El debate sobre la verificación de edad en Internet ha ganado fuerza en el último año, impulsado por gobiernos que, según argumentan, buscan proteger a menores de contenidos inapropiados o peligrosos. A día de hoy Australia, Brasil y Grecia están implementando leyes de verificación de edad para acceder a redes sociales. El Reino Unido y EE.UU. también lo hacen de forma parcial, y en el resto del mundo se encuentra en debate, pero con muchos países dispuestos a seguir el mismo camino.

Obviamente, estas medidas obligan a los usuarios a demostrar su edad (mediante documentos, datos biométricos o validaciones externas) antes de acceder a determinados servicios o plataformas. Sin embargo, lo que se plantea como una solución de seguridad abre la discusión sobre hasta qué punto estos controles comprometen la privacidad y la seguridad de los datos de los ciudadanos.

Europa presentó su app de verificación… pero fue hackeada en dos minutos

La Comisión Europea presentó recientemente una aplicación de verificación de edad que, según sus responsables, busca cerrar un vacío en la regulación digital del bloque. El sistema propone un proceso aparentemente sencillo, donde el usuario sube un documento de identidad o utiliza un código QR emitido por una entidad externa, y luego realiza un escaneo facial. Con ello, la app valida si cumple con la edad mínima requerida y envía una confirmación sin revelar datos personales.

Pero en la práctica, el sistema sí implica compartir datos sensibles, al menos en una primera instancia. Según TechPolicy, investigadores y expertos en seguridad han señalado que esta recopilación inicial de información introduce riesgos. Además, las primeras pruebas ya han dejado en evidencia debilidades. Un investigador logró vulnerar la aplicación en apenas dos minutos, y también se detectó que puede eludirse mediante el uso de VPN.

Un diseño manipulable y atractivo para hackers

Más allá de estos fallos puntuales, las críticas más profundas apuntan al diseño del sistema. Según análisis técnicos, las verificaciones clave, como la autenticidad del pasaporte o la coincidencia facial, se realizan en el propio dispositivo del usuario. Esto implica que el sistema confía en resultados generados en un entorno potencialmente manipulable y abre la puerta a falsificaciones relativamente simples, como alterar datos o interceptar la información enviada.

A esto se suma la preocupación adicional de que el modelo se convierta en un objetivo atractivo para ciberataques y fraudes. Expertos advierten que concentrar datos sensibles en este tipo de sistemas los vuelve especialmente valiosos para hackers.

El verdadero debate: cómo proteger a menores sin poner en riesgo su privacidad

En paralelo al impulso regulatorio, crecen las advertencias desde la comunidad de ciberseguridad sobre los efectos colaterales de estas políticas. Investigadores de Proton, han planteado la preocupación de que en el intento de proteger a los menores, se esté generando una nueva superficie de riesgo al exigir la recopilación masiva de datos sensibles. Este riesgo se amplifica porque muchas plataformas delegan la verificación en terceros, que concentran grandes volúmenes de información y, nuevamente, se convierten en objetivos muy atractivos.

El problema ya tiene ejemplos concretos. Un ciberataque a un proveedor vinculado a Discord el año pasado expuso decenas de miles de imágenes de documentos oficiales, recopiladas bajo la ley de verificación de edad del Reino Unido. Para los expertos, esto evidencia la necesidad de equilibrio. Proteger a los menores no debería implicar exponer su privacidad, y sin medidas sólidas en el manejo de datos, estas medidas pueden terminar abriendo nuevas puertas a filtraciones y abusos.