Bruselas dice que su nueva aplicación de verificación de edad hará que Internet sea más seguro para los niños y al mismo tiempo preservará la privacidad de los usuarios. Pero según Lionel Eddy, los problemas de seguridad no resueltos resaltan los riesgos de hacer de la verificación de identidad digital una parte cada vez más rutinaria de la vida diaria en línea.
La Comisión Europea está presionando para que los 27 estados miembros del bloque implementen la verificación de edad para fines de 2026, instándolos a utilizar su propia billetera de verificación de edad para tal fin.
Henna Virkkunen, vicepresidenta ejecutiva de Soberanía Tecnológica, Seguridad y Democracia, describió la aplicación como “la siguiente pieza del rompecabezas” en la creación de un entorno en línea donde los niños puedan utilizar los servicios digitales de forma segura “sin restringir los derechos de los adultos”. La presidenta de la Comisión, Ursula von der Leyen, ha presentado la iniciativa como parte de un esfuerzo más amplio para hacer “el mundo en línea más seguro para nuestros niños” preservando al mismo tiempo los beneficios que las tecnologías digitales pueden aportar a la educación, la comunicación y el desarrollo personal.
Según la Comisión, la aplicación permitirá a los usuarios verificar su edad sin revelar su fecha de nacimiento, identidad u otra información personal. La responsabilidad de implementar el sistema recaerá en los estados miembros individuales, cada uno adaptando el marco común para sus propios ciudadanos.
En la práctica, los usuarios aún deben verificar su identidad cargando un pasaporte o documento de identidad emitido por el gobierno antes de que se puedan emitir las credenciales de edad. La Comisión insiste en que todo esto se puede lograr manteniendo el anonimato porque la aplicación emplea la llamada tecnología de prueba de conocimiento cero. En teoría, esto permite a las personas demostrar que cumplen con un requisito de edad sin revelar su edad exacta, identidad u otra información personal al servicio en línea al que acceden. Como ha dicho Virkkunen, la intención es garantizar que las plataformas no necesiten escanear o conservar los pasaportes o los datos faciales de los usuarios.
Sin embargo, la preocupación por la privacidad es demasiado seria para descartarla con garantías vacías. La eficacia de la garantía depende de la arquitectura subyacente de la aplicación.
En marzo de 2026, un análisis de seguridad del código abierto de la aplicación identificó una falla arquitectónica crítica: el componente emisor del sistema carece de un mecanismo para confirmar que efectivamente se ha producido la verificación del pasaporte en el dispositivo del usuario. Los investigadores que identificaron esta vulnerabilidad señalaron una compensación desafiante inherente al diseño. Para abordar el problema de seguridad probablemente sería necesario transmitir datos criptográficos completos del pasaporte al servidor, incluido el nombre del usuario y el número de documento, lo que disminuiría considerablemente las garantías de privacidad que ofrece actualmente el sistema.
El impulso de la Comisión para una implementación rápida también se produce a pesar de que investigadores independientes expusieron vulnerabilidades evidentes en la propia aplicación. En abril, el consultor de seguridad Paul Moore demostró que podía eludir las supuestas salvaguardas de la aplicación en dos minutos. Reveló que los controles que limitan la velocidad se almacenaban en un archivo editable, la autenticación biométrica se podía desactivar con una alteración de configuración increíblemente fácil y, lamentablemente, se podía acceder a las credenciales confidenciales sin ninguna protección segura de hardware.
Moore señaló que el PIN cifrado almacenado localmente no tiene conexión criptográfica con la bóveda de identidad que contiene los datos de verificación reales. Esta falta de conexión permite un método de acceso que no requiere código de explotación ni herramientas especializadas. Al eliminar algunos valores específicos de los archivos de configuración de la aplicación, reiniciar la aplicación y configurar un nuevo PIN, el software otorga acceso a las credenciales asociadas con el perfil anterior. Como resultado, los datos de identidad pueden reutilizarse bajo controles de acceso definidos por un atacante.
Pero las debilidades identificadas van aún más allá. El mecanismo de limitación de velocidad de la aplicación, que normalmente protege contra los usuarios que intentan múltiples PIN hasta que uno lo logra, se almacena en el mismo archivo de configuración editable como un simple contador. Si este contador se pone a cero, la aplicación elimina los registros de los intentos fallidos. El investigador criptográfico Olivier Blazy advirtió que “el código fuente publicado no cumple con los estándares de ciberseguridad que esperaríamos para una aplicación tan importante. Nos preocupaba que la Comisión lanzara su aplicación apresuradamente, sin importar sus problemas de seguridad, y ahora podemos ver que quiere lanzar algo que no está técnicamente listo”.
Si la aplicación de verificación de edad está pensada simplemente como una medida de seguridad infantil, entonces las deficiencias técnicas son, sin duda, graves.
Sin embargo, si bien la aplicación se presenta como una herramienta para proteger a los niños en línea, la importancia de la iniciativa se extiende mucho más allá de la seguridad en línea. Si se adopta ampliamente, podría normalizar el acceso basado en la identidad a los servicios en línea y sentar las bases para formas más amplias de identificación digital en toda Europa.
Según Dibran Mulder, presidente de tecnología de Caesar Group, Age Verification Wallet es un paso hacia la billetera de identidad digital de la UE más amplia, un sistema diseñado para convertirse en el equivalente digital de una tarjeta de identificación física. Dado este objetivo más amplio, ha descrito las vulnerabilidades ya expuestas en la aplicación como una “señal de advertencia para toda la infraestructura de identidad digital que Europa está construyendo”.
Esa observación va al meollo del debate. Si la verificación de la edad se convierte en la base sobre la que se construirán servicios de identidad digital más amplios, la confianza en esa base se vuelve fundamental desde el principio. Como dice Moore sobre Age Verification Wallet, “un lanzamiento tan apresurado podría socavar la confianza en futuras billeteras de identidad digital”.
La Comisión ya ha identificado a Francia, Dinamarca, Grecia, Italia, España, Chipre e Irlanda como los llamados “pioneros” en integrar la función de verificación de edad en sus billeteras nacionales de identidad digital. Cada una de estas naciones lo está haciendo ahora, lo que ilustra con qué rapidez la verificación de la edad se está integrando en la arquitectura de identidad digital más amplia de Europa.
Las ambiciones más amplias de la UE, combinadas con la prisa de Bruselas, son precisamente la razón por la que este debate merece un cuidadoso escrutinio público. Hoy la aplicación verifica la edad. Mañana podría verificar la nacionalidad, las calificaciones profesionales o el acceso a los servicios gubernamentales. La verificación de la edad es simplemente el punto de partida, no el final.
Nada de esto es un argumento en contra de proteger a los niños en línea. Es probable que la garantía de edad efectiva se convierta en una parte cada vez más importante del panorama digital y, si se puede lograr sin comprometer la privacidad individual, representaría un importante paso adelante.
Pero el éxito de cualquier sistema de este tipo depende de una gobernanza transparente, normas de seguridad sólidas y un escrutinio independiente.
A la luz de las serias preocupaciones que rodean la privacidad y la seguridad de los datos personales, ese debate debe tener lugar antes de que se permita que la tecnología de verificación de edad se convierta en una parte obligatoria de la vida digital cotidiana.
Lionel Eddy es autor, periodista y comentarista de derechos digitales especializado en biometría, sistemas de identificación digital y tecnologías de vigilancia estatal. Su trabajo examina el reconocimiento facial, las CBDC, las infraestructuras de las ciudades inteligentes y las implicaciones de la gobernanza digital para la libertad civil. Como corresponsal de privacidad y gobernanza digital de The European, escribe sobre privacidad, política biométrica, propuestas gubernamentales de identificación digital y el impacto social de las tecnologías de identificación emergentes.
LEER MÁS: ‘¿Europa está caminando sonámbula hacia el acceso a Internet vinculado a la identidad?’. Mientras Bruselas avanza con sistemas de identidad digital interoperables tanto para empresas como para ciudadanos, Lionel Eddy teme que Europa pueda estar avanzando hacia un futuro en el que demostrar la identidad se convierta en una condición cada vez más inevitable para la participación en línea.
¿Tiene noticias para compartir o experiencia para contribuir? El europeo acoge con agrado las opiniones de líderes empresariales y especialistas del sector. Póngase en contacto con nuestro equipo editorial para obtener más información.
Imagen principal: Vitaly Gariev/Pexels