La trampa de la verificación de edad: verificar la edad debilita la protección de datos de todos los usuarios

 (spectrum.ieee.org)
2 puntos por GN⁺ 2026-02-24 | 1 comentarios | Compartir por WhatsApp
  • Aunque en toda la sociedad se impulsa un endurecimiento de las restricciones de edad en redes sociales, la verificación real de la edad exige inevitablemente la recopilación y conservación de datos personales
  • Las plataformas dependen de dos enfoques principales, como la verificación basada en documentos de identidad o la estimación facial con IA, y en ese proceso surgen falsos positivos, errores de clasificación y riesgos de filtración de datos
  • Grandes empresas como Meta, TikTok, Google y Roblox ya han implementado distintos sistemas de estimación de edad, pero las verificaciones repetidas y los fallos aumentan la incomodidad para los usuarios
  • Estos sistemas chocan con los principios básicos de las leyes modernas de protección de datos (minimización de datos, limitación de finalidad y limitación del período de conservación), y en particular en los países en desarrollo terminan reforzando la vigilancia
  • El texto señala la falta de equilibrio entre la protección infantil y la protección de la privacidad, y advierte que la verificación de edad está reconfigurando la estructura de identidad y acceso en todo Internet

El dilema técnico que provoca la verificación de edad

  • La sociedad considera a las redes sociales como un objeto de regulación similar al juego de apuestas o al alcohol, y está impulsando restricciones para usuarios menores de 13 o 16 años
  • Pero para demostrar la edad real se necesita recopilar datos de identidad personal, y para poder probarlo se requiere conservar esos datos a largo plazo
  • Como resultado, una regulación estricta por edad genera una contradicción estructural que debilita la protección de la privacidad

Principales métodos de verificación de edad

  • Primero, la verificación basada en documentos de identidad: exige presentar una ID emitida por el gobierno, una identidad digital u otros documentos
    • En algunas regiones, los adolescentes no tienen ID o la versión digital es deficiente
    • Guardar copias del documento de identidad genera riesgos de seguridad y uso indebido
  • Segundo, la verificación basada en inferencias: estima la edad a partir del comportamiento del usuario, señales del dispositivo o IA de reconocimiento facial
    • Existen errores probabilísticos y, en lugar de precisión, incorpora la posibilidad de clasificación errónea
  • En la práctica, ambos métodos se combinan en una estructura escalonada de autodeclaración → estimación con IA → verificación con documento de identidad

Casos de aplicación en plataformas principales

  • Meta (Instagram): introdujo una estimación de edad facial basada en video selfie mediante socios externos
    • Si se sospecha que el usuario es menor de edad, la cuenta se restringe o se bloquea, y para apelar se requiere verificación adicional
  • TikTok: estima la edad analizando videos públicos
  • Google/YouTube: tras una estimación basada en historial de visualización y actividad, si hay dudas exige presentar un documento de identidad o una tarjeta de crédito
  • Roblox: después de implementar un sistema de estimación de edad con IA, se registraron casos de compraventa y abuso de cuentas infantiles
  • Para los usuarios, la verificación de edad se transforma no en un trámite único, sino en un proceso repetido de verificación

Fallos del sistema y riesgos para la privacidad

  • Falsos positivos: usuarios adultos son clasificados como menores y sus cuentas quedan bloqueadas
  • Omisiones: adolescentes eluden la verificación usando VPN o la ID de otra persona
  • En el proceso de apelación, las plataformas deben conservar por largo tiempo datos biométricos, imágenes de documentos de identidad y registros, lo que incorpora riesgos de violación de datos
  • A escala de millones de usuarios, esta estructura integra riesgos de privacidad en la propia operación de la plataforma

Choque con las leyes de protección de datos

  • Los principios modernos de protección de datos parten de la recopilación mínima necesaria, la limitación de finalidad y la limitación del tiempo de conservación
  • Pero la verificación de edad exige retención de registros, preservación de evidencia y monitoreo continuo, por lo que entra en conflicto con esos principios
  • Los reguladores no consideran convincente la afirmación de que “se recopilaron menos datos”, y las empresas responden recopilando aún más datos para evitar riesgos legales

Mayor vigilancia en países en desarrollo

  • Brasil: coexisten el Estatuto del Niño y del Adolescente (ECA) y la ley de protección de datos personales
    • Como la infraestructura de identidad es desigual, aumenta la dependencia de la estimación facial y de proveedores externos de verificación
  • Nigeria: ante la falta de documentos oficiales de identidad, se utilizan análisis de comportamiento, inferencias biométricas y servicios de verificación extranjeros
    • Se amplían los flujos de datos y disminuye el control del usuario
  • Cuanto menor es la capacidad administrativa del Estado, más probable es que la verificación de edad termine convirtiéndose en mayor vigilancia

El círculo vicioso que crea la aplicación regulatoria

  • El criterio ambiguo de “medidas razonables” con el tiempo se endurece hacia medidas cada vez más invasivas
  • Escaneos faciales repetidos, verificación de identidad y conservación prolongada de registros se consolidan como procedimiento estándar
  • Los diseños menos invasivos son descartados por considerarse incapaces de responder a las exigencias regulatorias
  • Esto es similar al proceso por el cual antiguos sistemas de seguimiento de impuestos sobre ventas en línea terminaron exigiendo registros continuos de transacciones

La decisión evitada y el problema estructural

  • Se señala que el problema no es la protección infantil en sí, sino la negación del trade-off
  • Incluso la prueba de edad con preservación de privacidad (como la intervención de un tercero gubernamental) no resuelve el problema de quienes no tienen ID
  • En algunos países, la edad para obtener un documento de identidad es superior a la edad permitida para usar redes sociales, por lo que hay que elegir entre excluir a usuarios legales o imponer monitoreo generalizado
  • Actualmente, las empresas están respondiendo con sistemas diseñados para minimizar el riesgo legal como prioridad
  • Como resultado, las leyes de restricción por edad están reconfigurando la identidad, la privacidad y la estructura de acceso de todo Internet

Conclusión

  • La trampa de la verificación de edad no es un simple error técnico, sino una estructura que surge inevitablemente cuando la regulación obliga a hacer cumplir la edad y trata la privacidad como algo opcional
  • Esto revela la paradoja de que políticas impulsadas en nombre de una fuerte protección infantil debilitan el sistema de protección de datos de todos los usuarios

Lecturas relacionadas

1 comentarios

 
GN⁺ 2026-02-24
Opiniones de Hacker News

  • Parece que no queremos exigirles a los padres la responsabilidad sobre el contenido que consumen sus hijos
    En EE. UU., si le das alcohol, armas o tabaco a un menor te sancionan, pero en internet esa responsabilidad social parece desaparecer
    Si queremos proteger a los niños, en vez de crear un Estado de vigilancia deberíamos darles a los padres herramientas de monitoreo potentes para que puedan controlarlo por su cuenta
    Al final, proteger a los hijos es el rol original de los padres

    • A veces pienso que ya ni sé quién está realmente del lado de la libertad
      La promesa de internet ya se rompió por culpa de los feeds y las grandes empresas
      Incluso hay documentos que muestran que ejecutivos de Facebook pensaban en cómo volver más adictos a los niños
      En esta situación, yo estoy más en la postura de que “odio más a Nanny Zuck que a un Estado de vigilancia”
    • Estoy de acuerdo con darles herramientas potentes a los padres, pero en la práctica es demasiado difícil
      Estoy en plena guerra para bloquear YouTube con mi hijo de 7 años: se saltó el bloqueo por DNS, usó proxies y ahora lo evade con DNS-over-HTTPS de Firefox
      Al final solo lo freno con políticas. Las herramientas para padres son demasiado débiles
    • Así como existe una responsabilidad social para impedir la venta de alcohol o tabaco a menores, también queda la duda de quién debería impedir que las empresas vendan ese tipo de cosas en las escuelas
    • Desde la perspectiva de un padre, controlar con detalle el acceso de un hijo a internet es una pelea interminable contra las filtraciones
      Incluso los dispositivos entregados por la escuela tienen controles débiles, y los niños comparten entre ellos formas de saltárselos
    • Yo sí apoyo regular internet y las redes sociales, pero me parece irrealista ponerles toda la responsabilidad a los padres
      Aunque los padres pudieran bloquearlo técnicamente, la sociedad entera cayó en un equilibrio de Nash
      Todo el mundo usa teléfonos, así que no usarlos te deja socialmente aislado
      Al final hace falta coordinación comunitaria, e idealmente cooperación local aunque no sea del gobierno

  • Trabajo en un sistema europeo de cartera de identidad basado en zero-knowledge proof
    Extrae solo el atributo de “mayor de 18” del pasaporte y permite demostrar la edad de forma anónima
    Si confías en una ID emitida por el gobierno, es posible verificar solo la edad sin exponer datos personales
    Combinado con cosas como la política de eliminación de cuentas inactivas de la UE, este enfoque podría ser una solución realista

    • Pero si uno revisa la documentación de EU Identity Wallet, en realidad es una estructura sumamente invasiva
      Te emiten 30 tokens con vencimiento de 3 meses y obligan a instalar Google Play Services
      En GitHub ya señalaron problemas graves de trazabilidad de tokens y violaciones de privacidad, pero los están ignorando
    • También está la duda de si se puede demostrar la edad sin mandar la ID al servidor
      Si todo se hace solo en el cliente, se puede falsificar; si se envía al servidor, se daña el anonimato
      Al final hace falta una attestation del gobierno, y en ese proceso aparece el rastreo
      Estos sistemas terminan llevando a una vigilancia opaca con la excusa de “detener a los malos”
    • También me pregunto si este tipo de sistema permite verificación offline
      Si el gobierno opera una base de datos central, al final puede rastrear a los usuarios a través de los tokens
    • El zero-knowledge proof es una mejora, pero el problema de confianza sigue ahí
      Que tengas que iniciar sesión con una cartera gubernamental para acceder a la web es gatekeeping
      En la práctica solo autentica el dispositivo, no sabe quién está frente a la pantalla
      Al final se va a evadir igual, como en la época de Net Nanny
      Creo que EE. UU. no debería copiar este modelo europeo
    • Algunos países, desde el principio, solo quieren usar el escaneo facial para otros fines y no les importa la seguridad

  • Creo que la premisa del artículo está equivocada
    La idea de que “para demostrar la edad hay que recolectar datos personales” es lo que termina justificando la vigilancia
    Más bien, si la ley prohibiera explícitamente la recolección de datos personales, alternativas como zero-knowledge proof avanzarían más
    Si desde el inicio dices “sin invadir la privacidad es imposible”, todo termina inclinándose hacia la invasión

  • Es demasiado común que los padres les den a sus hijos una cuenta desbloqueada o que los niños se la roben
    Ni siquiera criminalizar eso sería realmente efectivo; al final hace falta un cambio cultural
    Si ese cambio ocurriera, podría resolverse permitiendo a los menores solo dispositivos basados en listas blancas

    • Pero yo, como padre, no querría ese tipo de bloqueo general
      La idea misma de lo “apropiado para la edad” me parece ofensiva
      Creo que hay que hablar con los hijos y enseñarles a juzgar por sí mismos
      Al final, la verificación de edad solo sirve para reforzar el control del gobierno y de las empresas
    • Incluso con una verificación de ID anónima, los niños terminarían validándose con la ID de un amigo o de sus padres
      Antes se sentían orgullosos de saltarse los bloqueos de contenido, así que pensar que ahora van a obedecer la ley dócilmente es una idea ingenua
    • Como internet no tiene fronteras, aunque un país apruebe una ley de verificación de edad, siempre se podrá rodear usando servidores de otro país
      La industria del porno sí sufriría, pero un bloqueo total es imposible
    • En mi experiencia, mi hijo cierra sesión en una cuenta de YouTube con restricción de edad y ve contenido sin restricciones
      Me pregunto qué clasificación de contenido se supone que tiene YouTube cuando estás desconectado
    • Hace falta un estándar donde los sitios web marquen por sí mismos la clasificación del contenido y el dispositivo lo bloquee en función de esa clasificación

  • Hace tiempo, al crear una app educativa para niños, me topé con el problema de la verificación de edad
    Pedíamos parte del SSN del padre o usábamos un servicio de certificación COPPA, pero el proceso de registro se volvía complicado
    Al final es un tema de trade-off entre seguridad y experiencia de usuario

  • Si se va a hacer verificación de edad, debería resolverse a nivel del dispositivo
    Si los padres configuran el navegador de sus hijos en “modo menor de edad”, el sitio web solo tendría que respetar esa señal
    El proveedor del servicio no tendría que guardar ninguna ID

    • Esto suena bastante razonable. Me pregunto si hay algo importante que se me esté escapando

  • Si el objetivo es proteger a los niños, hay formas distintas de la verificación de ID
    Por ejemplo, se podría volver ilegal la publicidad dirigida o el contenido adictivo orientado a menores, y sancionar a los ejecutivos que lo aprueben

    • Pero si haces eso, las empresas más bien van a reforzar la verificación de edad
      Porque necesitan distinguir a los niños para evitar mostrarles esos anuncios
    • Al final, para evitar sanciones, terminarían adoptando verificación de ID
    • Las grandes empresas ya construyeron una infraestructura para esquivar responsabilidad legal
      Con cadenas de instrucciones no documentadas y comunicaciones internas enormes, vuelven imposible rastrear responsabilidades
      En una estructura así, castigar de verdad a una empresa es casi imposible
    • Facebook ni siquiera puede detener los anuncios fraudulentos, así que esperar que proteja a los niños es demasiado

  • El propósito de un sistema se revela por sus resultados
    En la tendencia actual de verificación de edad, lo esencial es el debilitamiento de la protección de datos
    Viendo que los gobiernos occidentales avanzan al mismo tiempo, parece que el verdadero objetivo es eliminar el anonimato online
    Proteger a los niños es solo el pretexto; el objetivo real sería el control político y la gestión del flujo de información

    • Aquí también hay un incentivo de ganancias
      Las empresas de verificación de edad hacen lobby para volverla obligatoria y ganan dinero violando la privacidad
    • Claro, no todo resultado de un sistema tiene que interpretarse como intención
      También podría ser simplemente una ejecución incompetente
    • Pero muchas discusiones se enfocan solo en soluciones técnicas y pasan por alto el problema de las estructuras de poder
    • Como decía Adam Smith, cuando personas del mismo sector se reúnen, al final terminan tramando una conspiración contra el interés público
    • Aun así, ver todos los resultados como conspiración también es excesivo
      Entre el diseño y la implementación existe una brecha inevitable

  • Hace falta una forma de guardar en el dispositivo personal información cifrada de identidad y edad, y que los servicios la verifiquen criptográficamente
    Por ejemplo, que un iPhone pueda demostrarle a DoorDash que el usuario es “mayor de 21” igual que funciona Face ID
    El problema es qué tan rápido se adoptaría una infraestructura criptográfica estandarizada y si las empresas confiarían en ella

    • Pero el verdadero objetivo no es la verificación de edad, sino eliminar el anonimato
      Minimizar la información de identidad va exactamente en contra de lo que buscan
    • El estándar ISO/IEC 18013-5 permite demostrar solo la edad mediante una licencia de conducir móvil (mDL)
    • La identificación electrónica alemana también se conecta por NFC con apps para verificar solo la edad sin revelar otros datos
    • Ojalá este tipo de sistemas se adopte pronto
      Como escribí en mi entrada de blog, eso haría posible una red social centrada en humanos y sin bots
    • Pero algunos sostienen que “hay que tratar a todos como adultos”
      Internet es, en esencia, una red imposible de controlar, así que lo realista es impedir que los niños accedan
      Es peligroso construir una sociedad de control de la información con la excusa de “proteger a los niños”

  • La afirmación de que “para verificar hay que conservar los datos permanentemente” es falsa
    Basta con que un tercero como iDIN(idin.nl) confirme la edad y deje un marcador de “mayor de 18”

    • Pero ya existe una alta probabilidad de que la información de identidad sea expuesta, almacenada y mal utilizada
      Aunque haya gobiernos o empresas de buena fe, no tienen poder para impedirlo
    • No hay forma de demostrar que una empresa no está guardando los datos
      Por eso, la única solución real es una arquitectura donde los datos no salgan del dispositivo
    • Sin embargo, en una verificación legal este enfoque no se acepta como prueba
      Porque no hay manera de demostrar que la plataforma realmente verificó la edad