Europa presentó su app de verificación de edad. ¿Una solución aceptable para la privacidad?*

Antes de analizar qué tiene de bueno y de malo este sistema, quiero dejar en claro algo: mi posición es que la verificación de edad online no debería hacerse. Punto. La mejor forma de recolección de datos es la que no existe. Cada dato recolectado es un dato que puede filtrarse, venderse, ser exigido por un gobierno autoritario el día del mañana o terminar en manos de quien no debería tenerlo. Y no hay sistema perfecto. Los 438 científicos y expertos en seguridad y privacidad que firmaron una carta abierta en febrero de 2026 pidiendo una moratoria en el despliegue de estas tecnologías lo dijeron con claridad: no existe evidencia suficiente de que los beneficios superen los daños en este tipo de tecnologías y la infraestructura de confianza necesaria para que funcione a escala global simplemente no existe.

Como hemos dicho antes en este blog, lo que debería hacerse es regular las prácticas de las plataformas que pueden causar daños y que pueden regularse con menos riesgos para los derechos fundamentales: los algoritmos de recomendación diseñados para maximizar tiempo de pantalla, los patrones de diseño manipulativo, la recolección por defecto de datos de menores, la publicidad dirigida, etc. Regular eso protege a los niños y de paso protege a todos los usuarios, sin necesidad de pedirle a nadie que demuestre quién es para leer una noticia o buscar información. Los Age-Appropriate Design Codes, como el que ya funciona en el Reino Unido, contienen aspectos técnicos que atacan el problema en la fuente: obligan a las plataformas a diseñar sus servicios pensando en que los menores pueden probablemente estar ahí, sin necesidad de identificar a cada usuario individualmente.

Dicho todo esto, hay gobiernos que van a seguir adelante con mandatos de verificación de edad. Varios ya lo hicieron. Australia prohibió las redes sociales a menores de 16. Francia, Dinamarca, Noruega y España estudian medidas similares. En Brasil, ya hay legislación que requiere distinguir quienes son menores para establecer medidas de protección. Y hay también organizaciones de derechos de la infancia que impulsan estos mecanismos. Ante esa realidad, es preferible que el mecanismo a implementar sea lo más seguro y lo menos invasivo posible. Aunque nos parezca una mala idea la verificación en general. Desde esa perspectiva, vale la pena mirar lo que Europa acaba de presentar para conocer sus ventajas y sacrificios.

 

Lo bueno del sistema europeo

Lo primero que hay que reconocer es que esta app no es lo mismo que lo que ya existe en la mayoría de los países y en el mercado de proveedores de identidad. Cuando hoy un sitio web te pide verificar tu edad, lo más probable es que te pida una foto de tu documento de identidad, un escaneo facial, o que entregues datos a un tercero del que no sabés nada. Empresas como Yoti o Persona procesan esos datos en sus servidores. El incidente de Persona con Discord dejó expuestos documentos de identidad de usuarios. Eso es lo que hay hoy. Un desastre que requiere confiar en entidades privadas o públicas que no protegen la información de los usuarios y habilitan otros riesgos de seguridad y privacidad.

El sistema europeo intenta ser diferente en varios aspectos concretos.

Según sus principios de diseño, el atributo que se transmite es un solo campo booleano: age_over_18 (o age_over_NN según el umbral que se configure). Un sí o un no, nada más. No se transmite nombre, fecha de nacimiento, número de documento, dirección ni foto. La especificación técnica es explícita: una confirmación de prueba de edad no debe incluir ningún otro atributo.

La arquitectura separa la emisión de esa confirmación de su presentación ante el servicio que la requiere. El modelo se inspira en la propuesta de doble ciego de la CNIL francesa: el proveedor de identidad (el que verifica quién sos) no sabe a qué sitio querés acceder y el sitio que recibe la confirmación de edad no sabe qué proveedor de identidad usaste. En la versión más limpia del sistema, estos dos mundos no se tocan.

En la ruta basada en NFC (escaneo del chip del pasaporte), las verificaciones criptográficas corren enteramente en el dispositivo. El Proveedor de confirmación queda efectivamente «ciego»: no recibe datos biométricos, ni fotos, ni información del documento. Solo recibe la solicitud de generar un lote de tokens booleanos de edad.

El sistema genera 30 confirmaciones de uso único con timestamps homogeneizados, lo que dificulta que sitios que colaboren entre sí puedan correlacionar a un mismo usuario entre servicios.

El código es abierto. Los estados miembros pueden desplegar sus propias instancias y adaptar el sistema de confirmación de edad a su infraestructura nacional existente. La especificación se alinea con el estándar ISO/IEC 18013-5 y con el marco eIDAS 2.0, lo que le da interoperabilidad con las billeteras digitales europeas (EUDI) que deberían estar operativas a fin de 2026.

Para el futuro, el sistema incluye un anexo con un esquema de pruebas de conocimiento cero (ZKP) basado en el paper «Anonymous Credentials from ECDSA» de Frigo y Shelat, implementado en la biblioteca Longfellow-zk de Google. La fundación europea Dyne.org ya publicó un fork soberano que elimina las dependencias de Google manteniendo la misma matemática criptográfica. Cuando se active la capa ZKP, el usuario podría demostrar su edad y la validez de su credencial sin revelar la confirmación misma, logrando desvinculación criptográfica en lugar de meramente estadística.

Todo esto hace que, comparado con subir una foto de tu DNI a un servidor de una empresa privada en otro país o al de Estados con baja seguridad, el modelo europeo sea un avance sustancial.

 

Qué tiene de malo y por qué no hay sistema sin riesgos

El sistema europeo, con todas sus ventajas, tiene problemas reales que la cobertura periodística y política del lanzamiento no menciona.

El primero es que el registro de los sitios y servicios que solicitan la verificación no es obligatorio. La especificación dice textualmente que el registro de Relying Parties (los sitios que piden la prueba de edad) no es requerido. Esto significa que cualquier sitio web puede solicitar una confirmación de edad. No hay mecanismo para limitar quién puede pedirte que demuestres tu edad, con qué frecuencia, ni con qué propósito. Esto abre la puerta al abuso por parte de verificadores, que pueden pedir multitud de verificaciones para hacer fingerprinting de dispositivos y recolectar datos. Y genera un riesgo de phishing, porque nada impide que un sitio fraudulento presente un prompt falso de verificación de edad para recolectar confirmaciones.

El segundo problema es el uso de la nube. La arquitectura de referencia “ideal” prevé que la “prueba de vida” y el matching facial se ejecuten en el enclave seguro del dispositivo. Pero la especificación permite que los estados miembros elijan derivar esas verificaciones a un servicio externo en la nube (del propio gobierno o de un proveedor privado como Persona). Si lo hacen, la selfie en vivo y la foto del documento salen del teléfono durante el enrolamiento. Van al contratista de la nube, no al proveedor de confirmación, pero salen del dispositivo. Y eso es un vector de riesgos.

El tercero: las implementaciones alternativas para usuarios sin pasaportes con chip NFC son significativamente peores en términos de privacidad. Las opciones incluyen autenticación a través de nodos eIDAS (ID digital europeo que ya existe), bancos o proveedores de telefonía móvil. A diferencia de la ruta NFC, estas vías crean un vínculo de identidad permanente y un registro a nivel nacional o bancario. En una región como Europa, donde el GDPR ofrece cierta protección, esto ya es preocupante. En otras regiones, como veremos, puede ser directamente desastroso.

Cuarto: los metadatos del sistema operativo. Aunque el token criptográfico sea perfectamente anónimo, Apple y Google controlan las APIs de hardware y las billeteras nativas donde millones de usuarios podrían almacenar estas credenciales. El sistema operativo puede registrar metadatos de cada transacción: timestamps, la app que solicita el token, la frecuencia de las verificaciones. Eso permite construir perfiles de comportamiento sin necesidad de leer el contenido cifrado.

Quinto: el riesgo de colusión. Las protecciones de doble ciego (como las de este sistema europeo) se caen si una misma entidad actúa como emisor y como verificador. Hoy parece improbable que una plataforma de redes sociales sea a la vez un emisor certificado bajo eIDAS. Pero si una plataforma adquiere un proveedor de servicios financieros regulado o una empresa de telecomunicaciones, podría posicionarse en ambos lados de la transacción y lograr la desanonimización completa del usuario.

Sexto: el posible abuso de funcionamiento está diseñado dentro del sistema. La especificación dice que, si bien age_over_18 es el foco actual, la arquitectura soporta atributos arbitrarios age_over_NN y casos de uso más allá del acceso online. Se describe explícitamente como un «componente fundacional» diseñado como infraestructura de propósito general. La historia de los sistemas de identidad digital muestra que las infraestructuras construidas para un propósito limitado pueden terminar expandiéndose.

Séptimo: el problema de los dispositivos compartidos por padres e hijos queda reconocido pero sin resolver. La mitigación propuesta es autenticación a nivel de la app (PIN, biométrico). Pero un menor que use el teléfono desbloqueado de un adulto puede acceder a las confirmaciones de edad del adulto. La especificación da cuenta de esto y no lo resuelve.

Ninguno de estos problemas es trivial. Y refuerzan el punto que planteé al principio: no existe un sistema de verificación de edad libre de riesgos. La pregunta no es si habrá problemas, sino cuáles y cuánto estamos dispuestos a reconocer y a intentar mitigar. Y a determinar si los aceptamos en pos del beneficio que se busca: evitar que menores esten expuestos a ciertos tipos de diseño de plataformas o a plataformas enteras no aptas para ellos.

 

Una variable que se ignora: el sur global

Hay un aspecto que el debate europeo sobre verificación de edad omite casi por completo y que para quienes vivimos en América Latina o seguimos la realidad de Asia, África o el Medio Oriente es imposible ignorar: estas soluciones se diseñan en contextos con infraestructura digital sólida, marcos legales robustos de protección de datos y sistemas judiciales que, con todas sus limitaciones, funcionan. En el Sur Global, ninguna de esas condiciones está garantizada.

En Argentina, la Ley de Protección de Datos Personales (Ley 25.326) es del año 2000. A pesar de algunas actualizaciones parciales, sus protecciones básicas tienen un cuarto de siglo. No contempla mucho de lo que ocurre hoy en el ecosistema digital. La filtración masiva del RENAPER en 2021, que expuso datos de decenas de millones de ciudadanos, demostró lo que pasa cuando la infraestructura de identidad estatal es vulnerable y el marco regulatorio no prevé ni castiga esa negligencia. En ese contexto, montar un sistema de verificación de edad que conecte la identidad gubernamental de un ciudadano con su actividad online es un riesgo que no se puede evaluar con los mismos parámetros que se usan en Dinamarca o en Francia.

Y Argentina no es un caso extremo. En gran parte de América Latina, los dispositivos se comparten entre miembros de la familia. Un adolescente accede a internet desde el celular de un padre, un tío, un hermano mayor. Los sistemas de verificación de edad que asumen «un dispositivo, un usuario» no describen la realidad de estas poblaciones. La carta de los 438 expertos lo señala: la verificación de edad no puede asumir la existencia de una app en un smartphone propio, porque muchos usuarios y en particular los menores, acceden a internet desde dispositivos compartidos.

Hay además un problema político que en Europa insisten en discutir como escenario hipotético pero que en nuestra región es experiencia histórica reciente. Si todos los usuarios están verificados con identidad real, un gobierno que quiera perseguir activistas, periodistas o disidentes no necesita hackear nada. Pide a las plataformas las identidades asociadas a ciertos perfiles. En América Latina, en 2024, se documentaron 3.700 agresiones contra la prensa en 17 países. El 49% fueron perpetradas por actores estatales. Catorce periodistas fueron asesinados. Esa es la realidad en la que se propone atar la identidad civil al acceso a internet.

Cualquier solución técnica que se piense para proteger a menores online debe ser evaluada teniendo en cuenta estos contextos. Lo que es un riesgo teórico en Bruselas es un riesgo operativo en muchos de nuestros países.

 

Lo que realmente conviene hacer

Si un gobierno decide que la verificación de edad es inevitable, hay un camino que evita la mayor parte de los problemas que acabo de describir: mover la verificación al nivel del dispositivo, fuera del alcance de las plataformas.

El modelo de perfil infantil a nivel del sistema operativo, como el que implementa GrapheneOS, funciona así: un padre o tutor configura el dispositivo una sola vez, marcándolo como dispositivo de un menor o como el modo “infantil” en un dispositivo compartido. Las aplicaciones reciben una señal binaria («este dispositivo pertenece a un menor») sin que ningún dato de identidad fluya hacia ellas. No hay  confirmación que almacenar, no hay token que pueda ser interceptado, no hay infraestructura de confianza a escala global que construir. La pregunta que se responde no es «¿este usuario tiene más de 18 años?» sino «¿un adulto responsable configuró este dispositivo para un menor?». Esa es una pregunta más estrecha, más manejable y más difícil de explotar con fines de vigilancia.

Ahora, este modelo necesita que alguien verifique inicialmente que quien configura el dispositivo es, efectivamente, un adulto. Y ahí es donde un sistema como el europeo, en su configuración más estricta (ruta NFC, procesamiento en dispositivo, sin derivación a la nube, con la capa ZKP activa), puede cumplir un rol útil. Usarlo una vez para confirmar que el tutor es un adulto y luego dejar que el control parental opere a nivel del dispositivo sin transmitir datos de identidad a ninguna plataforma.

Esa combinación, verificación puntual del adulto con la mejor tecnología disponible, seguida de control parental de fábrica a nivel del sistema operativo, es preferible a cualquier esquema de verificación por servicio. Y la app europea, en esa configuración restringida y para ese propósito limitado, es una solución mejor que las que ya existen en el mercado. Algo que, en mi opinión, es tolerable.

Pero tolerable sólo bajo ciertas condiciones que hoy no se cumplen en la mayoría de los países. Veamos cómo avanzar para que la situación mejore.

 

Sin castigo no hay cumplimiento

La especificación técnica más elegante del mundo no vale nada si no hay consecuencias reales para quien la viole. Eso es lo que la conversación sobre verificación de edad suele dejar de lado: las salvaguardas de privacidad escritas en un documento de arquitectura son directrices, no garantías. Son deseables sólo si alguien revisa su implementación, audita el cumplimiento técnica y normativamente y sanciona las desviaciones.

Ya hemos visto cómo funciona esto en la práctica. Empresas que recolectan más datos de los necesarios y los conservan «por si acaso» para poder demostrar cumplimiento regulatorio. Gobiernos que construyen bases de datos para un fin específico y después las expanden. El Age Assurance Technology Trial de Australia encontró evidencia de que, en ausencia de directrices específicas, los proveedores estaban anticipando las necesidades de los reguladores y construyendo herramientas para permitir que las fuerzas del orden rastrearan las acciones de verificación de edad de los individuos, una retención de datos innecesaria y desproporcionada que nadie les había pedido.

Eso es el “scope creep” o “abuso de las funciones” de una aplicación en acción. Y ocurre tanto del lado privado como del público. La forma de contrarrestarlo tiene dos aspectos: desde el diseño técnico (minimizar los datos que el sistema puede recolectar) y desde los incentivos normativos (hacer que la recolección excesiva cueste más de lo que vale). Multas concretas, proporcionales a los ingresos, con capacidad de ejecución y suspensión de la licencia para operar como proveedor de verificación. Entre otras posibles medidas.

Sin esas condiciones, cualquier sistema de verificación de edad, por bien diseñado que esté, es una mera declaración de intenciones.

Y esas condiciones requieren, antes que nada, leyes de protección de datos actualizadas. No se puede operar un sistema de verificación de identidad del siglo XXI con leyes del año 2000. No se puede pretender que las salvaguardas de privacidad se respeten en países donde no existen las instituciones ni las normas para hacerlas cumplir.

La protección de los niños en internet es un objetivo legítimo y urgente. Pero protegerlos de verdad no pasa por construir infraestructura de identificación universal que pueda ser abusada por gobiernos y empresas. Pasa por obligar a las plataformas a dejar de diseñar sus productos para capturar la atención de menores, a dejar de alimentar algoritmos con sus datos, a dejar de tratarlos como usuarios de los que extraer valor. Por crear un ambiente competitivo con mas opciones adecuadas. Eso se puede hacer sin pedirle a nadie que escanee su pasaporte. Y protege a todos, no solo a los menores.

Cuando un político dice «tolerancia cero» frente a una cámara y presenta una app, conviene preguntarse: ¿tolerancia cero con qué, exactamente? ¿Con las plataformas que diseñan sus productos para abusar de la atención y los datos? ¿O con los ciudadanos que se resisten, por buenas razones, a entregar su identidad cada vez que abren un navegador.