La app de verificación de edad de la UE busca bloquear por completo los sistemas Android no certificados por Google

 (reddit.com)
3 puntos por GN⁺ 2025-07-28 | 5 comentarios | Compartir por WhatsApp
  • La UE está desarrollando como código abierto una app de verificación de edad centrada en la privacidad, y prevé que cada Estado miembro la personalice e implemente
  • La app planea usar la función de atestación remota (Remote Attestation) para verificar si se está ejecutando en un entorno legítimo y confiable
  • Está fuertemente integrada con el ecosistema de Google, ya que requiere un Android con licencia de Google, instalación desde Play Store y aprobar las verificaciones de seguridad del dispositivo
  • Incluso Android personalizados con alta seguridad, como GrapheneOS, no podrán usarse al no contar con certificación oficial de Google; al depender de la Play Integrity API, impone restricciones más estrictas que la atestación estándar de Android
  • En la práctica, aunque se compile manualmente, si no se distribuye por Play Store no podrá usarse; pese a ser de código abierto, esto genera problemas de dependencia real de los servicios de Google y exclusión de sistemas operativos alternativos

Resumen de la app de verificación de edad de la UE

Atestación remota y política de seguridad

  • Está previsto incorporar a la app la función de Remote Attestation (atestación remota)
    • El servidor verificará si la app funciona en un SO genuino y un entorno confiable
    • Criterios para considerar Android como "genuino":
      • Debe ser un SO con licencia de Google
      • La app debe instalarse desde Play Store (requiere cuenta de Google)
        • También debe aprobar la verificación de seguridad del dispositivo
  • Este método de verificación depende de la Google Play Integrity API
    • Aplica restricciones mucho más fuertes que la atestación estándar de AOSP (Android puro)
    • En la mayoría de los casos, no podrá aprobarse en sistemas operativos personalizados como GrapheneOS o LineageOS

Restricciones para sistemas operativos personalizados y compilaciones propias

  • Los sistemas operativos no oficiales o las apps compiladas manualmente no podrán superar la atestación remota
    • Las apps no registradas en Play Store fallarán la autenticación del servicio
    • En la práctica, esto implica dependencia de la cuenta y los servicios de Google
  • Aunque es código abierto, surge el problema de que también quedan excluidos sistemas operativos que ofrecen mayor libertad al usuario y mejor seguridad

Impacto y controversia

  • Dentro de la comunidad de ciudadanos de la UE y desarrolladores, han surgido críticas sobre la mayor dependencia de Google, la exclusión de sistemas operativos alternativos y los límites del código abierto
  • A diferencia de su objetivo declarado de seguridad y protección de la privacidad, crece la preocupación por la reducción de la libertad de elección del usuario y la dependencia de un ecosistema específico

Lecturas relacionadas

5 comentarios

 
crawler 2025-07-30

......Entonces, ¿para qué usar Android?
 
ng0301 2025-07-30

Por allá también son muchos, pero al final hacen lo mismo que aquí y allá jajaja
 
null468 2025-07-29

La verdad no entiendo bien cómo pueden usarse juntos la verificación de edad y la protección de la privacidad..

¿En el momento en que te verificas no estás dejando al menos una vez tu firma ahí, o algo equivalente?

Si de verdad quieren proteger la privacidad, debería poder usarse de forma anónima
 
unsure4000 2025-07-28

Mientras tanto, Pass:
 
GN⁺ 2025-07-28
Opiniones de Hacker News

  • En Android, lo “legítimo” significa un sistema operativo licenciado por Google, apps descargadas desde Play Store (requiere cuenta de Google) y pasar la verificación de seguridad del dispositivo.
    Reconozco que este enfoque sí aporta valor para verificar la seguridad del dispositivo, pero también hace que las apps dependan fuertemente de los servicios de Google.
    Como estas verificaciones de seguridad no pueden pasarse en sistemas Android no oficiales, esto se está señalando como un problema en el proyecto europeo de billetera de identidad digital.
    Issue relacionado en GitHub
    Me gustaría oponerme con fuerza a este plan.
    Si en el proceso de verificación de edad aumenta la dependencia de las big tech estadounidenses, Europa terminará cediendo aún más soberanía tecnológica a EE. UU., lo cual es muy poco deseable.
    Dada la situación política reciente, me parece tan obvio lo grande e indeseable que es este riesgo que casi ni hace falta explicarlo.
    Como alguien directamente afectado, también siento que esta preocupación es razonable.
    En otro comentario de ese issue de GitHub también se discute que imponer los servicios de Google podría violar la independencia jurídica y las leyes de privacidad de algunos Estados miembros de la UE.

    • La “verificación de seguridad del dispositivo” es, personalmente, el elemento que más miedo me da.
      En la práctica significa “hardware y software oficialmente aprobados”, y es una vía rápida hacia la distopía contra la que advirtió Stallman en "Right to Read".
      Me parece bastante irónico que la UE dependa de las big tech de EE. UU. para fortalecer por sí misma el autoritarismo digital.
      Da la impresión de que la idea clásica de la libertad al estilo estadounidense —una libertad más rebelde— nunca ha sido tan popular en la UE o en el Reino Unido.

    • No hace falta que sea por el clima político; esta política en sí misma ya es preocupante a un nivel fundamental.
      El espionaje informativo por parte del Estado siempre es más peligroso, y usar un sistema operativo no local incluso podría ser mejor para la privacidad.
      Eso sí, hay que tener cuidado al ejecutar código privativo.

    • Quiero señalar que, aunque hay gente preocupada por el entorno político en EE. UU., también salió un artículo sobre cierta organización policial del Reino Unido que vigila en línea a quienes critican la inmigración, así que la situación británica tampoco da mucha tranquilidad.

  • La Unión Europea siempre habla de innovación diciendo que reducirá la dependencia de las empresas estadounidenses, pero en la práctica a menudo cambia de discurso y con el tiempo todo termina olvidándose en silencio.
    Los países europeos son fuertes por separado, pero a veces da la impresión de que la Unión Europea solo hace ruido y no logra resultados reales.

    • Estructuralmente, la Unión Europea no es un solo país, sino una organización económica supranacional.
      Francia y Alemania suelen enfatizar la autonomía estratégica, pero Polonia, Chequia y los tres países bálticos son menos favorables a ese tipo de movimiento.
      Como en las discusiones recientes sobre self-hosting, se trata de encontrar un equilibrio entre autonomía y eficiencia.

    • El 95% de los europeos ya usa sistemas operativos estadounidenses; no se puede esperar 20 años a que lancen EurOS solo para la verificación de edad.

    • Una razón clave por la que la dirección política de la UE sigue tambaleándose es que, en el fondo, chocan intereses industriales nacionales de países como Francia, Alemania, Irlanda y Chequia.
      Quienes casi siempre hablan de “tecnología propia dentro de la UE” son los responsables políticos y empresas francesas; Alemania, Países Bajos y Europa del Este no suelen hacerlo.
      Los intereses nacionales pesan más que los de la UE, y la inversión extranjera directa de las big tech estadounidenses ya es enormemente importante en las economías de varios Estados miembros.
      En los años 80 y 90, las automotrices japonesas y coreanas también optaron por cooperar alineando sus intereses con el mercado estadounidense.

    • La UE es como una especie de “chihuahua ruidoso sin efecto”.
      Aprueba leyes autoritarias, pero luego los políticos nacionales dicen que no hay nada que hacer mientras igual se quedan con los beneficios del control de internet.
      Los ciudadanos comunes, en cambio, casi no obtienen nada.

  • La guerra por la libertad de internet se está acelerando.
    Sin una resistencia real a las leyes distópicas, el libre flujo de información está quedando cada vez más relegado a situaciones excepcionales.
    No es una posibilidad futura: es algo que está ocurriendo ahora mismo en todo el mundo.

    • Un amigo me contó que ya no puede ver publicaciones en X (antes Twitter) sobre protestas en su país.
      Ese tipo de publicaciones fue clasificado como contenido “adulto”, así que ahora no se puede ver sin verificación con identificación.
      Ni siquiera es porno real; son videos de protestas.
      De verdad, esto ya está pasando hoy.

    • Siempre empieza con “hay que pensar en los niños”, pero eso es solo el comienzo.
      La época dorada, la era salvaje de internet, ya pasó.
      De ahora en adelante, ni siquiera está claro si podremos proteger la privacidad y la libertad de expresión.

  • Si quieren ver de qué se trata, revisen la documentación técnica oficial y el diagrama del flujo de usuario.
    El flujo principal de uso puede resumirse como una verificación de “mayor de 18” que protege la privacidad.
    Este método busca impedir que menores accedan a porno, pero para alguien con un poco de conocimientos técnicos no puede ser un obstáculo real.
    Por ejemplo, con saber un poco basta para usar una VPN o torrents y saltarse la restricción.
    Sería otra historia si BitTorrent también exigiera verificación de 18+, pero en la práctica es difícil bloquearlo.

    • La verdad, hoy en día con un navegador como Opera GX y una VPN la mayoría puede saltárselo fácilmente.
      Es un método tan común que hasta aparece seguido en anuncios de YouTube, así que quizá ni siquiera requiera ser “tech-savvy”.

    • Creo que las redes sociales son un problema todavía mayor que el porno.
      Casi preferiría que cerraran todas las plataformas sociales y dejaran solo el porno.
      Ver ese tipo de cosas desde pequeño puede causar problemas, pero viendo que la tasa de natalidad anda baja en todo el mundo, a veces pienso que a la gente ni siquiera le interesa tener hijos, así que ya ni habría motivo para preocuparse.
      Últimamente siento que me he vuelto demasiado cínico.

    • Considero que la solución de fondo sería alejar por completo a los menores de internet.
      Si un estudiante menor de 18 años está en línea sin supervisión adecuada de un adulto, entonces toda la sociedad ya falló en su responsabilidad.
      Aunque con las tareas escolares cada vez más centradas en lo online ese barco ya zarpó, algún día habría que intentarlo otra vez desde cero.
      Tan peligrosos como el porno son, al final, otras personas y todo tipo de adicciones.
      Si no se resuelve el problema de raíz y solo se cambia la normativa, la esencia no cambia.
      Edición: tampoco me gusta que las tareas escolares hagan obligatorio el uso de internet.
      Debería ser potestad de los padres decidir si permiten o no que sus hijos usen internet, y me opongo a la verificación técnica de edad o a las políticas de bloqueo generalizado de contenido.
      Los padres deberían orientar a sus hijos con criterio.

  • Quisiera preguntarles a los amigos de la UE:
    ¿por qué se dejan arrastrar por las big tech estadounidenses como Google?
    Creo que Europa tiene capacidad suficiente para hacerlo por su cuenta.
    Es posible sin Google; lo importante es tener un plan claro y voluntad de ejecutarlo.

    • Si las big tech estadounidenses ofrecen una solución “gratis”, la UE la acepta con facilidad y al final termina cediendo en todas las condiciones.
      Después, más tarde, vuelven a escandalizarse como si fuera algo inesperado.

    • La causa es la falta de capital y el miedo al futuro.
      Si Google promete invertir cientos de millones de euros y construir centros de datos, enseguida aparecen los argumentos de empleo y dinamización económica local.
      Si la relación con Google es buena, siguen apareciendo proyectos de ese tipo; si se rechaza, las big tech pueden llevar sus inversiones a otro lado.
      Últimamente ha crecido la idea de que hay que desarrollar tecnología europea propia, pero atraer inversión para competir con los precios de las big tech es muy difícil.
      La inversión directa del Estado no suele ser popular, y para las empresas privadas tampoco hay mucho incentivo si no existen contratos de demanda garantizada.
      Al final, las big tech globales son quienes pueden hacerlo más rápido y más barato, y si la cadena de suministro se interrumpe, ese riesgo se extiende a toda Europa.
      Si la UE excluyera por completo a las big tech estadounidenses, incluso podría provocar una guerra comercial de represalia por parte de EE. UU.

    • No estoy de acuerdo con la afirmación de que “la UE tiene capacidad para resolverlo por sí sola”.
      La mayoría del software hecho en la UE que he usado era de baja calidad, y hasta el que estaba relativamente bien terminó siendo adquirido por empresas estadounidenses.

    • Al final lo importante es el “dinero”.
      Dentro de Europa, la forma de reunir y usar ese dinero es distinta a la de EE. UU.

    • La política, al final, siempre tiende a corromperse.

  • Ya ha habido casos anteriores en que gobiernos prohibieron dispositivos Android no oficiales de Google.
    En GrapheneOS se puede leer un resumen sobre bloqueos.

  • La realidad se está convirtiendo cada vez más en un juego técnico sin ganadores.
    Uso GrapheneOS todos los días y me gusta tanto que siento que debería ser la opción por defecto.
    Hay una app que aplica restricciones similares y ni siquiera se puede ejecutar, así que uso además otro dispositivo con Android stock solo para esa app.
    Es incómodo, pero siento que vale la pena.
    Aun así, me alegra que esta tendencia no se esté extendiendo demasiado rápido a mi alrededor, aunque no me gusta la dirección general.

    • La única opción para ganar en esta situación es simplemente no jugar el juego.
      Se necesita un smartphone, sí, pero para la computación cotidiana la respuesta es usar una computadora aparte.

    • No es un problema técnico; en realidad es un problema regulatorio.
      La UE quiere controlar más internet, y hoy el pretexto es “por los niños”, pero pronto podría extenderse a nombre real obligatorio, escaneo de chats y más.
      Hay que frenar a quienes impulsan este tipo de regulación.

  • El nuevo flujo de uso que están intentando ya es incómodo de por sí, pero todavía me molesta más que empresas privadas, sean de EE. UU. o de China, tengan en sus manos el boleto de entrada a internet.
    ¿Quién querría un internet así?

    • Quienes quieren ese internet son, al final, los ricos asustados y los burócratas.

  • Dejando de lado lo ideológico, quisiera preguntar si esto de verdad es técnicamente necesario.
    Por ejemplo, si no se hace esta verificación, uno podría simplemente modificar el código fuente o el binario y mentir diciendo siempre “soy mayor de 18”.
    Entonces me pregunto si existe una forma técnica clara de evitar eso sin pasar por Google.

    • Sí.
      Todo este flujo en realidad parte de que está basado en el proyecto EU Wallet.
      EU Wallet admite verificación selectiva por atributos basada en estándares OpenID (oidc4vci, oidc4vp).
      Por ejemplo, atributos emitidos por el gobierno pueden almacenarse en la billetera en forma de firma electrónica.
      El problema es que esa información puede copiarse o revenderse, así que solo almacenarla permite evadir la verificación.
      Por eso, al emitir el atributo (credencial, Credential), se autentica un par de clave pública/privada vinculado a un dispositivo específico, y con base en eso el RP verifica adicionalmente si la solicitud realmente viene de ese dispositivo.
      Al final, en ese paso se necesita un “almacenamiento seguro”, es decir, hardware como Secure Enclave.
      Si el entorno no está protegido, como en un teléfono rooteado, o si directamente se puede extraer la clave privada, entonces es posible copiarlo entre dispositivos y el propósito pierde sentido.
      Por ejemplo, un amigo mayor de 18 puede hacer la verificación y luego compartirla.

    • En la práctica, esto requiere algo parecido a iniciar sesión en un sitio web y demostrar que se tiene una identificación personal, pero además podría exigirse un token de hardware o autenticación biométrica (por ejemplo, FIDO, passkeys, etc.).
      El problema parece estar en distinguir entre tokens reales y virtuales, y en impedir simulaciones.
      Ahí podría entrar en juego la validación de confiabilidad del hardware, como Secure Boot.

    • Para evitar la evasión de la verificación, el arranque, el sistema operativo y el hardware tendrían que estar autenticados por una cadena de firmas de producción registrada en la UE.
      Si el usuario registra su propia clave de firma o personaliza una imagen de sistema con secure boot, la verificación de arranque ya no coincide y no se puede autenticar.
      Es parecido a cómo en macOS no se puede acceder a Apple Wallet si se desactivan ciertas opciones de seguridad.
      En esencia, no se puede impedir que el usuario personalice libremente su sistema, pero en ese caso queda fuera de la cadena oficial de autenticación.
      El problema es que, al comercializar este sistema, los únicos casos de aplicación hardware-SO son Google y Apple.
      Al final, la UE tendría que mantener siempre bastante abierta su propia cadena de autenticación y, si alguien explota una falla de seguridad o se recibe una denuncia, hacer que exista responsabilidad legal.
      A futuro, algo como Steam Linux podría registrar esa cadena ante la UE para certificaciones de seguridad como VAC.
      En definitiva, los fabricantes y plataformas tendrían que demostrar responsabilidad y confiabilidad ante la UE, y en el futuro podría permitirse una mayor variedad de sistemas operativos y cadenas.

  • La discusión extensa relacionada puede verse en este issue de GitHub.
    Considero que este enfoque dependiente de Google socava un principio central del mercado de la UE.