La app de verificación de edad de la UE no planea dar soporte de escritorio

 (github.com/eu-digital-identity-wallet)
2 puntos por GN⁺ 2025-09-25 | 1 comentarios | Compartir por WhatsApp
  • El proyecto de billetera de identidad digital de la UE se enfoca solo en plataformas móviles (Android/iOS), por lo que no considera soporte para escritorio
  • Muchos ciudadanos quedan excluidos del servicio, como quienes no tienen smartphone y usuarios de distintos sistemas operativos
  • Las frecuentes solicitudes de verificación de edad y los problemas de privacidad reducen la usabilidad
  • Este enfoque genera preocupaciones clave como dependencia de Google y Apple, restricción de la competencia y debilitamiento de la soberanía digital
  • Se plantea la necesidad de alternativas basadas en código abierto, extensiones de navegador y estándares universales

Resumen y problema central

  • Este tema plantea preocupaciones sobre la usabilidad del sistema de verificación de edad de la billetera de identidad digital de la UE (eu-digital-identity-wallet)
  • Dado que la propuesta actual se centra en una app móvil (Android e iOS), deja en evidencia un problema de exclusión práctica para personas sin smartphone, usuarios de PC y quienes usan sistemas operativos alternativos

Principales problemas de usabilidad

  • Se asume que todos los ciudadanos tienen smartphone, pero siguen existiendo casos de personas sin smartphone, especialmente entre adultos mayores
  • Al usar la web, sobre todo en navegación privada o modo incógnito, se exige verificación de edad cada vez, lo que reduce considerablemente la accesibilidad web
  • También se discutieron extensiones de navegador para automatizar el proceso, pero tienen limitaciones en confiabilidad y protección de datos personales
  • El costo de implementación técnica es alto y existe el riesgo de dependencia de ciertos lenguajes de programación o ecosistemas, lo que eleva la barrera de entrada para actores pequeños como startups

Respuesta de la UE y de la comunidad

  • El proyecto de la UE señala que “para acceder a contenido con restricción de edad, los usuarios deben poder verificar su identidad de una forma confiable y que proteja su privacidad”
  • Como móvil (Android/iOS) representa la gran mayoría de usuarios y casos reales, el soporte de escritorio no está incluido en el alcance actual
  • Explican que esto es solo un ejemplo de implementación de referencia para cumplir con la Ley de Servicios Digitales (DSA), y que también es posible implementar otras soluciones alternativas
  • Indican que en el futuro consideran ampliar las plataformas y aceptar contribuciones diversas

Objeciones y preocupaciones adicionales

  • En algunos países europeos, más de 1 de cada 10 hogares no tiene smartphone
  • Aunque existen en el mercado diversos sistemas operativos y dispositivos además de los OS estándar provistos por Google y Apple (Linux, Windows, Sailfish, etc.), el enfoque actual los excluye
  • La infraestructura pública de identidad queda subordinada a una estructura dominada por empresas específicas (Google y Apple), lo que perjudica la capacidad de elección de los usuarios y la competencia futura en el mercado
  • Como infraestructura pública, debe garantizarse la independencia de plataforma y la neutralidad frente a proveedores, y se necesitan alternativas como smartcards, tokens de hardware FIDO2 y marcos de autenticación propios de la UE

Propuestas de alternativas técnicas y de política pública

  • Se proponen enfoques universales basados en estándares, como la W3C Credential Management API, además de navegadores, sistemas operativos y extensiones de código abierto
  • Concentrar el sistema de identidad digital en móvil puede ser adecuado para reemplazar identificaciones físicas, pero para autenticación en línea es indispensable asegurar una base web y posibilidad de expansión
  • A medida que avance la regulación, muchas voces expresan preocupación por una estructura en la que ciudadanos de la UE queden subordinados a ciertas empresas estadounidenses

Conclusión y demandas

  • En una infraestructura clave como la identidad digital (incluida la verificación de edad), es indispensable asegurar universalidad, neutralidad frente a proveedores e independencia de plataforma
  • Se enfatiza la necesidad de desarrollar e introducir soluciones alternativas basadas en distintos tipos de hardware, OS, navegadores y APIs abiertas
  • El proyecto actual de la UE es solo un ejemplo, y sigue siendo una tarea esencial permitir implementaciones de código abierto y de terceros, además de expandirse a escritorio y otras plataformas

Lecturas relacionadas

1 comentarios

 
GN⁺ 2025-09-25
Comentarios de Hacker News

  • Actualmente este proyecto está enfocado en plataformas móviles, es decir, Android e iOS, porque según dicen esas dos plataformas cubren a la mayoría de los usuarios; el soporte para escritorio no está incluido en los planes por ahora. Siento que esta situación se parece a preguntar “¿acaso no tienes teléfono?”, pero a una escala mucho mayor. Donde vivo también uso el teléfono lo mínimo posible, incluso trabajando en tecnología. Pero me preocupa mucho que esto sea cada vez más incómodo. Parece que para ser reconocido como miembro de la sociedad hay que usar un teléfono. Sobre todo porque varios países, incluido el mío, están impulsando la verificación de edad, y hasta se habla de bloquear el sideloading en Android, así que me preocupa que para finales de 2026 te dejen de tratar como persona si no tienes un smartphone aprobado por el gobierno. Consulten este enlace de YouTube

    • Estos proyectos se impulsan con la idea de aumentar el acceso a la sociedad moderna mediante smartphones fáciles de usar y baratos para más gente, pero el resultado es que la estratificación social se profundiza. Mi hermano también odia de verdad la tecnología y solo usa un teléfono plegable antiguo, y es sorprendente la cantidad de problemas que eso le causa. Lo peor es cuando los sitios de escritorio insisten en que instales una app y ni siquiera funcionan bien.

    • Quiero mencionar una noticia reciente sobre el uso forzado de apps: Ryanair dice que dejará de emitir tarjetas de embarque impresas a partir de noviembre y que solo las ofrecerá obligatoriamente a través de la app. Ni siquiera mostrará el código QR en el sitio de Ryanair desde el navegador móvil: tendrás que usar la app sí o sí. Enlace a la noticia

    • La clave es volver rastreables a todas las personas como si llevaran un “collar”. Los teóricos de la conspiración se preocupan por los microchips implantados, pero en la práctica la sociedad moderna ya nos controla de una forma mucho menos chocante que eso. Parece que hubiera libertad y oportunidades infinitas, pero en realidad eso mismo es el medio para limitar la libertad. Citando el ‘Postscript on the Societies of Control’ de Gilles Deleuze, el sistema de control rastrea en tiempo real la ubicación de cada elemento, ya sea animal o persona, y aunque parezca una credencial o tarjeta digital de acceso, en realidad la computadora vigila toda nuestra ubicación y comportamiento. Enlace al texto

    • De hecho me parece mejor que la verificación de edad no se aplique al escritorio, que no es libre; al menos en el escritorio todavía queda libertad.

  • Creo que este es un buen ejemplo de un requisito impulsado sin reflexionarlo bien. Según sus propias palabras, las apps de escritorio ni siquiera están incluidas dentro del alcance de la verificación de edad. Entonces me da algo de esperanza pensar que quizá resurjan las aplicaciones de escritorio en lugar de los servicios web. Pero ahora los adultos son quienes están cargando con más molestias. Otro problema es que esta política bloquea por completo el desarrollo de nuevos sistemas operativos para teléfonos. Si no se puede hacer la verificación mediante wallet en línea, ¿quién va a querer crear un nuevo sistema operativo móvil?

    • Yo diría que eso ya pasa: las apps bancarias o las apps gubernamentales de eID solo se pueden usar en dispositivos de Google o Apple.

    • Esta política da muchísimo la impresión de “creemos que las PC son algo viejo y ya no importan”.

    • Creo que este caso no muestra que la política se esté aplicando torpemente, sino que es un ejemplo de malinterpretar lo que realmente quieren quienes la impulsan. En la práctica, su objetivo es bloquear ese contenido en sí; la restricción para adultos solo es la envoltura. Es decir, su objetivo es impedir el acceso mismo.

    • En realidad, la respuesta correcta termina siendo: “para usar esta app de escritorio necesitas un smartphone”.

    • No sirve de mucho esperar el regreso de las 'aplicaciones de escritorio', porque si la ley lo exige, incluso una app de escritorio terminará necesitando vincularse con un smartphone.

  • Quiero recalcar una vez más que este proyecto no es THE digital wallet, sino un prototipo inicial. La infraestructura quiere introducir doble ciego con ZKP (Zero-Knowledge Proof) en lugar de attestation, y ese método ofrece mucha mejor privacidad que los sistemas tradicionales de clave pública. Además, es interoperable entre plataformas. Si no están familiarizados, en este sistema la entidad certificadora no sabe nada excepto la afirmación sobre un atributo como edad o licencia, y la UE tampoco sabría qué atributo se verificó, cuándo se verificó ni quién lo intentó.

    • Uno podría pensar que “la gente está entendiendo mal el proyecto”, pero en realidad lo que se está explorando es un método donde no se puede distinguir al emisor; por ahora, en cambio, se está aplicando una solución vinculable basada en criptografía estándar. Por eso, si la autoridad de verificación (el gobierno del Estado miembro) y quien solicita la verificación (el sitio web) colaboran, pueden romper fácilmente el anonimato del usuario. Tanto SD-JWT como las firmas se comparten, así que el emisor y el solicitante pueden ver identificadores. Al final, este proyecto es un escaparate para mostrar que la verificación de edad es técnicamente posible. Tal vez la tecnología de privacidad se incorpore después, pero muchas veces el parche temporal termina volviéndose la solución permanente. Como en el diseño actual es demasiado fácil identificar al emisor, las protecciones de privacidad podrían empeorar. Enlace de referencia

    • Me pregunto si hay documentación sobre ZKP (Zero-Knowledge-Proof).

    • No me queda claro qué significa decir que “este proyecto no es THE digital wallet sino the wallet”.

  • Para explicar la esencia del hardware attestation, es realmente una espada de doble filo. El problema más grande es que el hardware de verificación y la app cliente están en el mismo dispositivo del mismo fabricante. El fabricante terminará priorizando sus ingresos por encima de la privacidad del cliente. Como el panorama actual tan favorable al attestation es tan fuerte, quiero valorar este momento de ‘apertura’ que todavía tenemos.

    • Entiendo la metáfora de la “espada de doble filo” como que hay ventajas y desventajas, pero no veo cuál sería la ventaja de que no me dejen usar mi propio hardware como yo quiera.

    • Lo más absurdo es que no logro entender por qué la UE querría convertir el hardware attestation controlado por dos empresas privadas de Estados Unidos en un requisito indispensable para acceder a servicios. Todo el espíritu de la regulación de la UE gira en torno a la protección del consumidor, la prevención de monopolios y los derechos fundamentales de los ciudadanos. Últimamente también se insiste mucho en la soberanía digital. Pero esto choca de frente con todos esos principios. Perjudica a los clientes —de hecho, es prácticamente lo contrario del GDPR—, beneficia solo a los gigantes monopolísticos, y termina dejando en manos de empresas estadounidenses la validación de ciudadanía para acceder a la información. Se siente completamente contrario al espíritu mismo de la UE.

    • Tengo la esperanza, aunque sea con algo de optimismo, de que esta situación pueda convertirse en una oportunidad para un nuevo tipo de hardware.

    • Me pregunto cómo Private Access Token (PAT) perjudica la privacidad en función de monetizarla.

  • Creo que al final la única opción que nos queda es no usar esos servicios. Pero en la práctica la gente no quiere soportar incomodidades, así que no parece probable que haya una acción colectiva. Tal vez sería posible si todos rechazaran los servicios que excluyen a los usuarios de escritorio. La verdadera solución es que los consumidores “voten con los pies”. Sin embargo, a la mayoría no le importa cómo se usan sus datos y sus derechos, y muchas veces simplemente aceptan la incomodidad. ¿Comprar un teléfono nuevo cada año? OK. ¿Entregar todos los datos de comunicación a las grandes tecnológicas? OK. También aceptan sin mucho problema la vigilancia de empresas privadas que ni siquiera son organismos estatales. Hay demasiada gente que se desconecta en cuanto se empieza a hablar de problemas técnicos o sociales. Cómo lograr que a la gente común le importen los derechos digitales: esa es la tarea más difícil.

    • Esta discusión ya se siente como una guerra perdida desde hace mucho tiempo. Espero que la libertad en internet siga siendo erosionada gradualmente en el futuro. Cuando la gente despierte, probablemente ya será demasiado tarde. Aun así, siendo optimista, espero que los servicios federados se vuelvan corrientes y puedan servir de contrapeso a esta situación.

    • Yo veo esto como la primera etapa. La siguiente será hacer obligatoria la verificación de identidad para todos los servicios. Solo quedarán dos opciones: aceptarlo o no poder usar el servicio en absoluto.

    • A la mayoría de la gente no le importa a menos que experimente directamente una relación clara de causa y efecto donde haber pulsado OK en algún formulario termine afectando de forma real y negativa a su familia, su trabajo o su vida cotidiana. Si no, todo se percibe solo como una preocupación abstracta.

  • Revisé la DSA (Ley de Servicios Digitales) y solo hay tres menciones relacionadas con la verificación de edad. El considerando 71 y el artículo 28 dicen que se debe proteger especialmente la privacidad y la seguridad de los menores, pero prohíben el procesamiento adicional de datos de identificación personal. Solo el artículo 35 sugiere que las “plataformas en línea muy grandes” podrían introducir verificación de edad. El considerando 57 además deja claro que las pymes no están sujetas a esa regulación. En la situación actual, la verificación de edad no es obligatoria fuera de las grandes plataformas. La Comisión está tratando de empujar el ambiente en esa dirección, pero quiero subrayar que legalmente todavía no es algo forzoso. También consulté las directrices y este comentario

    • La wallet de identidad digital no forma parte de la DSA, sino que es un proyecto para 'mover la identidad al teléfono'. Si sale según lo planeado, documentos de identidad, licencias de conducir, diplomas, boletos de tren e incluso pagos podrían manejarse desde este tipo de app. Como se trata de verificación de atributos, por ejemplo podrías demostrar que estás autorizado para conducir sin revelar tu número de identificación personal. Pero una vez que exista esta infraestructura, creo que el gobierno irá agregando todo tipo de obligaciones con el pretexto de reducir costos, proteger a los niños o combatir el terrorismo. Al final existe el riesgo de que la verificación obligatoria se extienda a muchos más negocios. Enlace al proyecto

  • Creo que el título “EU age verification app not planning desktop support” induce a error. Da a entender como si la verificación de edad fuera imposible en escritorio. En realidad, son posibles muchas soluciones diferentes. Esta app es solo un ‘ejemplo’ entre ellas. Por eso, me parecería más apropiado “EU age verification example app not planning desktop support”. No estoy de acuerdo con la implementación, pero la crítica también debe ser precisa.

  • Puede sonar conspirativo, pero creo que esa es precisamente la razón por la que Google está intentando matar el sideloading. Hoy por hoy, móvil es la única plataforma donde se puede aplicar de manera realista la instalación forzada de software y la verificación remota. Si se bloquea el sideloading, en el futuro Google —o Apple en iOS— podría incluso obligar a que todas las tiendas de apps y navegadores apliquen APIs de verificación gubernamental.

    • La razón por la que Google celebra este tipo de leyes de verificación es que encajan con su modelo de negocio. Para vender publicidad es importante que el usuario sea una persona real, así que la verificación le resulta valiosa. Otras redes sociales como X tienen incentivos parecidos.

  • “Por políticas como esta, toda la web se vuelve un espacio inutilizable para quien quiere navegar de forma privada”; eso no es un accidente, es su ‘intención’. Vean los casos de arrestos por publicaciones en redes sociales en Reino Unido y Alemania.

  • Este tipo de políticas es absurdo e incomprensible.

    • En realidad sí es una política perfectamente comprensible. El objetivo es mirar con malos ojos a los usuarios de sistemas operativos que priorizan la libertad, como Linux, y tratarlos como ciudadanos de segunda. Ver este caso relacionado.

    • Depende de a quién le preguntes. Google quiere controlar lo que usan los usuarios mediante verificación de desarrolladores o las barreras al sideloading en iOS. En escritorio hay demasiada libertad, así que estas políticas más bien desalientan el uso del escritorio y refuerzan la dependencia de ecosistemas cerrados.