria del material.

Este diseño tiene implicaciones prácticas importantes para los centros escolares, a los que se les atribuye explícitamente un papel de primer respondedor. La guía subraya que las instituciones educativas y las organizaciones de atención a la infancia actúan como respondedores de primera línea y pueden proporcionar acceso a sistemas de apoyo informados por el trauma. Esto supone una ampliación funcional del rol de los centros educativos que va más allá de las tradicionales competencias disciplinarias: se les pide que gestionen la respuesta inmediata, preserven evidencia digital, coordinen con las autoridades y, simultáneamente, apoyen psicológicamente a las víctimas sin agravar el daño mediante una gestión descuidada de la información.

Respuesta institucional y protección de víctimas: una arquitectura centrada en el bienestar

La guía dedica una atención considerable al diseño de la respuesta institucional en los centros educativos, y es aquí donde el documento ofrece algunas orientaciones que merecen ser destacadas por su solidez metodológica.

El principio rector es la primacía del bienestar. La respuesta ante un incidente de deepfake sexual no debe orientarse, ni siquiera secundariamente, a la protección de la reputación institucional del centro. Esta advertencia, formulada de manera directa en la guía, no es baladí: en la práctica, la gestión de crisis en entornos escolares tiende a priorizar la imagen pública de la institución, con el resultado frecuente de que las víctimas quedan en un segundo plano o son presionadas a no hacer pública la situación. La guía invierte explícitamente este orden de prioridades.

La gestión del incidente debe atribuirse a un miembro designado del equipo directivo, con información compartida exclusivamente sobre la base de la necesidad de conocer. La recopilación de evidencia es necesaria para las actuaciones ante la policía y la eSafety Commissioner, pero debe evitarse la exposición innecesaria al material explícito y su almacenamiento. Esta última indicación tiene una dimensión jurídica propia: la tenencia de material sexual explícito de menores, incluso con fines de preservación de prueba, puede generar responsabilidad penal si no se gestiona con arreglo a los protocolos establecidos.

Respecto a las víctimas, la guía adopta un enfoque explícitamente informado por el trauma. Los impactos identificados —compromiso de la dignidad y la privacidad, sentimientos de vergüenza, humillación y autoinculpación, temor a no ser creídas, miedo a ser culpabilizadas, sensación de aislamiento y desconfianza— configuran un cuadro coherente con la literatura clínica sobre victimización sexual. La respuesta institucional debe reconocer estos impactos, no minimizarlos, y apoyar a las víctimas de un modo que refuerce su sentido de agencia y participación en la toma de decisiones. Esta formulación —que la víctima no sea solo objeto de protección, sino sujeto activo de la respuesta— constituye un avance significativo respecto a los enfoques paternalistas que han dominado históricamente la gestión de este tipo de incidentes.

La dimensión preventiva: educación en consentimiento e IA

El análisis quedaría incompleto sin considerar la dimensión preventiva que la guía integra en su arquitectura. La eSafety Commissioner propone incorporar el fenómeno de los deepfakes asistidos por IA en los programas de educación en consentimiento y relaciones respetuosas que los centros educativos ya desarrollan.

El contenido sugerido abarca cuatro ejes: la ilegalidad de la creación de deepfakes sexuales sin consentimiento; el reconocimiento del daño real pese a la naturaleza sintética del material; la comprensión de que la difusión y redistribución de este tipo de contenido constituye también abuso basado en imagen; y la identificación de los deepfakes como instrumento de control coercitivo en relaciones íntimas. Este último punto es especialmente relevante porque conecta el fenómeno de los deepfakes con la dinámica más amplia de la violencia de género digital y el cibercontrol, dos ámbitos que la regulación ha tardado en abordar de manera integrada.

La propuesta de integrar este contenido en la educación existente, en lugar de crear programas paralelos, responde a una lógica pedagógica sensata: los estudiantes que ya han trabajado el consentimiento como valor en el ámbito de las relaciones interpersonales tienen un marco conceptual sobre el que anclar la extensión de ese valor al entorno digital y a los contenidos generados por IA.

Conclusiones y perspectiva comparada

El modelo australiano ofrece varios elementos de interés para los ordenamientos que se encuentran en fases más tempranas de respuesta regulatoria a los deepfakes sexuales.

• Neutralidad tecnológica del tipo penal: la equiparación entre material real y material sintético en el ámbito del delito de difusión no consentida elimina la brecha de impunidad que existía bajo regímenes que solo tipificaban la difusión de material auténtico. Esta opción legislativa es replicable y técnicamente preferible a la creación de tipos penales específicos para deepfakes que quedan rápidamente obsoletos ante la evolución de las herramientas de IA.

• Doble carril penal-administrativo: la articulación entre la vía penal y el sistema administrativo de la eSafety Commissioner ofrece una respuesta más completa que la exclusivamente punitiva, al incorporar mecanismos de retirada de contenido con mayor agilidad.

• Rol de los centros educativos como primer respondedor: la asignación formal de responsabilidades a las instituciones educativas, acompañada de guías operativas detalladas, es un elemento distintivo del modelo australiano que puede resultar relevante para sistemas educativos que carecen de protocolos específicos para incidentes de deepfakes.

• Enfoque restaurativo para infractores menores: la combinación de respuesta penal con programas educativos y de diversión para menores infractores reconoce la especificidad del contexto escolar y la relevancia de la educación frente a la mera sanción.

El Reglamento de Inteligencia Artificial europeo y las regulaciones nacionales de protección de datos ofrecen herramientas complementarias para abordar este fenómeno en otros contextos, pero ningún instrumento europeo vigente aborda con la misma especificidad el deepfake sexual como categoría autónoma de abuso. La experiencia australiana es, en este sentido, una referencia que el debate regulatorio europeo y latinoamericano no debería ignorar.

Este análisis tiene carácter informativo y no constituye asesoramiento jurídico. La normativa australiana aquí referenciada debe interpretarse con arreglo a su contexto jurisdiccional específico.