La conversación con un asistente de Inteligencia Artificial se parece cada vez menos a una búsqueda en Internet y cada vez más a una confesión. En lugar de lanzar dos o tres palabras clave, millones de usuarios escriben dudas íntimas, comparten contexto personal, describen problemas de salud, trabajo o familia y, sobre todo, explican cómo piensan. Esa “intimidad por interfaz” es precisamente el punto de partida de Confer, un proyecto impulsado por Moxie Marlinspike, conocido por su papel en la creación de Signal y por haber popularizado el cifrado extremo a extremo en mensajería.
El objetivo de Confer es ambicioso y, a la vez, simple de explicar: permitir conversaciones con un chatbot sin que el proveedor pueda guardarlas, revisarlas, monetizarlas o reutilizarlas para entrenar modelos. En un momento en el que la industria explora vías de rentabilización —incluida la publicidad— y en el que el historial de chat se ha convertido en un activo de enorme valor, el planteamiento de Marlinspike apunta a un giro de guion: un asistente diseñado para “no saber” y, por tanto, para no poder compartir.
Qué es Confer y por qué llega ahora
Confer se presenta como un asistente al estilo de ChatGPT o Claude, pero con una diferencia estructural: el sistema está construido para que el operador de la plataforma no tenga acceso al contenido en claro. La idea responde a una preocupación creciente: a medida que los chatbots se integran en la vida diaria, tienden a acumular información sensible a lo largo del tiempo. El riesgo no es solo que se use para entrenamiento; también que acabe alimentando perfiles comerciales, análisis internos, o que pueda ser objeto de solicitudes legales o filtraciones.
El propio Marlinspike ha insistido en que el formato conversacional “invita a la confesión”: los usuarios no solo revelan datos, sino patrones de razonamiento, inseguridades y decisiones en proceso. En ese marco, el incentivo publicitario añade tensión: si el negocio depende de segmentar y persuadir, el chat se transforma en una mina de oro. Confer pretende cortar esa posibilidad en origen: si el sistema no conserva el contenido y el proveedor no puede leerlo, la explotación comercial se vuelve mucho más difícil.
Cómo intenta conseguirlo: cifrado, enclaves y verificación
Confer combina varias piezas técnicas que, juntas, buscan reducir al mínimo la confianza ciega en el proveedor.
1) Passkeys (WebAuthn) para cifrar el intercambio
Según la información pública del proyecto, los mensajes se cifran usando el sistema de passkeys (WebAuthn), una tecnología que ya se utiliza para autenticación sin contraseña. En la práctica, esto implica que la experiencia funciona especialmente bien en dispositivos móviles y en equipos Apple recientes (mencionándose macOS Sequoia), aunque también puede utilizarse en Windows o Linux si el usuario se apoya en un gestor de contraseñas compatible.
2) “Computación confidencial” dentro de un TEE
El punto crítico es que la inferencia de un modelo grande requiere servidores con GPUs: hay un “endpoint” en la nube sí o sí. Para evitar que ese servidor sea un punto de lectura, Confer ejecuta la inferencia dentro de un Trusted Execution Environment (TEE) o entorno de ejecución de confianza. La promesa de este enfoque es que, incluso si el servidor físico está administrado por terceros, el contenido y el estado de ejecución quedan aislados mediante hardware y no son accesibles para el sistema anfitrión.
En el blog técnico del proyecto se describe este enfoque como inferencia dentro de una máquina virtual confidencial, con canales cifrados desde el dispositivo del usuario hasta el enclave y de vuelta, de modo que el “host” no ve el contenido en texto plano.
3) Remote attestation: “no te fíes, verifica”
Aquí aparece el elemento diferencial que más entusiasma a la comunidad de seguridad: la atestación remota. En términos sencillos, Confer plantea que el usuario pueda verificar criptográficamente qué software está corriendo dentro del TEE y detectar si el entorno ha sido manipulado. El proyecto describe mecanismos para medir el estado del sistema y extender esas mediciones a componentes clave del arranque y del sistema de ficheros (por ejemplo, mediante verificación de integridad), de modo que cualquier alteración cambie las huellas comprobables.
Este enfoque apunta a un problema clásico: cifrar “hacia” un enclave es útil, pero lo decisivo es qué hay dentro. La atestación remota intenta cerrar esa brecha ofreciendo transparencia verificable.
Limitaciones y coste: privacidad “premium” y producto en fase temprana
La privacidad por diseño no sale gratis. De acuerdo con la cobertura publicada, la versión gratuita estaría limitada a 20 mensajes al día y cinco chats activos, mientras que el acceso sin restricciones se movería en el entorno de 35 dólares al mes (Time cita 34,99 dólares). Es un precio superior al de muchos planes de consumo, y marca una idea incómoda: si el servicio no monetiza datos, necesita monetizar infraestructura.
También hay límites inherentes al enfoque. Marlinspike no detalla un único modelo base para la aplicación; en declaraciones recogidas por Time, el servicio usaría distintos modelos open source según la tarea, intentando evitar que el usuario tenga que escoger “el modelo correcto”. La misma fuente apunta que el rendimiento del nivel gratuito puede sentirse menos “brillante” que el de los modelos punteros cerrados.
Por otro lado, la propia narrativa de “cifrado extremo a extremo” en un sistema que necesariamente ejecuta inferencia en servidor ha generado debate entre desarrolladores y especialistas: el TEE reduce superficie de ataque, pero no elimina todos los riesgos posibles. En comunidades técnicas ya se discute qué significa exactamente “extremo a extremo” cuando el servidor también es parte del circuito de cómputo.
Lo que significa para empresas y sectores regulados
Más allá del producto, Confer plantea una pregunta estratégica: ¿puede la industria sostener asistentes de IA útiles sin convertir la conversación en un activo comercial? Para sectores regulados —sanidad, asesoría legal, educación, finanzas— el enfoque “no almacenes y no accedas” tiene atractivo evidente. TechRadar, por ejemplo, lo sitúa como una propuesta que podría encajar en organizaciones que necesitan garantías fuertes de confidencialidad.
Si este modelo prospera, podría empujar al mercado hacia un nuevo estándar: no bastaría con “opt-outs” o ajustes de privacidad posteriores; se pediría privacidad por defecto, verificable y auditable. Y, como ya ocurrió con el cifrado en mensajería, el impacto no dependería solo de que Confer domine el mercado, sino de que su arquitectura obligue a otros a moverse.
Preguntas frecuentes
¿Qué es un Trusted Execution Environment (TEE) y por qué importa en un asistente de IA?
Un TEE es un entorno aislado por hardware donde el código se ejecuta con protecciones adicionales frente al sistema anfitrión. En un asistente de IA, ayuda a que la inferencia se haga en servidor sin que el operador pueda leer los mensajes en claro.
¿En qué se diferencia Confer de desactivar el historial o el entrenamiento en otros chatbots?
Las opciones de privacidad habituales suelen ser configuraciones que el usuario activa y que dependen de la política del proveedor. Confer busca que, por arquitectura, el proveedor no pueda acceder al contenido ni conservarlo, reduciendo el valor del historial como activo.
¿La atestación remota sirve para que una empresa audite el servicio?
Ese es el objetivo: la atestación remota permite comprobar criptográficamente qué software está corriendo en el entorno seguro. Para compliance y evaluación de riesgos, aporta evidencia técnica frente a afirmaciones genéricas de marketing.
¿Por qué un asistente privado puede ser más caro?
Porque renuncia a monetizar datos y necesita cubrir el coste de cómputo (incluida la infraestructura para inferencia). En este modelo, el usuario paga más directamente por el servicio en lugar de “pagar” con información.
vía: techcrunch y confer.to
