El servicio de investigación del Parlamento de la UE llama a las VPN una “laguna que hay que cerrar”

 (cyberinsider.com)
1 puntos por GN⁺ 1 시간 전 | 1 comentarios | Compartir por WhatsApp
  • European Parliamentary Research Service (EPRS) afirmó que las VPN se usan cada vez más para eludir los sistemas de verificación de edad en línea y las calificó como una “laguna legislativa que hay que cerrar”
  • Los gobiernos de Europa y otras regiones están ampliando las normas de seguridad infantil en línea que exigen a las plataformas verificar la edad de los usuarios antes de permitir el acceso a contenido para adultos o con restricción de edad
  • EPRS indicó que, tras la entrada en vigor de leyes obligatorias de verificación de edad en Reino Unido y varios estados de EE. UU., el uso de VPN se disparó, y que en Reino Unido las apps de VPN dominaron las tablas de descargas
  • El documento de EPRS782618_EN.pdf) señala que algunos responsables políticos y defensores de la seguridad infantil quieren exigir verificación de edad incluso para acceder a las VPN, pero considera que verificar la identidad antes del acceso a una VPN podría debilitar la protección del anonimato y aumentar los riesgos de vigilancia y recolección de datos
  • EPRS señaló que, a medida que la UE revise su legislación de ciberseguridad y seguridad en línea, los proveedores de VPN podrían enfrentar un escrutinio más estricto, y que en una futura revisión de la EU Cybersecurity Act podrían introducirse requisitos de seguridad infantil para evitar el uso indebido de las VPN

Advertencia de EPRS sobre el vacío regulatorio de las VPN

  • El European Parliamentary Research Service (EPRS) dijo que las VPN se usan cada vez más para eludir los sistemas de verificación de edad en línea y describió esto como una “laguna legislativa que hay que cerrar”
  • Los gobiernos de Europa y otras regiones están ampliando las normas de seguridad infantil en línea que exigen a las plataformas verificar la edad de los usuarios antes de permitir el acceso a contenido para adultos o con restricción de edad
  • Las VPN son herramientas de privacidad que cifran el tráfico de internet y enrutan la conexión a través de servidores remotos para ocultar la dirección IP del usuario
  • Aunque las VPN también se usan ampliamente con fines legítimos, como proteger comunicaciones, evitar la vigilancia y permitir trabajo remoto seguro, los reguladores temen que la misma tecnología permita a menores eludir verificaciones de edad basadas en la ubicación

Aumento del uso de VPN tras la entrada en vigor de leyes de verificación de edad

  • EPRS indicó que el uso de VPN se disparó después de que entraran en vigor leyes obligatorias de verificación de edad en Reino Unido y varios estados de EE. UU.
  • En Reino Unido, se informa que los servicios en línea deben impedir que los menores accedan a contenido dañino, y que tras la entrada en vigor de la ley las apps de VPN dominaron las tablas de descargas
  • La publicación de EPRS señala que “las VPN se usan cada vez más para eludir la verificación de edad en línea” y agrega que están entrando en vigor nuevas reglas que exigen una edad mínima para acceder a algunos servicios

La tendencia a exigir verificación de edad incluso para acceder a VPN

  • El documento de EPRS782618_EN.pdf) identifica a las VPN como un vacío regulatorio y dice que algunos responsables políticos y defensores de la seguridad infantil consideran necesario exigir verificación de edad incluso para acceder a una VPN
  • England’s Children’s Commissioner también pidió que los servicios de VPN se limiten solo a adultos
  • Sin embargo, obligar a verificar la identidad antes de acceder a una VPN podría debilitar gravemente la protección del anonimato y crear nuevos riesgos relacionados con la vigilancia y la recolección de datos
  • Los proveedores de VPN y grupos de privacidad ya se opusieron a este enfoque en una carta enviada a responsables políticos del Reino Unido

Problemas de seguridad y privacidad en la app de verificación de edad de la UE

  • El mes pasado, investigadores encontraron varias fallas de seguridad y privacidad poco después del lanzamiento de la app oficial de verificación de edad de la European Commission
  • Aunque la app se promocionó como una herramienta centrada en la privacidad bajo el marco de la DSA, se descubrió que imágenes biométricas sensibles se almacenaban en una ubicación sin cifrar
  • También se expuso una vulnerabilidad que permitía eludir por completo los controles de verificación

La verificación de edad sigue siendo técnicamente difícil y surgen alternativas

  • El documento de EPRS reconoce que la verificación de edad sigue siendo técnicamente difícil y fragmentada en toda la UE
  • Los sistemas actuales basados en autodeclaración, estimación de edad y verificación de identidad pueden ser eludidos con relativa facilidad por menores
  • También se presentan nuevos enfoques, como la verificación “double-blind” usada en Francia
    • El sitio web solo recibe una confirmación de que el usuario cumple con el requisito de edad, sin conocer su identidad
    • El proveedor de verificación no puede ver qué sitio web visita el usuario

La legislación empieza a abordar directamente a las VPN

  • Utah se convirtió recientemente en el primer estado de EE. UU. en aprobar una ley que apunta explícitamente al uso de VPN en la verificación de edad en línea
  • La SB 73 de Utah define la ubicación del usuario por su presencia física, y no por la dirección IP visible, incluso si oculta su ubicación con una VPN o un servicio proxy
  • EPRS considera que, a medida que la UE revise su legislación de ciberseguridad y seguridad en línea, los proveedores de VPN podrían quedar sujetos a un escrutinio más estricto
  • También indicó que en una futura revisión de la EU Cybersecurity Act podrían introducirse requisitos de seguridad infantil para impedir el uso indebido de VPN para eludir protecciones legales

Lecturas relacionadas

1 comentarios

 
GN⁺ 1 시간 전
Opiniones de Hacker News

  • Por si la gente lo olvidó: cuando China empezó a exigir permiso de registro antes de operar un sitio web, la justificación también era proteger a los niños
    Esta política tan simple terminó silenciando a la mayoría de los editores individuales y medios autogestionados, concentró la industria en pocas manos y eliminó las oportunidades que les quedaban a los emprendedores pequeños. Puede ser un resultado mucho peor que que los niños vean porno en línea, porque afecta negativamente toda la vida de las personas
    Si la UE de verdad quiere restringir los servicios de VPN solo a adultos, entonces que multe a los niños que usen VPN o a los padres que lo permitan. Igual que con las infracciones de tránsito: se multa al conductor, no a la carretera
    Y si aun así creen que no basta, siempre pueden cortar los cables como Corea del Norte

    • Si hubiera que resumir cómo avanzó esto en Rusia, sería así
      Hacia 2015 se creó un marco legal con el pretexto de bloquear medios piratas, especialmente torrents.ru, y se introdujo el bloqueo nacional de DNS, aunque era fácil saltárselo consultando a 8.8.8.8
      Después, con esa base legal, el gobierno agregó más categorías a la lista de bloqueos —casinos, organizaciones terroristas, etc.— y empezó a aplicar con cuidado también bloqueos por IP
      La ley se amplió aún más para permitir que el gobierno bloqueara ciertos medios con criterios vagos, se intentó bloquear por IP algunos sitios grandes, y a los ISP se les obligó a instalar equipos DPI para filtrar HTTPS según SNI
      Hacia 2019 se creó Roskomnadzor (RKN), una agencia estatal que ejecuta bloqueos sin orden judicial, y hacia 2021 empezaron a bloquearse sitios que no filtraban contenido de acuerdo con la ley rusa cuando RKN lo pedía; además, los servicios de VPN también tuvieron que filtrar tráfico con DPI
      Hacia 2023 comenzó la ofensiva contra las VPN: se bloquearon por IP servicios comerciales populares y se ralentizaron selectivamente con DPI conexiones OpenVPN e IPSec; hacia 2025 se introdujo un filtrado fuerte de VPN como vless y WireGuard, y también se degradó el rendimiento de sitios concretos como YouTube y Twitter
    • Yo apoyaría esto si políticos, fuerzas del orden y militares estuvieran sujetos exactamente igual a estas leyes anti-privacidad. Claro, en realidad no lo apoyo
      La oposición expondría sus trapos sucios, saldría a la luz la corrupción cotidiana y todos usarían esos datos como arma unos contra otros, pero ese mundo nunca llegará. No vivimos en un mundo donde la ley se aplique igual para todos
      En otras palabras: “reglas para ustedes, no para mí”
    • Estás haciendo preguntas demasiado lógicas. Piensas y hablas demasiado para ser un ciudadano del mundo de 2026. Ahora “razonar” es una palabra reservada solo para chatbots; los humanos ya no deben hacerlo, solo obedecer como bots y fingir que todas sus mentiras son verdad
      Vivo en Turquía, donde el gobierno prohibió todos los sitios para adultos hacia 2008. Ni siquiera los adultos pueden acceder. Este año, en línea con la tendencia global, están prohibiendo las VPN e introduciendo verificación de edad e identidad
      También están prohibiendo algunos juegos, controlando las redes sociales y legalizando el control y seguimiento de todos en internet. Qué coincidencia que intentos parecidos estén ocurriendo al mismo tiempo en varios estados supuestamente independientes
      Y, por supuesto, desde 2008 eso tampoco ha protegido realmente a los niños en Turquía
    • El argumento de “protejamos a los niños” siempre aparece. Porque así a cualquiera que se oponga a una regulación o ley se le puede etiquetar, en el mejor de los casos, como alguien que “pone a los niños en riesgo”, y en el peor, como “pedófilo”
      Como resultado, quien se opone a esa regulación o ley pasa a ser, en el mejor de los casos, alguien a quien no vale la pena escuchar, y en el peor, alguien a quien hay que meter en la cárcel
      https://en.wikipedia.org/wiki/Think_of_the_children
    • No recuerdo que el sistema chino de permisos de registro para sitios web se justificara con “proteger a los niños”, y tampoco es fácil encontrar pruebas de que esa haya sido una justificación pública importante
      A mí me parece más bien que el gobierno decidió que necesitaba más control sobre internet y por eso aprobó una ley que le daba más control. https://www.gov.cn/gongbao/content/2000/content_60531.htm
      Esa ley tampoco tenía al principio una cláusula especial limitada a menores que luego se ampliara a adultos. En cambio, hasta donde sé, los límites al tiempo de juego para niños siguen aplicándose solo a menores

  • Este titular parece engañoso
    El documento del Parlamento Europeo parece señalar la existencia del debate sobre las VPN
    El pasaje relevante dice algo como: “Algunos sostienen que esto es una laguna de la ley y que también debería exigirse verificación de edad para las VPN. En respuesta, algunos proveedores de VPN afirman que no comparten información con terceros y que, desde el inicio, su servicio no fue pensado para uso infantil. La Comisionada para la Infancia del Reino Unido pidió que las VPN se restrinjan solo al uso adulto”
    Claro, eso no significa que la UE no vaya a regular las VPN, pero en ningún lugar de este documento la “UE” dice que haya que cerrarlas

    • Esta gente estúpida —y no hablo solo de la UE— realmente quiere impedir que los adolescentes vean porno, y está dispuesta a romper la infraestructura de internet para lograrlo. Es una señal deprimente de una sociedad envejecida
    • Ese titular también es el título exacto del capítulo del documento
      Tienes razón en que, en general, trata el tema de forma equilibrada, pero la elección de esa frase concreta fue mala y terminó dándole carnada a la máquina de indignación
      https://www.europarl.europa.eu/RegData/etudes/ATAG/2026/7826...
    • Mostrarles humanos desnudos a los niños es un crimen terrible
      Bombardear niños está bien, y además producimos y entregamos felices todas las armas necesarias para eso
      Es el patrón de una sociedad enferma
    • “Children's Commissioner for England” no es la UE. De verdad no es la UE. El Reino Unido salió de la UE después de elecciones y años de proceso
    • Hace falta una nueva “ley de los titulares”: si el título dice que la UE dijo algo, en realidad la UE no lo dijo

  • Creo que todo sistema de verificación de identidad debería empezar por los beneficiarios finales de las empresas
    Los gobiernos han sido presionados para permitir que los ricos que poseen negocios sospechosos conserven anonimato total, mientras a la gente común la empujan a mostrar identificación incluso para comprar comida

    • Sí. Y peor aún, nadie está presionando al gobierno para que adopte verificación de edad que preserve la privacidad
      En cambio, los técnicos solo intentan convencerlos de que no regulen nada, y eso puede no funcionar
    • Hablando desde una jurisdicción que exige ese tipo de divulgación, es una molestia considerable para las pequeñas empresas y aporta muy poco al público general
    • Empresas fantasma para la clase dominante, cada vez menos anonimato para los campesinos

  • Quienes de verdad quieren bloquear las VPN son las plataformas de streaming comercial, especialmente las de deportes en vivo
    Sin importar el país o el partido en el poder, al final todo gira en torno al dinero

    • Esto necesita más énfasis
      No es solo un problema del gobierno. Algunas grandes corporaciones con dinero también lo están empujando en silencio

  • ¿Por qué los vacíos fiscales no reciben ese mismo nivel de escrutinio?
    La verificación de edad obligatoria en línea me parece dañina y debería prohibirse

    • De acuerdo. La verificación de edad en la web debería prohibirse al 100%
      Los padres tienen que aprender a ser padres, y el gobierno no debería obligar a las empresas a sustituir la crianza
    • Los “vacíos” fiscales son solo políticas deliberadas con las que no estás de acuerdo
    • ¿Por qué crees que no se vigilan? En particular, el Double Irish Dutch Sandwich sí fue perseguido
    • ¿Por qué piensas eso? ¿No te verifican la edad al renovar tu licencia de conducir o al comprar algo en Amazon?
      Cuando yo era niño, los programas infantiles y la publicidad estaban estrictamente vigilados. Ahora cualquier niño puede acceder en internet a porno, violencia y estafas. El daño no es la verificación de edad, sino eso
    • ¿Cómo se define un vacío fiscal? No existe un solo acto llamado “vacío fiscal”; cada uno es difícil de definir porque consiste en usar como optimización un conjunto de prácticas completamente legales, y por eso también es difícil de vigilar
      Es un juego infinito de golpear topos

  • Si algún funcionario del gobierno de la UE está leyendo esto, quiero decir algo breve
    Por favor, dejen de pensar en los niños cuando se trata de internet. En vez de eso, hay cosas mucho más urgentes que hacer
    Cobren más impuestos a las grandes empresas, graven más a los ultra ricos y financien tecnología e infraestructura open source producida en la UE
    Hagan posible que los padres pasen más tiempo con sus hijos, para que puedan protegerlos mejor que cualquier ley tonta y mantenerlos a salvo de depredadores
    Y pongan más trenes

  • Hay una pregunta que no dejo de dar vueltas en mi cabeza
    ¿Por qué la verificación de edad termina vinculándose con la verificación de identidad?
    Entiendo por qué la primera puede ser imposible sin la segunda, pero ¿no bastaría con que la entidad que verifica entregue solo el resultado de la verificación de edad, sin otros datos?
    ¿Estoy entendiendo algo mal? Si eso fuera posible, parecería que se podría seguir usando VPN

    • La verificación de “doble ciego” parece ser exactamente eso
      El informe destaca nuevos enfoques como el sistema de verificación de doble ciego que se usa en Francia. El sitio web recibe solo la confirmación de que se cumple el requisito de edad sin conocer la identidad del usuario, y el proveedor de verificación no ve qué sitio visita el usuario
    • Al menos en casos como la UE, donde se intenta imponer un sistema propio y no depender de terceros independientes, el problema es que uno tendría que confiar ciegamente en que el gobierno controlará la app de verificación de edad y aun así respetará eso
    • Desde la perspectiva técnica, esto es un problema resuelto desde hace unos 10 años con DID, es decir, identidad descentralizada, y sus credenciales verificables
      El marco de la billetera digital de la UE también está construido sobre eso, y el escenario que mencionas es uno de sus casos de uso centrales
      Ahora está pasando del ámbito académico y de investigación al ámbito político, y la retroalimentación y presión de grupos comerciales y agendas políticas están enturbiando el panorama
      Aquí están los enlaces a los documentos del estándar. También es fácil encontrar videos cortos y claros de buena calidad que lo explican
      https://www.w3.org/TR/did-1.0/
      https://www.w3.org/TR/vc-data-model-2.0/
      Por cierto, este es uno de los subproductos sanos de la era blockchain, así que conviene no dejarse llevar por los videos exagerados de promotores de criptomonedas
    • Sí. La verificación de edad que preserva la privacidad es posible. Da la impresión de que la mayoría de quienes se oponen con tanta fuerza a esta idea no lo saben
      La mayoría de las quejas que se ven aquí asumen que verificación de edad equivale a rastreo
      Si la gente hubiera investigado un poco antes de quejarse, podría haber una discusión interesante sobre verificación de edad con preservación de privacidad

  • La gente solo piensa en VPN de privacidad para consumidores, pero dentro de la UE hay un uso mucho más amplio de VPN empresariales
    Túneles punto a punto que conectan dos ubicaciones en una sola red, acceso desde laptops y dispositivos móviles a recursos corporativos, y también para compensar la unilateralidad del internet horrible que hoy muchos se ven obligados a usar
    Básicamente, si haces aunque sea un poco de trabajo remoto, no diré que necesariamente estás usando una VPN ahora mismo, pero es bastante probable. Quizá incluso el propio backend de TI de los políticos tenga opiniones sobre la capacidad del poder ejecutivo para husmear demasiado en el legislativo

  • El gobierno ya tiene la información de identidad de todos, incluida la fecha de nacimiento. Si el problema, como dicen, es que los menores acceden a sitios y servicios para adultos, entonces a los sitios les bastaría saber si el usuario es mayor de 18 años, o de la edad que fije el gobierno
    Debería existir un servicio/API de identidad del gobierno estandarizado que permita al usuario revelar solo su edad, o solo la información que elija, al sitio o servicio que la solicite. Si el servicio de identidad gubernamental tuviera la autenticación de dos factores y la seguridad adecuadas, eso debería ser suficiente
    Las solicitudes y respuestas podrían anonimizarse correctamente para que el gobierno no sepa qué sitio es, y el sitio no conozca la identidad de la persona
    ¿Por qué todavía no existe algo así? Hasta donde sé, nadie lo ha propuesto

    • Sí se ha discutido ampliamente y ya existen implementaciones iniciales. La billetera digital de la UE hace exactamente eso. https://ec.europa.eu/digital-building-blocks/sites/spaces/EU...
      En teoría, pronto todos los países de la UE deberían soportarlo, y los usuarios podrán usarlo para demostrar su edad en línea de manera privada. Todavía queda trabajo para el despliegue real, pero la parte técnica ya está en marcha y el plan de implementación parece definido
    • No. Parece que no entiendes cómo funciona un gobierno. Nunca será anónimo, así que es una idea terrible. Básicamente estás proponiendo vincular las cuentas al pasaporte
    • El documento de identidad del gobierno alemán lo soporta. Tiene PKI y la tarjeta de identidad es una smart card con certificado y clave privada [0]
      Puede responder con una prueba de conocimiento cero a la pregunta de si alguien “es mayor de 18”. Al final solo demuestra que tienes un documento de identidad válido y que conoces su PIN, pero eso parece suficiente. Según el artículo, Francia también tiene esta función
      [0] https://www.personalausweisportal.de/Webs/PA/EN/government/t..., https://www.bsi.bund.de/EN/Themen/Oeffentliche-Verwaltung/El...
    • Sí. Por ejemplo, en Francia se hace así, y en general esa es la dirección que se está discutiendo en la UE
    • Sí. Si a un gobierno realmente le importa la verificación de edad, debería proporcionar esa herramienta. Hay formas de hacerlo sin invadir la privacidad
      Servicios como DigiD de los Países Bajos podrían ser una base excelente. Ese mismo servicio que, aunque todos se oponen, quieren venderle a Estados Unidos. Solo habría que agregarle el servicio de verificación de edad. El gobierno ya sabe quién eres en el sentido legal más estricto

  • Hubo un tiempo en que los padres controlaban a qué sitios web podían acceder sus hijos
    Ahora vivimos en una época en la que los políticos controlan a qué sitios web podemos acceder nosotros