Las comprobaciones de verificación de edad en sitios web se están convirtiendo en un objetivo principal para los piratas informáticos, lo que genera un importante riesgo de privacidad y seguridad para los usuarios. Los métodos utilizados para verificar la edad (incluido el análisis de fotografías mediante IA, las solicitudes de identificación con fotografía (licencias de conducir, pasaportes) y comprobaciones de tarjetas de crédito) generan una gran cantidad de datos personales que son cada vez más vulnerables a las filtraciones. Los incidentes recientes subrayan la gravedad del problema y plantean dudas sobre la eficacia de las regulaciones y su aplicación actuales.
La creciente marea de violaciones
En octubre de 2025, Discord, una popular plataforma de redes sociales, sufrió un ataque que potencialmente expuso las identificaciones con fotografía de 70.000 usuarios. La infracción se produjo a través de un proveedor de servicios externo, lo que pone de relieve una debilidad sistémica en la forma en que se implementa la verificación de la edad. De manera similar, en julio de 2025, la aplicación Tea, que requiere que los usuarios envíen una identificación con fotografía y selfies, también fue pirateada, revelando datos confidenciales del usuario. Estos incidentes demuestran que incluso las plataformas que cumplen con la nueva legislación, como la Ley de Seguridad en Línea del Reino Unido, no son inmunes a las infracciones.
Cumplimiento normativo frente a seguridad en el mundo real
La presión para una verificación de edad más estricta está impulsada por leyes como la Ley de Seguridad en Línea del Reino Unido, la ley del espacio digital de Francia y la Ley de Servicios Digitales de la UE. Estas leyes consideran que los controles de edad autodeclarados son insuficientes y exigen métodos más sólidos, como la comparación de documentos de identidad con fotografía o la verificación de tarjetas de crédito. Sin embargo, la realidad es que muchas plataformas dependen de proveedores externos para manejar estos datos, lo que crea un eslabón débil en la cadena de seguridad. La afirmación de Discord de que no almacena permanentemente documentos de identidad se ve socavada por el hecho de que su proveedor externo fue violado, exponiendo los datos del usuario de todos modos.
Las consecuencias de las fugas de datos
El daño potencial de las selfies y las identificaciones con fotografía filtradas es sustancial. Los usuarios se enfrentan al robo de identidad, al fraude y a delitos cibernéticos cada vez más sofisticados gracias a la tecnología deepfake y la IA generativa. La disponibilidad de dichos datos personales amplifica el riesgo de ataques dirigidos y manipulación maliciosa. Además, el hecho de que los proveedores externos estén frecuentemente ubicados fuera de jurisdicciones regulatorias estrictas (como la UE o el Reino Unido) hace que sea casi imposible hacer cumplir los estándares de seguridad y eliminación de datos.
La necesidad de una supervisión más estricta
A pesar de la orientación de reguladores como la Oficina del Comisionado de Información del Reino Unido y Ofcom, las violaciones de Tea y Discord demuestran que las medidas actuales son ineficaces para prevenir la retención de datos o hacer cumplir su eliminación. El Departamento de Ciencia, Innovación y Tecnología del Reino Unido ha intentado abordar estas preocupaciones, reiterando las normas del RGPD que exigen la minimización de datos. Sin embargo, la realidad es que a menudo se incentiva a las plataformas a retener datos con fines comerciales, incluso si violan las normas de privacidad.
El camino a seguir
Para salvaguardar la privacidad del usuario, es esencial una supervisión y aplicación más estrictas. Los reguladores deben ir más allá de la mera orientación e imponer requisitos vinculantes a las plataformas y a los proveedores externos. Esto incluye políticas obligatorias de eliminación de datos, auditorías de seguridad periódicas y sanciones severas por incumplimiento. El enfoque actual, que se basa en la autorregulación voluntaria, ha resultado inadecuado. Sin poderes de ejecución genuinos, la verificación de edad en línea seguirá siendo una mina de oro para los piratas informáticos
