Los días del sistema de honor basado en casillas de verificación están llegando a su fin a medida que los esfuerzos para restringir el acceso a internet por edad se extienden por todo el mundo. El objetivo de proteger a los niños tiene una amplia aceptación: se debe verificar la edad para acceder a cierto contenido o, a veces, a plataformas enteras, ya que los jóvenes se exponen a riesgos legítimos cuando se les deja explorar y participar sin medidas de protección.

Pero los métodos de verificación de edad —tanto las formas existentes como las que se están formando bajo una intensa presión regulatoria— varían significativamente(nueva ventana) en efectividad y grado de intrusión. De un enfoque a otro, existen diferencias marcadas en la cantidad de datos que se recopilan y quién los controla. Independientemente del método, el momento más trascendental es el punto en el que realmente se verifica la edad. La mecánica de esa interacción, y cómo se manejan sus resultados, tienen implicaciones en el mundo real para la privacidad(nueva ventana), la seguridad(nueva ventana) y la libertad de expresión(nueva ventana).

Sin embargo, las distinciones a menudo se desdibujan, derivadas de la terminología(nueva ventana) en torno a las verificaciones de edad. El control de acceso por edad, el aseguramiento de la edad, la estimación de la edad y la verificación de la edad pueden colapsar en una sola idea. Entender por qué eso importa comienza por desglosar el lenguaje.

Estándares frente a métodos

El control de acceso por edad y el aseguramiento de la edad son estándares: objetivos de política que describen la intención y la confianza, no el mecanismo. El control de acceso por edad le indica que existe una restricción basada en la edad. El aseguramiento de la edad señala que se está haciendo algún esfuerzo para aplicar esa restricción. Estos términos no especifican cómo, ni con qué eficacia, se determina la edad.

La estimación de la edad y la verificación de la edad son métodos: categorías técnicas sobre cómo se verifica la edad. Y el contraste es fundamental para el debate sobre cómo deben realizarse las verificaciones de edad en línea.

Estimación de la edad frente a verificación de la edad

A medida que los legisladores, los tribunales, las empresas tecnológicas y los grupos de defensa abordan tanto las complejidades como los conflictos(nueva ventana) del control de acceso por edad, los términos «estimación de la edad» y «verificación de la edad» a veces se tratan como intercambiables. Esa abreviatura oculta diferencias significativas en cuanto a precisión, responsabilidad y exposición de datos.

Estimación de la edad

La estimación de la edad, también conocida como aseguramiento de la edad, es exactamente lo que parece: una inferencia, no una confirmación. Estos sistemas se basan en datos que ya están disponibles dentro de una plataforma, como fotos de perfil, videos, audio, información declarada (como una fecha de nacimiento) y metadatos de la cuenta (como el tiempo que ha existido una cuenta). Utilizando técnicas biométricas como el análisis de voz o facial(nueva ventana), combinadas con el historial de la cuenta y los patrones de comportamiento, el sistema genera una probabilidad de que alguien se encuentre dentro de un rango de edad determinado.

Debido a que esto no requiere documentos de identidad, la estimación de la edad a menudo se presenta como «preservadora de la privacidad». Pero la exposición de los datos depende del sistema individual: ¿se estima la edad una vez o continuamente? ¿Qué señales se utilizan? ¿Qué tan seguro es el sistema en sí mismo(nueva ventana)? Y si la edad se interpreta mal, ¿qué sucede?

Los sistemas basados en inferencias son inexactos y pueden ser engañados, de modo que la edad de un usuario puede ser clasificada incorrectamente en cualquier dirección, lo que permite o deniega el acceso donde no debería. En la plataforma de juegos Roblox, que implementó verificaciones de edad obligatorias para acceder a ciertas funciones, los usuarios jóvenes engañaron al sistema(nueva ventana) con bigotes falsos y otros disfraces, lo que subraya el riesgo de depender únicamente de la inferencia.

Se han planteado otras preocupaciones sobre la precisión y el sesgo(nueva ventana), ya que los resultados dependen en gran medida de la calidad de la imagen, varían de un algoritmo a otro y se ven afectados por intersecciones únicas de atributos personales, con lecturas erróneas desproporcionadas en grupos subrepresentados(nueva ventana). Los datos de la prueba de tecnología de aseguramiento de la edad de Australia —vinculada a una prohibición nacional de las redes sociales para los adolescentes— mostraron que la estimación de la edad producía mayores tasas de error en personas con tonos de piel más oscuros y en algunos grupos demográficos, incluidos aquellos de origen indígena y del sudeste asiático.

Si se deniega el acceso a los usuarios que cumplen los requisitos, las opciones de recurso son limitadas(nueva ventana). Por lo general, no se les explica el motivo y la solución por defecto es cargar documentos de identidad, exactamente lo que la estimación de la edad debería evitar(nueva ventana).

Verificación de la edad

La verificación de la edad tiene como objetivo confirmar la edad como un hecho, utilizando pruebas de una fuente de confianza. Hoy en día, eso generalmente significa una identificación emitida por el gobierno, como una licencia de conducir o un pasaporte, ya sea cargada directamente a una plataforma o filtrada a través de un servicio de terceros que verifica la edad y envía un resultado de sí o no.

El riesgo de cargar documentos es intuitivo: los escaneos pueden ser robados o mal utilizados, en particular a medida que las verificaciones de edad se extienden a más servicios. Lo que es más fácil pasar por alto es que, incluso cuando los documentos se eliminan de una plataforma, el resultado de la verificación de la edad a menudo persiste: almacenado junto con una cuenta o sesión y vinculado a un usuario identificable.

Sistemas vinculados a la identidad frente a reclamaciones anónimas o basadas en tokens

Los sistemas de verificación de la edad se dividen en dos categorías: los que vinculan las verificaciones de edad a la identidad y los que intentan no hacerlo.

Sistemas vinculados a la identidad

Los sistemas vinculados a la identidad son el modelo dominante en la actualidad y emplean el conocido flujo de carga de identificaciones. Es posible que las plataformas no conserven copias de los documentos, pero el resultado de la verificación casi siempre se almacena, vinculando el acceso lícito al contenido con una persona real que quizás no desee que se registre esa asociación.

Los sitios de contenido para adultos ilustran el conflicto. En los estados donde se han promulgado leyes de verificación de edad(nueva ventana), el cumplimiento ha significado en gran medida verificaciones vinculadas a la identidad, exigiendo a los usuarios cargar identificaciones a través de proveedores externos. Como resultado, el gigante de la industria Pornhub se retiró de 23 estados(nueva ventana), señalando los riesgos de privacidad. La empresa ha dicho que apoya la verificación de edad «cuando se hace correctamente», y aboga por verificaciones de edad a nivel de dispositivo(nueva ventana) en lugar de verificaciones de edad basadas en el sitio.

Dinámicas similares(nueva ventana) aparecen en los ecosistemas de tiendas de aplicaciones, con la verificación de edad solicitada en el momento de la descarga, el registro o a nivel de la cuenta. Cuando el resultado de esa verificación está vinculado a una cuenta, deja de ser una puerta de un solo uso y se convierte en un atributo que determina cómo la plataforma entiende y gestiona al usuario. Eso puede incluir:

  • Reutilización en el tiempo y en distintos contextos (futuros inicios de sesión, acciones de aplicación, auditorías de cumplimiento)
    Un resultado de verificación reutilizable puede utilizarse mucho después de la verificación original para fines de aplicación, monitoreo o revisión regulatoria, a menudo sin el conocimiento del usuario o su consentimiento renovado.
  • Integración con otros datos de la cuenta (registros de acceso, actividad en la plataforma, registros de moderación)
    Cuando el estado de la edad se combina con datos de comportamiento o de moderación, se convierte en parte de un perfil más amplio que puede influir en el tratamiento de la cuenta y el acceso al contenido de formas que no están relacionadas únicamente con la edad.

Por lo general, a los usuarios no se les informa cuánto tiempo persiste su estado de verificación, dónde se almacena ni cómo se puede reutilizar, lo que les deja poca capacidad para impugnar errores, revocar su consentimiento o evaluar las implicaciones a largo plazo.

Reclamaciones anónimas o basadas en tokens

Otros sistemas de verificación de edad intentan evitar o reducir el vínculo con la identidad. Estos enfoques se basan en reclamaciones mediante credenciales o basadas en tokens, los cuales realizan una verificación de edad una vez y luego reutilizan el resultado para otorgar acceso más adelante.

Reclamaciones mediante credenciales: Las credenciales digitales verificables(nueva ventana) (VDC) dependen de verificaciones de identidad ya realizadas por instituciones de confianza (piense en el DMV y los bancos), lo que permite a los usuarios confirmar la edad en línea con una prueba criptográfica firmada digitalmente; es decir, el emisor responde por la reclamación de la edad. La mayoría de las VDC emplean la divulgación selectiva(nueva ventana), revelando solo lo necesario para cumplir con un límite de edad (por ejemplo, confirmar que alguien es «mayor de 18 años»), aunque las pruebas de conocimiento cero(nueva ventana) más avanzadas apuntan a verificar la elegibilidad sin compartir ningún dato personal en absoluto.

Ambas reducen la exposición en el punto de acceso. Pero los beneficios de privacidad y seguridad dependen de quién emite la credencial y de cómo se almacena(nueva ventana), así como de qué plataformas la aceptan dentro del modelo emergente de identificación digital(nueva ventana) (que conlleva sus propios impactos en la privacidad y el acceso(nueva ventana)).

Reclamaciones basadas en tokens(nueva ventana): Los tokens son como sellos en la mano en un concierto; pruebas de corta duración, específicas de un sitio, que permiten un acceso repetido sin tener que volver a comprobar la edad en cada ocasión. Normalmente, se emiten tras una verificación inicial y una plataforma los utiliza internamente para agilizar el acceso. Aunque eso reduce la exposición repetida de los datos en un mismo servicio, los tokens no eliminan la vinculación con la identidad en el momento de la emisión y ofrecen a los usuarios escasa visibilidad sobre cómo se recuerda o reutiliza su acceso. Por lo general, los usuarios no pueden examinar, limitar ni revocar estas reclamaciones, las cuales convierten una decisión de acceso única en un estado continuo. Los tokens son una optimización de la plataforma, no una función para proteger los derechos.

Sea cual sea la vía de verificación, el mayor riesgo se sitúa en el punto donde se verifica la edad, y el diseño y la implementación del sistema marcan la diferencia.

Sistemas obligatorios por parte del gobierno frente a sistemas gestionados por plataformas

Las leyes definen la obligación de mantener seguros a los jóvenes en línea, pero quienes las ejecutan son los reguladores, las plataformas, los proveedores, las tiendas de aplicaciones y los proveedores de sistemas operativos que deben interpretar requisitos vagos(nueva ventana) bajo una presión operativa real.

Ya sea que una ley exija un «aseguramiento efectivo de la edad» o una «verificación de la edad que preserve la privacidad», rara vez especifica(nueva ventana) exactamente cómo se debe cumplir el requisito en términos de:

  • Qué datos se deben (o no se deben) recopilar
  • Si se requiere una identificación emitida por el gobierno
  • Si la edad puede deducirse o debe verificarse
  • Si la identidad debe estar vinculada a una cuenta
  • Si las verificaciones se realizan una sola vez o de manera continua
  • Quién almacena los datos y por cuánto tiempo
  • Si se permite la verificación por parte de terceros
  • Qué cuenta como «efectivo» o «preservador de la privacidad»
  • Qué recursos tienen los usuarios cuando los sistemas fallan

Tales decisiones se dejan a las autoridades competentes, por lo que el mismo lenguaje legal puede producir resultados radicalmente diferentes(nueva ventana). Estas autoridades simplemente optimizan para diferentes cosas: los reguladores optimizan para la gobernanza, las plataformas para la responsabilidad civil, los proveedores para la comercialización y los proveedores de infraestructura para la uniformidad. Más allá de estas prioridades institucionales, la principal preocupación no es la legitimidad democrática ni la proporcionalidad, sino la capacidad de defensa para demostrar que se tomaron medidas suficientes para prevenir el acceso de menores de edad. En ese entorno, la ambigüedad se considera un riesgo, y el riesgo se minimiza a través de la estandarización y el cumplimiento excesivo, o a través de plataformas que se retiran de los estados donde el cumplimiento plantea preocupaciones tanto ideológicas como financieras.

La red social Bluesky decidió bloquear el acceso por completo en Misisipi(nueva ventana) en lugar de cumplir con una ley estatal que la habría obligado a verificar la edad de todos los usuarios y recopilar datos personales confidenciales. La plataforma afirmó que los requisitos iban más allá de los objetivos de seguridad infantil y que «limitarían la libertad de expresión y perjudicarían de forma desproporcionada a las plataformas más pequeñas».

La opción más restrictiva se convierte en la base no por los comentarios del público o la intención legislativa, sino por la gestión de riesgos operativos. La consecuencia es una abstracción de la política que reduce el alcance práctico de los derechos de todos los usuarios en línea.

Qué está en juego en última instancia

Los grupos de defensa advierten(nueva ventana) que la restricción por edad amenaza a un internet libre y abierto(nueva ventana). Argumentan que los adultos erróneamente clasificados como menores pueden ser bloqueados de información legal. Que los usuarios que no estén dispuestos o no puedan enviar documentos de identidad pueden ser excluidos por completo. Que las comunidades que dependen del anonimato por razones de seguridad, estigma o autoexploración(nueva ventana) pueden encontrar que la información esencial y la conexión ahora vienen con condiciones que no pueden cumplir. Y que la exclusión de los niños de internet que no es “necesaria y proporcional” viola sus derechos fundamentales(nueva ventana).

Aunque el espíritu de estas leyes es la seguridad infantil, a los analistas de la industria les preocupa(nueva ventana) que el lenguaje legal podría aplicarse a cualquier sitio que ofrezca contenido con “temas para adultos”, ya sea que eso signifique información sobre salud sexual, tableros de imágenes creativas o foros sociales.

Estas preocupaciones(nueva ventana) se han materializado en una oposición legal continua(nueva ventana) a la restricción por edad tanto a nivel estatal como federal, a pesar del acuerdo generalizado de que internet debería ser más seguro para los usuarios jóvenes.

Entender lo que realmente significa la “verificación de edad” ayuda a aclarar los desafíos de encontrar ese equilibrio(nueva ventana).