Google publica como código abierto una biblioteca de pruebas de conocimiento cero (ZKP) para verificación de edad
(blog.google)- Ante el aumento de las exigencias de verificación de edad en línea, Google publicó como código abierto una biblioteca ZKP que puede usarse para garantía de edad
- Las ZKP permiten que los usuarios demuestren condiciones como ser mayores de 18 años sin entregar datos personales innecesarios, reduciendo así la exposición de información en la verificación de edad
- El código publicado, basado en una alianza con Sparkasse, respalda la garantía de edad en la UE y puede usarse en implementaciones de identidad digital por parte de desarrolladores de los sectores público y privado
- Usuarios, empresas y otras organizaciones dependientes, desarrolladores e investigadores pueden aprovechar respectivamente un ecosistema más seguro, soluciones de código abierto, una base de código e implementaciones ZKP más eficientes
- Como el Reglamento eIDAS de la UE, previsto para entrar en vigor en 2026, impulsa la integración de tecnologías de mejora de la privacidad en la EUDI Wallet, esto también podría influir en el desarrollo de billeteras por parte de los Estados miembros
Publicación de la biblioteca ZKP de Google
- Google publicó como código abierto las bibliotecas de Zero-Knowledge Proof (ZKP)
- Esta publicación cumple una promesa anterior y forma parte del impulso para respaldar la garantía de edad en la UE sobre la base de su alianza con Sparkasse
- Esta herramienta criptográfica puede ser utilizada por desarrolladores del sector público y privado para crear aplicaciones que refuercen la privacidad y soluciones de identidad digital
Qué hacen las ZKP en la verificación de edad
- Las ZKP son una tecnología que permite demostrar que un hecho es verdadero sin intercambiar ningún otro dato
- Un visitante de un sitio web puede demostrar de forma verificable que es mayor de 18 años sin compartir información adicional
A quién apunta el código publicado
- Google considera que compartir ZKP beneficia a varios participantes del ecosistema
- Los usuarios de la web y de apps pueden formar parte de un ecosistema digital más centrado en la privacidad y más seguro
- Las empresas y otras organizaciones dependientes pueden usar soluciones de código abierto, sin importar su escala, para cumplir requisitos de privacidad
- Los desarrolladores pueden usar libremente la base de código ZKP para crear aplicaciones centradas en la privacidad
- Los investigadores pueden aprovechar implementaciones ZKP más eficientes y de mayor rendimiento para crear nuevas aplicaciones y nuevas formas de aprovechar la tecnología
Contexto de eIDAS de la UE y la EUDI Wallet
- El Reglamento eIDAS de la UE, previsto para entrar en vigor en 2026, alienta a los Estados miembros a integrar tecnologías de mejora de la privacidad como las ZKP en la European Digital Identity Wallet, es decir, la EUDI Wallet
- La publicación de las herramientas ZKP de Google podría ayudar a que los Estados miembros integren esta tecnología en la EUDI Wallet en el futuro y aceleren su desarrollo
Acceso al código
- La base de código ZKP puede consultarse en google/longfellow-zk
1 comentarios
Comentarios en Hacker News
Aun así, no quiero un modelo que bloquee el acceso solo por la edad
Los padres deberían al menos poder sobrescribir la edad de sus hijos o permitir una evasión selectiva
Si me hubieran bloqueado la mitad de internet, mi experiencia con la computadora habría sido completamente distinta, y más aún viendo qué tipo de contenido se bloquea
En YouTube o TikTok hay mucho contenido raro que no está prohibido pero no es sano, y mis familiares más jóvenes se sienten fuertemente atraídos por eso
No hace falta identificar quién está usando el dispositivo, y la responsabilidad de dejar que un menor use un dispositivo bloqueado debería recaer en los padres
El dispositivo debería declarar un estado como mayor/menor de 18 años, y a los sitios web o apps solo se les debería exigir legalmente que respeten esa declaración
El dispositivo debería poder ser controlado por los padres, y deberían ser ellos quienes decidan si aplican o no una restricción de edad a sus hijos
También debería haber perfiles para que, aunque un niño use el teléfono o laptop de sus padres, no arruine su información ni acceda a cosas que no debería ver
Antes también se consideraba aceptable que los padres alquilaran para sus hijos películas clasificación R con desnudos, sexo o violencia, y eso era distinto de que el videoclub se las alquilara directamente al menor
Si consideran que su hijo de 16 años es lo suficientemente maduro como para ver porno, eso debería ser decisión de los padres
O parece asumir que el principal riesgo de la verificación de edad está simplemente en “que te verifiquen la edad”
Si no existe una solución segura impulsada por el mercado, es decir, un enfoque anónimo, no vigilado y que solo pruebe la edad, y donde el gobierno no pueda vigilar, denegar ni revocar por persona, entonces justo ese tipo de control terminará imponiéndose a todos
No se puede derrotar al enemigo diciendo que no hacen falta los grilletes que quieren ponerle a todo el mundo
Hay que adoptar pruebas de conocimiento cero y tecnología fuerte, descentralizada y de código abierto para resolver problemas reales, pequeños en apariencia pero persistentes, como la edad y la pornografía
De lo contrario, terminamos “confiando” en que políticos débiles, grupos de interés y desconocidos de internet no abusen de nuestra indefensión
Si además se le suma la IA, los riesgos y daños de quedarse pasivos aumentan de forma extrema
Probablemente tú también seas, como yo, un hombre mayor, de la generación que recorrió libremente el internet anterior a la comercialización de las relaciones humanas, encontrando cosas y personas increíbles, y pasando el tiempo aprendiendo en un espacio como la Biblioteca de Alejandría
Pero hay que preguntarles a la Generación Z y a los más jóvenes, especialmente a las niñas, cómo ha sido para ellos internet
¿Alguna vez intentaste jugar un juego en línea casual con tus amigos y terminaste siendo acosada constantemente por 3 o 4 hombres adultos?
¿Cuántas veces le ofrecieron a un menor dinero, en formas como “loot boxes”, a cambio de fotos desnudo?
¿No les empujan algoritmos en cada sitio que visitan contenido que les dice que acepten la anorexia, que apuesten sobre qué dirá Trump en TV, que consuman drogas o simplemente se suiciden?
Los de nuestra generación de tíos tenemos que dejar de añorar la experiencia informática de nuestra infancia y escuchar a los chicos y a la investigación relacionada
El internet amable de los geeks y nerds de antes ya no existe, y si queremos conservar aunque sea un poco de una sociedad que funcione, tiene que cambiar
Si para visitar sitios pasa a hacer falta una credencial gubernamental individual, el gobierno podrá denegar o revocar dinámicamente en cualquier momento el acceso de una persona a cualquier sitio que haya implementado verificación de edad
Si los sitios para adultos adoptan ese sistema, se extenderá a los sitios que quieran reducir su responsabilidad
Podría expandirse a bancos, servicios empresariales y, al final, a casi todo
El gobierno exagerará y amplificará el tema de la responsabilidad, pero no aprobará leyes que creen una zona segura de responsabilidad en temas de edad
Wikipedia ya está luchando para evitar tener que implementar verificación de edad
La verificación de edad gestionada por el gobierno significa que ni siquiera se podrá acceder a Wikipedia sin un permiso estatal rastreable, controlado y revocable de forma individual https://www.eff.org/deeplinks/2025/07/we-support-wikimedia-f...
Pocas veces una pendiente resbaladiza fue tan realmente resbaladiza como esta
Ni siquiera hay una barrera técnica entre un acceso controlado por el gobierno, persona por persona, a sitios claramente para adultos, y un acceso con permiso y control estatal a cualquier sitio con contenido sustantivo
Solo sería una curva de adopción de sitios, y a medida que crezca la adopción también crecerán el alcance de la vigilancia estatal en tiempo real sobre la vida cotidiana, minuto a minuto, y la capacidad de negar a quien quieran el acceso que quieran cuando quieran
La distopía ya llegó, y esto da miedo
La solución que parece necesaria es una credencial de terceros que cualquiera que cumpla criterios públicos pueda ofrecer, una credencial limitada a probar edad, y una implementación basada en pruebas de conocimiento cero
Hay que crear una alternativa anónima, no vigilada e imposible de negar por persona para frenar el impulso de expansión del poder estatal
Si los técnicos con conciencia de seguridad y el mercado no lo resuelven, ganará la versión que destruye la libertad, y será difícil revertirla
Si los sitios para adultos adoptan el sistema, se extenderá a todos los sitios que quieran reducir su responsabilidad, y bancos, servicios empresariales y al final casi todos podrían seguir el mismo camino
Incluso con pruebas de conocimiento cero, en cuanto la credencial se vuelva conveniente y común se expandirá, y pronto lo que se garantice ya no será solo la edad
Aquí la expresión conocimiento cero parece algo exagerada.
En la práctica, se acerca más a dividir el conocimiento y compartir con cada parte solo la porción relevante.
Y parece posible que Google, en su papel de intermediario, sea quien tenga acceso a más información entre las partes involucradas.
Google solo está compartiendo una librería que las implementa, y así como Google no puede acceder a la información bancaria de los usuarios de Android o Gmail, tampoco debería poder acceder a esta información.
Por ejemplo, se podría saber solo si alguien es “mayor de 16” en vez de su fecha de nacimiento.
Pero demostrar eso es difícil, y cuesta confiar en que Google lo haga de esa manera.
En Estonia quizá algo así sí sea posible.
Ha escrito un paper sobre cómo hacer verificación de edad de forma totalmente preservadora de la privacidad, y ni siquiera hace falta una prueba de conocimiento cero.
https://magarshak.com/papers/Personal.pdf
En este hilo hay mucho sesgo, pero me pregunto si podríamos tener una discusión técnica.
No estoy tan metido en el tema, así que me gustaría que alguien respondiera.
Tengo curiosidad por saber qué tan de conocimiento cero es esto realmente.
Según entiendo, hay tres partes: yo, el sitio al que quiero acceder y el probador (¿Google o el gobierno?).
¿El sitio sabe quién soy?
¿El sitio sabe quién es mi probador y puede incluso inferir, por ejemplo, que a ese probador no le gusta el meme de Winnie-the-Pooh?
¿El probador sabe a qué sitio, o a qué tipo de contenido, quiero acceder?
¿El probador sabe quién soy?
¿Yo siempre puedo saber quiénes son el sitio y el probador, y cuándo ocurre esta prueba?
Un ejemplo típico sería demostrar edad ≥ n usando una identificación gubernamental.
El sitio no sabe quién eres.
La idea central es generar una prueba matemática de que tienes una identificación gubernamental válida y que en ella figura “edad ≥ n”.
El sitio sí puede saber quién es el emisor.
Como la prueba se basa en la información de la que parte el probador, en este caso tiene sentido que se sepa qué gobierno emitió la identificación.
El probador no necesita saber cuál es el sitio durante este proceso.
Solo sabe que emitió la identificación, y no hace falta volver a consultarlo después.
Claro que podría diseñarse de forma que se exigiera una prueba de conocimiento cero sobre una autorización escrita reciente de alguna institución, pero eso no es la esencia de las pruebas de conocimiento cero.
Que el usuario siempre pueda saberlo depende de la experiencia de usuario.
Si la billetera y el sitio web están implementados para mostrar siempre cuándo y qué tipo de credencial se solicita, entonces sí sería posible.
Aquí el probador no es Google.
Google solo proporciona la infraestructura para generar y verificar las pruebas, y sería más correcto llamar probador al emisor, es decir, a la entidad de confianza que entrega la prueba de identidad.
Un flujo posible sería así.
Primero, un emisor como el gobierno, un banco o una telefónica emite una credencial firmada a mi billetera, por ejemplo en el teléfono.
Puede ser una identificación digital completa o algo más acotado, como una simple “prueba de edad”.
Luego, el sitio le pide al navegador una prueba de que se cumple una condición como age >= 18.
El sitio proporciona el “zk-program” (circuito) que debe ejecutarse y espera una prueba de que el programa se ejecutó sobre entradas confiables pero no públicas.
El teléfono sabe que tiene una credencial válida firmada por el emisor y genera una prueba de conocimiento cero de que sus atributos ocultos cumplen la condición.
Idealmente esto se genera de forma local, pero todavía no está del todo listo.
El sitio verifica la prueba con entradas públicas como la clave pública del emisor, el circuito usado, la condición solicitada y un nonce/challenge nuevo.
Así que, solo por la prueba de conocimiento cero, el sitio no sabe quién soy, pero sí sabe quién emitió mi ID.
El sitio conoce la clave pública del probador, y el probador no sabe qué sitio visité.
El probador sí sabe quién soy.
Si el usuario sabe qué sitio, qué probador y en qué momento ocurre la prueba depende de la experiencia de usuario que se implemente, y hay varias formas de hacerlo.
El sitio no sabe quién es el usuario.
Ese es justamente el objetivo de todo este enfoque.
El sitio sí sabe quién es el probador.
Como tiene que hacer una verificación criptográfica asimétrica de la prueba, necesita una lista de claves públicas, y a esas claves se les puede asociar la identidad del probador.
El probador no debería saber qué contenido estoy tratando de ver.
Igual que con un JWT, debería poder verificarse la prueba de un usuario sin avisarle al probador cuál es esa validación.
Pero si existe una API para algo como “¿esta prueba fue revocada?”, accidentalmente se podría volver a abrir un canal de información.
El probador sí sabe quién es el usuario, o al menos tiene parte de la información del usuario que puede usarse para probar algo ante terceros.
En la práctica, habría que pensar en información de cuentas de Google, Apple, Microsoft o de bancos, entre otros.
Que el usuario siempre sepa quiénes son el sitio y el probador es técnicamente posible, pero desde una perspectiva humana real genera dudas.
Trabajo en Google, pero estoy muy lejos de este proyecto y no tengo conocimiento interno.
El sistema puede ser una prueba de conocimiento cero válida, pero los servicios reales igual pueden seguir recopilando información de identificación personal del usuario.
Tampoco hay nada que impida que el probador se ponga de acuerdo con el sitio al que quieres entrar para revelar información sobre ti.
https://www.youtube.com/watch?v=fOGdb1CTu5c
Este video lo explica muy bien.
Es sospechoso que la moda de la garantía de edad coincida exactamente con el momento en que los agentes de IA empiezan a poder operar de forma autónoma computadoras personales como si fueran oficinistas humanos
Me preocupa que la garantía de edad quizá no tenga nada que ver con “los niños”
Este problema existe desde hace tanto tiempo como los niños han estado en internet
A principios de los 2000 lo intentaron con tarjetas de crédito y, como era de esperarse, fracasó
El Reino Unido también intentó durante la última década impedir así el acceso de menores al porno y fracasó
Los políticos que siguen impulsando esto probablemente ni siquiera tengan las herramientas de IA en el radar
Estas medidas y otras medidas de violación de la privacidad nunca han tenido que ver con los niños
Puedes demostrar tu edad sin perder tu privacidad
La edad es solo un indicador
No quiero tecnología de conocimiento cero sobre la información X; no quiero tener identidad en absoluto
Punto
Así que no se entrega la edad real, solo una de dos categorías amplias
“Las pruebas de conocimiento cero permiten que una persona demuestre que cierto hecho sobre sí misma es verdadero sin intercambiar ningún otro dato. Por ejemplo, un visitante de un sitio web puede demostrar de manera verificable que tiene más de 18 años sin compartir nada más”
Pero eso no significa “no compartes nada ni siquiera al configurar el token”
¿Se puede demostrar que algún token criptográfico A) no contiene información personalmente identificable y B) no puede usarse por sí mismo como un ID vinculable a mi identidad en una base de datos de Google o del gobierno?
Ambas cosas son imposibles, así que no apoyo estos esquemas de tokens
Puedes recibir un certificado de una entidad de confianza que verifique que eres mayor de 18, y usarlo para generar un token que solo contenga la información “X verificó que soy mayor de 18”
Ni el verificador original ni quien reciba el token deberían poder vincularlo con el certificado original
Véase la sección 2 de este documento: https://eudi.dev/2.4.0/discussion-topics/g-zero-knowledge-pr...
Si hay alguna objeción de que esto sea difícil de lograr técnicamente en la práctica, me gustaría conocerla
Además, una estructura así parece capaz de cumplir con la mayoría de las propuestas de ley de verificación de edad en todo el mundo
Incluso si se compone de dos departamentos de la misma empresa, se podría demostrar que vieron todos los IDs de los usuarios pero no pueden vincular los nombres de usuario con esos IDs
Aun así, como manejan información personalmente identificable, existe riesgo de filtración, así que no es lo ideal, pero es mucho mejor que lo que hace la mayoría hoy
La idea es que el gobierno, que ya tiene tus datos de edad, pueda crear un mensaje firmado, y que la plataforma que verifica la edad no sepa quién eres ni tu edad exacta, sino solo que eres una persona adulta
Las pruebas de conocimiento cero para este propósito son un caballo de Troya para el rastreo de identidad y la certificación del dispositivo
Porque para evitar que todo el mundo emita pruebas de adultez en masa y las regale gratis, hacen falta esos prerrequisitos
En la firma de contratos y los pagos funciona porque hay incentivos inherentes, pero en la prueba de edad no
Al final van a decir algo como “como la prueba se puede compartir, necesitamos un punto de verificación confiable que confirme que tú eres quien realmente posee en este momento el token de conocimiento cero”
Y entonces podrán decirte que prendas la cámara del smartphone y sigas obedientemente instrucciones de biometría
Ya no parece que los gobiernos estén tomando medidas para regular ese tipo de cosas, y quizá nunca lo hagan
Así quedará claro que no están buscando una solución práctica
Hace falta una forma de “explicarles las pruebas de conocimiento cero a los legisladores”
Con eso basta