Menores en Internet: los retos de verificar la edad 'online' sin comprometer la seguridad

En un entorno digital donde los menores navegan con creciente autonomía, proteger su acceso a contenidos apropiados se ha convertido en una prioridad urgente, siendo la verificación de edad una herramienta clave, sin embargo, su implementación plantea al mismo tiempo problemas de seguridad y privacidad.

Si no se cuenta con una supervisión adecuada, los menores pueden acceder fácilmente a contenido inadecuado para su edad, como pornografía, violencia explícita, lenguaje ofensivo o conductas peligrosas como la autolesión o trastornos alimenticios.

Frente a esta realidad, aunque es crucial la educación digital, la supervisión activa por parte de los padres y tutores y las herramientas de control parental, desde organismos reguladores como la Unión Europea (UE) ya se están movilizando opciones para evitar que los menores accedan a contenido no apto en Internet.

Así, como parte del Reglamento de Servicios Digitales (DSA), concretamente en la actualización del Reglamento sobre la identificación electrónica y los servicios de confianza (eIDAS2), se establece que, a partir del año 2027, todas las plataformas de contenidos digitales de la UE deberán verificar la mayoría de edad de sus usuarios.

Es entonces cuando entran en acción los sistemas de verificación de edad de los servicios 'online', que se basan en distintos mecanismos diseñados para comprobar la edad de los usuarios antes de permitirles acceder a ciertos contenidos o plataformas que están restringidos para su protección.

Según el nivel de seguridad que se quiera garantizar, actualmente los métodos más utilizados incluyen la verificación a través de un documento oficial, ya sea el DNI, el pasaporte o documentos similares, que se ha de compartir y validar posteriormente mediante servicios de terceros conocidos como Know Your Customer (KYC).

Igualmente, también se recurre a soluciones de reconocimiento facial e inteligencia artificial (IA) para estimar la edad de los usuarios.

Como principal ventaja, estos sistemas permiten el control de acceso a contenidos regulados, esto es clave en servicios como plataformas de juegos, redes sociales u otro tipo de páginas como los sitios de apuestas.

Además, como ha valorado el director de Operaciones Globales de Consumo de Panda Security, Hervé Lambert, en declaraciones a Europa Press, estos sistemas refuerzan la seguridad jurídica de las empresas, ya que sirven como prueba de que han empleado herramientas para cumplir las normativas.

Sin embargo, también presentan un riesgo para la seguridad de los usuarios y de su información personal. Principalmente porque implican el tratamiento y almacenamiento de datos personales sensibles, como los documentos de identidad.

Al tratarse de sistemas que utilizan bases de datos para tratar esta información, se convierten en un objetivo llamativo para los actores maliciosos que intentan robar información personal, con múltiples consecuencias negativas, desde la usurpación de identidad para actividades maliciosas hasta el robo de cuentas financieras.

Un ejemplo reciente de este tipo de riesgos ha sucedido con la plataforma Discord. En este caso, un incidente de ciberseguridad relacionado con un proveedor de servicios de atención al cliente externo se saldó con la exposición de los datos de 70.000 usuarios de Discord, incluyendo información personal como los últimos cuatro dígitos de la tarjeta bancaria y documentos oficiales de identidad.

Según Discord, el proveedor externo respalda sus esfuerzos de atención al cliente, concretamente, recogiendo fotos de identificaciones oficiales de los usuarios, como carnets de conducir o pasaportes de personas que apelaron verificaciones de edad.

Como ha manifestado el miembro del grupo de especialistas y activistas en defensa de los derechos digitales Xnet Sergio Salgado, también en declaraciones a Europa Press, este tipo de incidentes son el problema de los sistemas de verificación de edad. "Aunque la plataforma 'core' no caiga, la cadena de subcontratas es el eslabón débil", ha apuntado, al tiempo que ha advertido que, mientras los modelos de verificación de edad sigan expandiéndose, "volverá a pasar".

Por su parte, Lambert ha apuntado que la seguridad de estos métodos "dependen mucho de cómo estén implementados", ya que son soluciones seguras, siempre que se invierta en ciberseguridad, auditorías, cifrado y buenas prácticas de gestión de datos, algo que no todas las compañías pueden asegurar.

Como usuarios, a la hora de enfrentarse a estos métodos, tanto desde Panda Security como desde Xnet recomiendan minimizar el uso de datos personales y la biometría siempre que sea posible. Así como evitar reutilizar documentos sensibles y minimizar los metadatos a la hora de navegar por Internet.

También proponen utilizar identidades digitales o soluciones tokenizadas, así como activar alertas en caso de filtraciones, por ejemplo, de la mano de servicios como 'HaveIBeenPwned'.

Al respecto, Salgado ha asegurado que actualmente aún no se dispone de preparación para utilizar estos sistemas de verificación de edad, al tiempo que ha valorado que las empresas "tienen incentivos para delegar y retener datos" y los usuarios aceptan "flujos intrusivos a cambio de fricción cero".

Igualmente, ha recordado que el uso masivo de tecnología VPN y proxies demuestra que "el enfoque se elude y desplaza el problema, pero no lo resuelve", algo que ya se ha visto en Reino Unido, cuando comenzó a exigir la implementación de sistemas de verificación de edad a los proveedores de servicio en Internet.

Cabe destacar que las compañías tecnológicas también han puesto en marcha otros métodos como la tecnología Credential Manager de Google, que crea un canal seguro para compartir información sobre la identidad del usuario y permite verificarla mediante tecnologías con prueba de conocimiento cero (ZKP), posibilitando demostrar que se es mayor de 18 años sin revelar la identidad.

Meta, por su parte, también utiliza otros sistemas impulsados por IA, que analizan de forma proactiva las cuentas que pertenecen a usuarios adolescentes en sus redes sociales, como Facebook o Instagram, para identificar comportamientos sospechosos de menores, y activar de forma automática las protecciones de Cuentas para Adolescentes.

España también cuenta con iniciativa propia en este ámbito, de la mano de la aplicación Cartera Digital Beta, que permite registrar la edad utilizando un documento oficial, como el DNI electrónico u otros métodos como la Cl@ave PIN. Así, la 'app' verifica la edad de la persona y genera una credencial anónima que permite acceder a sitios web determinados. Esta iniciativa también se extiende a la Unión Europea con su proyecto de Identidad digital.

A pesar de los métodos planteados, Salgado ha explicado que, para Xnet, el ideal para la verificación de edad es "garantizar la identidad autosoberana con ZKP, la auditoría pública, rotación automática y la no retención" de datos. Asimismo, también ha apuntado la necesidad de "hacer cumplir de verdad" el diseño responsable de plataformas "en lugar de pedir el DNI a toda la población".

"En resumen, proteger a los menores en lugar de usarlos como excusa para criminalizar internet e identificar a toda la sociedad", ha concluido Salgado.

Lambert ha incidido igualmente en la relevancia de las campañas de sensibilización y códigos de conducta sectoriales. Así como la combinación de medidas tecnológicas, educativas y regulatorias que son "la vía más efectiva para proteger a los menores 'online'".