Ser o no ser (observado)
La Unión Europea y Reino Unido, entre otros, están muy preocupados por el consumo de pornografía en edades anteriores a la mayoría de edad y, consecuentemente, quieren utilizar sus soberanías para obligar a todos los que quieran jugar en su territorio a verificar activamente la edad de los usuarios. Aunque esto pueda parecer un tema menor cuya solución, sea la que sea, pueda parecer aceptable, hay que prestar atención a lo que aceptamos que se empieza con ‘qué edad tienes’ y puede terminar dejando que lo sepan todo de ti. Este tórrido verano es buen momento para parar un poco y ver qué están haciendo en esto de las Verificaciones de Edad ahora, pero de cualquiera otra cosa después. To be or not to be1, es decir: Ser o no ser (observado).
La inactividad social a la que da lugar la estación que marcan estos tórridos días de verano de 2025, deja paso a temas mucho menos importantes que los habituales, pero que sirven para llenar el tiempo informativo de tan desinformado periodo. Aunque los grandes problemas e injusticias siguen ahí, sin que nadie les preste atención, el gran público se dedica al dolce fare niente y parece olvidar los problemas que tiene, y que siguen ahí, aunque no los vea.
Jorge Dávila Muro
Consultor independiente. Director.
Laboratorio de Criptografía. LSIIS.
Facultad de Informática. UPM.
jdavila@fi.upm.es
En esta ocasión uno de los temas que marginalmente aflora trata sobre uno de los mayores negocios de internet; esto es, la Pornografía en todas sus formas.
Resulta que la Unión Europea, en su afán de defender a los niños, a los menores de edad, a “sus” menores de edad que los de Gaza no cuentan para la Comisión Europea (aka Úrsula von der Leyen, ni para el inconfesable tinglado militar industrial que sustenta nuestro 1% más rico de la población (residentes en Alemania, Francia, Inglaterra, Italia, España, etc.)–, ante esta plaga dado que, a pesar de ser uno de los negocios más boyantes para la Internet del siglo XXI (al igual que lo fue para la del siglo XX), la Pornografía es social y económicamente (muy) buena a partir de una edad, pero es claramente perniciosa por debajo de ésa2. Curiosa conclusión que sacan algunos promotores3 de la abstinencia pornográfica para menores de 18 años, cuando realmente tienen los mismos efectos en los adolescentes que en personas con edades para ser clasificados fuera de tal subgrupo.
Además de este sentimiento moralista, la Unión Europea también actúa como adalid de la Protección de Datos, y decide actuar como salvaguarda con cilicio de acero de la libertad individual por encima de todo (o casi todo, mejor dicho). Esta dualidad moral ha generado el problema de exigir a Pornógrafos y cualesquiera otros explotadores del sector Servicios en Internet, que las actividades regladas según a mayoría de edad del cliente vayan precedidas de una verificación anónima de la mayoría de edad del solicitante. Esto no es nuevo, y hasta ahora, la reacción inmediata del sector ha sido preguntarle al cliente su edad y ver si ésta es superior o igual a la requerida. Dado que la honradez de la respuesta no está asegurada, este proceder resulta, al menos, insultante, para los que realmente quieren que se establezca un control real y efectivo de la edad en ese tipo de negocios. Por ello, los evangelistas del Control Parental4, o del control en general, exigen que sea un tercero imparcial el que verifique la verdad de lo que en cada caso se afirma, y que, en este caso, es la mayoría de edad del solicitante de servicio. Éste es un problema bastante universal para las sociedades desarrolladas y se lo conoce genéricamente como la implantación de controles AV (de Age Verification5).
LA VERIFICACION DE EDAD
La Verificación de Edad fue un tema que creció substancialmente en el mundo en los años 2023–2024, y se trata de un sistema basado en cualquier procedimiento técnico que externamente verifica la edad de una persona, o si esta cumple alguna característica (inecuación6). Estos sistemas se utilizan principalmente para restringir el acceso a determinados contenidos clasificados voluntariamente, como es el caso del Control Parental, o según la legislación vigente, como es el caso de la Mayoría de Edad7 legal. Los productos o servicios pueden ser tan variados como el acceso a Alcohol, Tabaco, Centros de Apuestas y juegos de azar, algu nos Video Juegos con contenidos especiales, la Pornografía en todas sus versiones, etc., y todo ello debe hacerse además cumpliendo las leyes de privacidad online que regulan la recolección de información personal en general, pero mucho más si se refiere a menores de edad, como ocurre con la Children’s Online Privacy Protection Act8 (COPPA) en los EE.UU., o como los planes de la Unión Europea para la verificación de edades9.
LA INICIATIVA EUROPEA
La iniciativa europea de Verificación de Edad es implementar de forma efectiva las exigencias de acceso de los menores de edad que establece el Artículo 28 del Digital Services Act10, que establece que las plataformas operativas en la Internet Europea y que puedan ser accedidas por menores de edad tengan un alto nivel de seguridad y protejan la privacidad de los usuarios online. Como es lógico, esta mención a los “menores” exige un método igualmente seguro y respetuoso con la privacidad del usuario, que permita distinguir si pertenece a ese grupo, ser menor, o no; con lo que esa exigencia de calidad se extiende para cualquier posible usuario de Internet desde Europa.
El 14 de julio de 2025 la Comisión Europea se anima a hacer públicos sus planes11 para satisfacer sus propias exigencias de Verificación de Edad en determinados servicios digitales. De hecho, la Comisión con esa iniciativa lanza la primera versión de un EU white-label age-verification blueprint, como base para los futuros y exigidos métodos user-friendly y que respeten la privacidad de los verificados a lo largo de todos los Estados Miembro.
En este lanzamiento hay una primera fase en la que se realizan diferentes pilotos en los que se ponen a prueba distintas soluciones software en colaboración con los estados de Dinamarca, Francia, Grecia, Italia y España que serán los primeros en incluir una solución técnica en sus carteras digitales nacionales (digital wallets12) o bien publicar su solución propia de modo que acabe disponible en los servidores de aplicaciones (app stores) más utilizados. Los ensayos con usuarios, al parecer, han empezado en junio de este año.
La solución europea al problema de la Verificación de Edad se vanagloria de ser un nuevo hito en la proyección de la privacidad dentro de este tipo de métodos. Según la Comisión, cuando el usuario activa la aplicación su edad será verificada por el emisor basándose en datos concretos y precisos del solicitante como, por ejemplo, la fecha de nacimiento. Sin embargo, los servicios online sólo recibirán una prueba de que la edad del solicitante es mayor o no de 18, sin aportar ningún otro tipo de información sobre el solicitante.
En principio el proceso de emisión y el de presentación (uso) de la prueba de edad serán dos procesos diferentes realizados por entidades distintas (¿e independientes?) para defender la intimidad del solicitante. Según sus promotores, incluso, el emisor de pruebas de edad no tendrá información de los servicios ante los que se presentan las pruebas emitidas por ellos. Cada prueba solo podrá ser utilizada una vez para evitar que pudieran relacionarse servicios entre si (cross-service tracking). Se habla de incluir procesos de conocimiento nulo (zero knowledge proofs) en estos procederes, pero eso es algo que hay que tomar con mucho cuidado, ya que es muy fácil creérselo a pies juntillas y luego resultar no ser tan “zero knowledge” como se decía en el folleto.
Las especificaciones técnicas de lo deseado y el proyecto de verificación de edades de la Comisión es open-source y está libremente disponible para cualquiera13, pero el desarrollo concreto de ese proyecto está siendo desarrollado por el denominado T-Scy consortium, compuesto por Scytales AB14 (fundada Suecia en enero de 2025, y con ramificaciones en Boston-Massachusetts-USA y con compañías afiliadas en Grecia, Portugal, Italia y Chile) y por T-Sys International GmbH15 (Alemania), dentro de un contrato de dos años financiado por la Comisión Europea desde principios de este mismo año. Esta iniciativa se construye sobre las mismas especificaciones técnicas que la prometida Cartera Digital Europea o European Digital Identity Wallets (EUDIW), por lo que se une al futuro de ésta, en lo que a su existencia y aceptabilidad general se refiere. Todo ello debería estar disponible a finales del año 2026. Ya veremos qué sale de todo esto.
La reacción de los negocios pornográficos16 internacionales no se ha hecho esperar y está disponible para quien quiera conocer sus argumentos. Como es lógico, los autores de ese texto se centran en los por ellos previstos efectos sobre el negocio de la pornografía, dando por sentado que los sistemas que serán propuestos no van a funcionar en un escenario en el que el usuario no espera y no desea dar datos privados (Nombre, datos biométricos, información bancaria etc.) para poder acceder al servicio.
En Europa eso no debería poder ocurrir ya que disfrutamos de un flamante Reglamento de Protección de Datos Personales (RGPD17) que obliga sólo a pedir los datos estrictamente necesarios para la función que se pretende; en este caso, ser o no mayor de la edad legal, y prohíbe conseguir (sin autorización previa, explícita e informada) ninguna otra posible información sobre el usuario. El problema que tiene T-Scy consortium es precisamente probar que su sistema no puede ser subvertido de ningún modo y permitir alguna información relacionada con el usuario real del mismo.
JUGADORES EN UN ESCENARIO COMPLEJO
Para ver el escenario completo debemos recordar que aquí hay tres o cuatro jugadores. Por una parte, está el Usuario que pretende hacer uso de un servicio en Internet; por otra, la Fuente Autorizada de Datos que es quien (el registro público correspondiente, o el Departamento de Documentos la Policía Nacional en nuestro caso) dice realmente si un usuario perfectamente identificado, cumple o no un determinado requisito: ser mayor de edad, en este caso (pero podrían ser muchos otros). Además de los anteriores, está el Verificador de la Edad que es quién tendrá que quedar per fectamente convencido (y pueda probarlo frente a terceros) de que el hecho marcado se verifica realmente. Por último, tenemos al Proveedor de pruebas anónimas del hecho contrastado (la mayoría de edad).
Si las cosas se hacen bien no habrá, 1) ninguna posible conjura de ninguna de las anteriores entidades (p.ej. alguien entrega sus credenciales a otro), 2) ningún fallo en la implementación del sistema utilizado (p. ej. Integridad de la aplicación y del sistema operativo en el que se ejecuta), 3) ningún fallo en el protocolo seguido, o incluso, 4) en los modos de uso del sistema (p.ej. la correlación temporal de eventos).
EMISIÓN DE CREDENCIALES BASADAS EN PSEUDÓNIMOS
Las propuestas que circulan se basan en la emisión de credenciales basadas en pseudónimos. La idea que está en marcha consiste en que el usuario deberá en algún momento demostrar su mayoría de edad y para ello tendrá que escanear un código QR que lanzará su Billetera Digital en lo que a pruebas de edad se refiere. Si no es un usuario habitual, no dispondrá de esas “credenciales” y tendrán que ser generadas. En respuesta a esa operación, la cartera digital recibirá un lote de 30 credenciales (en principio) anónimas. Cada una de estas credenciales consistirá en un par de clave pública/privada que se genera directamente en tu dispositivo (pseudónimos). Estas credenciales podrán ser renovadas cuando les quede menos de 3 días de vigencias o queden menos del 10% de ellas por usar. Al renovarlas, se eliminan (olvidan) las credenciales viejas.
Cuando se vaya a acceder al proveedor de contenido, se usarán alguna de esas credenciales, las cuales tendrán un mes de validez. Las credenciales usadas en cada caso serán diferentes y el dispositivo olvidará cada credencial en el momento de utilizarla. De este modo se pretende evitar que, con la reutilización de credenciales, se pueda identificar o perfilar al usuario mediante el cruzado de credenciales utilizado en distintos servicios.
La reutilización de credenciales ya utilizadas será una característica que habrá de prestar el Verificador de Edad, que tendría que mantener una Base de Datos con todas las credenciales que ha aceptado, y evitar validarlas una segunda vez que se le presen ten. La razón de ello es que, en principio, no hay ninguna correlación entre las credencia les generadas, ni por un mismo usuario, ni por cualesquiera otros.
Dada la naturaleza de las conexiones http y https, probablemente, la verificación de identidad se convierta internamente en un token de sesión que permita al que lo tenga, navegar libremente por el sitio sin tener que volver a probar su mayoría de edad. De este modo, será el que determine la duración de ese token el que establezca cada cuánto tiempo, o número de conexiones, tienes que probar tu mayoría de edad en tu disfrute del servicio. La validez de todo el sistema, termina dependiendo de la calidad con la que se gestionen esos tokens de autorización y eso es algo que depende del proveedor de contenido en Internet y no del sistema de verificación de edad que se obligue a utilizar.
La validación de la credencial por parte del verificador supondrá, 1) verificar algún tipo de estructura de datos que diga de lo que estamos hablando (ser mayor de edad) y que es lo que se pretende que hablemos, 2) que ese objeto digital está firmado digitalmente con un emisor de credenciales autorizado para afirmar lo que se afirma en la estructura de datos, y 3) que el pseudónimo solicitante ha firmado también digitalmente ese objeto presentado. Si esos tres aspectos se verifican (contenido y dos firmas digitales), el proveedor de servicios podrá dar por satisfecha la Verificación (de lo que sea) y proceder. Del mismo modo, esta credencial podrá ser utilizada como prueba de descargo si al proveedor se le acusa de haber dejado entrar a alguien sin verificación de edad.
CÓMO EL SISTEMA PUEDE SER REALMENTE ANÓNIMO
Para que el sistema sea realmente anónimo, la creación y gestión de los pseudónimos debe hacerse de forma impecable (en secreto, al azar, uniformemente distribuida entre todas las posibles, y de un solo uso, y que sean intransferibles) y sólo por parte del agente que representa al usuario cuya edad se quiere validar.
En las fases de generación de credenciales, el titular, perfectamente identificado (con DNIe, Pasaporte, etc.), tendrá que solicitar a la Fuente Emisora de Datos que corresponda, la generación y firma digital de las correspondientes estructuras de datos. Una vez recibidas, el solicitante tendrá que verificar su corrección (semántica y primera firma digital) y firmarlas con uno y sólo uno de los pseudónimos que ha generado. Para evitar males mayores, debería en ese momento “olvidar” (borrar activamente) la clave privada del pseudónimo que le ha permitido firmar la credencial.
A partir de este momento, la credencial se convierte en un objeto de integridad autocontenida y cualquiera podría presentarlos para asegurar que su edad es su perior a legalmente establecida. Esto tiene que ser así, integridad autocontenida, para desconectar completamente la existencia de la credencial de cualquier cosa, como quién la ha solicitado y en qué momento lo ha hecho. La idea es eliminar (en la medida de lo posible y para todo el mundo) de la credencial cualquier tipo de correlación con su generación y su uso. Cualquier fallo en este aspecto da al traste con la supuesta seguridad y anonimato del sistema de credenciales propuesto.
Algo que hay que tener en cuenta es que la Fuente Emisora de Datos siempre puede mantener una base de datos de todas las credenciales firmadas (y emitidas) en ese momento, el usuario solicitante está perfectamente identificado, por lo que la fuente siempre podría reconocer una credencial firmada por ella (conoce el pseudónimo y la Identidad Legal del solicitante). Dicho de otro modo, si la Policía se hace con la base probatoria de credenciales del servicio web requisado, y las cruza con su base de datos de credenciales emitidas, podrá perfectamente identificar a todos los usuarios/solicitantes que en su momento las generaron/solicitaron.
Otro aspecto a tener en cuenta es la transferibilidad de esas credenciales. Una vez generadas y firmadas, son válidas por sí mismas, y sólo quedan invalidadas por la diligencia del sitio web que la acepto (verificador), por lo que en todos los demás sitios web siguen siendo válidas (posibilidad de doble uso, lo que impide que exista el dinero electrónico). Es verdad que el doble uso podría potencialmente identificar al solicitante, pero, si NO eres tú el solicitante, sino que se trata de credenciales robadas... ¡Al titular legítimo que le den! ¡Pa’lante! Y ya estamos “dentro” (potencialmente) suplantando a otro.
EL CASO DE LA PUESTA EN MARCHA EN REINO UNIDO DE SU VERSIÓN DEL SISTEMA
A finales del pasado mes de julio18, Ofcom19, el máximo organismo de telecomunicaciones del Reino Unido puso en mar cha su versión del sistema de verificación de edad en Internet, según lo aprobado por el gobierno en el 202320 junto a su “Online Safety Act”. El polémico sistema obliga a los servicios que ofrecen contenido para adultos allí, a la implementación de controles de edad que son los más estrictos que cualquiera haya conocido en esa isla.
Fueron suficientes unas pocas horas de funcionamiento para poner de manifiesto la gran cantidad de problemas que lleva asociado los sistemas de verificación de edad, y habríamos de pensar que algo similar puede ocurrir con el que pretende implementar el Gobierno español, aunque este último es esencialmente diferente al inglés. Por ejemplo, en el caso británico, uno de sus grandes vacíos legales (¿intencionado?) de la nueva ley es que no existe un método único de verificación de edad, sino que deja esa labor de elegir e implementar un sistema “fuerte y efectivo” de verificación de edad, a las plataformas que realizan el servicio.
Como suele ocurrir cuando se deja la puerta abierta a ello, cada servicio ha optado por un método diferente, que van desde obligar a subir una fotografía para comprobar que la persona es mayor de edad, hasta pedir datos personales como una tarjeta de crédito o presentar algo equivalente al DNI. Eso de obligar a mandar una fotografía (suponemos de la cara) abre un montón de problemas. El primero 1) es que solicita datos personales biométricos para evaluar si debe prestarse el servicio o no, y 2) la fotografía mandada puede no tener nada que ver con el solicitante de servicio, incluso, no contar éste con la autorización pertinente por parte del propietario de esa cara.
Por ejemplo, en el sistema adoptado por la plataforma Discord, funcionan las fotogra fías de personajes (virtuales) de videojuegos que son (pretendan ser) mayores de edad. En concreto, el juego Death Stranding 2 es el favorito de los internautas ingleses, ya que su gran realismo en las caras de sus personajes es suficiente para engañar a los sistemas de verificación de edad y saltarse con ello el bloqueo.
Otra posibilidad sería utilizar imágenes, en crudo o procesadas mediante cualesquiera de las IAs disponibles, para satisfacer cualquier protocolo de autenticación basado en la cara de un humano (al estilo de algunos procesos bancarios de enrollment para atraer a jóvenes y adolescentes). Además de esto, este sistema, como muchos de los otros permitidos por la ley inglesa (tarjeta de crédito, pasaporte, etc.) no son protocolos de verificación de edad, sino protocolos de autenticación del (supuesto) usuario, por lo que uno se queda plenamente retratado como usuario de ese servicio, y eso es poco probable que guste a los usuarios de conte nidos para adultos.
Los que no han querido complicarse la vida engañando al sistema implantado por la plataforma objetivo, han optado por no parecer ingleses, conectándose por VPN desde fuera de las islas británicas. Después de todo, la obligación legal sólo puede referirse a las IPs puestas bajo la soberanía británica, y si podemos “hacer escala” fuera de Reino Unido, entonces quedamos a la merced de la legislación que haya en el punto de salida de la VPN, y siempre habrá una Isla Tortuga21 que facilite a los ciudadanos del mundo hacer precisamente eso: esconder su nacionalidad e identidad si así le conviene (si existen los paraísos fiscales es precisamente para eso ¿no?).
Hay muchos aspectos poco claros en todo este asunto y será necesario ver si esto llega más lejos que el famoso Radar-Covid que nos intentaron colar cuando más asustados estábamos. Se percibe cierta tendencia al oscurantismo (“ya que no somos profundos, seamos oscuros”) y a mencionar modas pasajeras como el Zero-Knowledge22 y otros protocolos23 fuertemente académicos excesivamente recientes para ser confiables.
Está claro que la Soberanía de la Unión Europea es limitada y que no hay frontera que no pueda cruzar una buena VPN24, por lo que quizás haya que volver a Perpiñán para ver “El Último Tango en Paris”25, pero lo que debemos evitar es que, con la excusa de proteger a los púberes, dejemos entrar en nuestra sociedad un sistema de vigilancia nominal y continua en la que cada individuo está perfectamente identificado, localizado y, sobre todo, históricamente retratado (el que dude de los efectos de esa situación, que se lo pregunte a los chinos26). Mucho de eso ya nos lo han colado con los teléfonos móviles y la ilegalidad de los SIMs de prepago, y ahora vemos para que pueda servir saber quién es quién, qué ha hecho y con quién, y qué opina, y en qué estado de ánimo está. Los sistemas IA de selección de objetivos27 no son sólo una herramienta de la masacre genocida de Gaza28 (Lavender29), es también el negocio de buscadores como Google (que vende a sus clientes) y de Redes Sociales (que cataloga a todos sus usuarios activos y pasivos que pasan por ella) como Meta, TikTok, Spotify o PayPal. En todos los casos, esos sistemas necesitan ingentes cantidades de datos para funcionar y, por el bien de la humanidad, mejor será no dárselos.
1 Ver https://en.wikipedia.org/wiki/To_be,_or_not_to_be
2 Ver https://www.aepd.es/infografias/el-impacto-de-la-pornografia-en-menores.pdf
3 Ver https://www.pediatriaintegral.es/publicacion-2024-01/pornografia-en-la-edad-infantojuvenil-situacion-actual-y-su-prevencion/
4 Ver https://en.wikipedia.org/wiki/Parental_controls
5 Ver https://en.wikipedia.org/wiki/Age_verification_system
6 Ver https://en.wikipedia.org/wiki/Inequation
7 Ver https://en.wikipedia.org/wiki/Age_of_majority
8 Ver https://en.wikipedia.org/wiki/Children’s_Online_Privacy_Protection_Act
9 Ver https://digital-strategy.ec.europa.eu/en/policies/eu-age-verification
10 Ver https://www.eu-digital-services-act.com/Digital_Services_Act_Article_28.html
11 Ver https://digital-strategy.ec.europa.eu/en/news/commission-makes-available-age-verification-blueprint
12 Ver https://en.wikipedia.org/wiki/Digital_wallet
13 Ver https://digital-strategy.ec.europa.eu/en/node/13970/printable/pdf
14 Ver https://hellenic-swedishcc.gr/member/scytales-ab/
15 Ver https://www.t-systems.com/es/es/company/about-t-systems/profile
16 Ver “June 30, 2025 The Scam of Age Verification” en www.pornbiz.com
17 Ver https://en.wikipedia.org/wiki/General_Data_Protection_Regulation
18 Ver https://www.elespanol.com/elandroidelibre/noticias-y-novedades/20250728/ridiculo-verificacion-edad-reino-unido-saltando-bloqueo-porno-impuesto-gobierno/1003743865069_0.html
19 Ver https://www.ofcom.org.uk/
20 Ver https://www.elespanol.com/omicrono/software/20231205/polemico-sistema-identifica-menores-frente-porno-numero-cuenta-fotografias
21 Ver https://en.wikipedia.org/wiki/Brethren_of_the_Coast
22 Ver https://en.wikipedia.org/wiki/Zero-knowledge_proof
23 Ver https://eprint.iacr.org/2024/2010
24 Ver https://en.wikipedia.org/wiki/Virtual_private_network
25 Ver https://en.wikipedia.org/wiki/Last_Tango_in_Paris
26 Ver https://fppchile.org/distopia-digital-cuatro-herramientas-que-china-usa-para-controlar-a-su-poblacion/
27 Ver https://factorial.es/blog/herramientas-ai-seleccion-personal/
28 Ver https://en.wikipedia.org/wiki/AI-assisted_targeting_in_the_Gaza_Strip
29 Ver https://elpais.com/tecnologia/2024-04-17/lavender-la-inteligencia-artificial-de-israel-que-decide-a-quien-se-bombardea-en-gaza.html