Los días del sistema de honor de las casillas de verificación están llegando a su fin a medida que los esfuerzos por restringir el acceso por edad en internet se extienden por todo el mundo. El objetivo de proteger a los menores es ampliamente aceptado: se debe verificar la edad para acceder a cierto contenido o, a veces, a plataformas enteras, ya que los jóvenes se exponen a riesgos legítimos cuando se les permite explorar y participar sin barreras de protección.

Pero los métodos para verificar la edad —tanto los existentes como los que se están formando bajo una intensa presión regulatoria— varían significativamente(ventana nueva) en efectividad e intrusión. De un enfoque a otro, existen marcadas diferencias en la cantidad de datos que se recopilan y quién los controla. Independientemente del método, el momento de mayor consecuencia es el punto en el que realmente se comprueba la edad. La mecánica de esa interacción y cómo se manejan sus resultados impulsan implicaciones en el mundo real para la privacidad(ventana nueva), la seguridad(ventana nueva) y la libertad de expresión(ventana nueva).

Sin embargo, las distinciones a menudo se desdibujan, derivado de la terminología(ventana nueva) sobre los controles de edad. La restricción por edad, la garantía de edad, la estimación de edad y la verificación de edad pueden contraerse en una sola idea. Comprender por qué esto importa comienza por desglosar el lenguaje.

Estándares frente a métodos

La restricción por edad y la garantía de edad son estándares: objetivos de política que describen la intención y la confianza, no el mecanismo. La restricción por edad te indica que existe una limitación basada en la edad. La garantía de edad señala que se está haciendo algún esfuerzo para aplicar esa restricción. Estos términos no especifican cómo, o con qué eficacia, se determina la edad.

La estimación de edad y la verificación de edad son métodos: categorías técnicas sobre cómo se comprueba la edad. Y el contraste es fundamental en el debate sobre cómo deben realizarse los controles de edad online.

Estimación de edad frente a verificación de edad

A medida que los legisladores, los tribunales, las empresas tecnológicas y los grupos de defensa abordan tanto las complejidades como los conflictos(ventana nueva) de la restricción por edad, los términos «estimación de edad» y «verificación de edad» a veces se tratan como intercambiables. Esa simplificación oculta diferencias significativas en cuanto a precisión, responsabilidad y exposición de datos.

Estimación de edad

La estimación de edad, también conocida como garantía de edad, es exactamente lo que parece: una inferencia, no una confirmación. Estos sistemas se basan en datos que ya están disponibles dentro de una plataforma, como fotos de perfil, vídeos, audio, información declarada (como la fecha de nacimiento) y metadatos de la cuenta (como el tiempo que lleva existiendo una cuenta). Mediante el uso de técnicas biométricas como el análisis de voz o facial(ventana nueva), combinadas con el historial de la cuenta y los patrones de comportamiento, el sistema genera una probabilidad de que alguien se encuentre dentro de un rango de edad determinado.

Dado que esto no requiere documentos de identidad, la estimación de edad suele presentarse como algo que «preserva la privacidad». Pero la exposición de datos depende del sistema individual: ¿se estima la edad una vez o de forma continua? ¿Qué señales se utilizan? ¿Hasta qué punto es seguro el propio sistema?(ventana nueva) Y si se hace una lectura incorrecta de la edad, ¿qué ocurre?

Los sistemas basados en inferencias son inexactos y pueden ser engañados, de tal forma que la edad de un usuario puede clasificarse erróneamente en cualquier dirección, permitiendo o denegando el acceso donde no debería. En la plataforma de juegos Roblox, que implementó controles de edad obligatorios para acceder a ciertas funciones, los usuarios jóvenes engañaron al sistema(ventana nueva) con bigotes falsos y otros disfraces, lo que subraya el riesgo de depender únicamente de la inferencia.

Se han planteado otras preocupaciones sobre la precisión y el sesgo(ventana nueva), ya que los resultados dependen en gran medida de la calidad de la imagen, varían de un algoritmo a otro y se ven afectados por intersecciones únicas de atributos personales, con lecturas erróneas desproporcionadas en grupos subrepresentados(ventana nueva). Los datos de la prueba de tecnología de garantía de edad de Australia —vinculada a una prohibición nacional de las redes sociales para los adolescentes— mostraron que la estimación de edad produjo tasas de error más altas en personas con tonos de piel más oscuros y en algunos grupos demográficos, incluidos aquellos de origen indígena y del sudeste asiático.

Si a los usuarios aptos se les deniega el acceso, los recursos son limitados(ventana nueva). Por lo general, no se les explica el motivo y la solución por defecto es cargar documentos de identidad, que es exactamente lo que la estimación de edad pretende evitar(ventana nueva).

Verificación de edad

La verificación de edad tiene como objetivo confirmar la edad como un hecho, utilizando pruebas de una fuente de confianza. Hoy en día, eso suele significar un documento de identidad emitido por el gobierno, como el carnet de conducir o el pasaporte, ya sea cargado directamente a una plataforma o filtrado a través de un servicio de terceras partes que verifica la edad y envía un resultado de sí o no.

El riesgo de cargar documentos es intuitivo: los escaneos pueden ser robados o mal utilizados, sobre todo a medida que los controles de edad se extienden a más servicios. Lo que es más fácil pasar por alto es que incluso cuando los documentos se eliminan de una plataforma, el resultado del control de edad a menudo persiste: almacenado junto con una cuenta o sesión y enlazado a un usuario identificable.

Sistemas enlazados a la identidad frente a afirmaciones anónimas o basadas en tokens

Los sistemas de verificación de edad se dividen en dos categorías: los que vinculan los controles de edad a la identidad y los que intentan no hacerlo.

Sistemas enlazados a la identidad

Los sistemas enlazados a la identidad son el modelo predominante en la actualidad y emplean el conocido flujo de carga de documentos de identidad. Puede que las plataformas no conserven copias de los documentos, pero el resultado de la verificación casi siempre queda almacenado, enlazando el acceso legal al contenido con una persona real que tal vez no desee que esa asociación quede registrada.

Los sitios de contenido para adultos ilustran el conflicto. En los estados donde se han promulgado leyes de verificación de edad(ventana nueva), el cumplimiento ha implicado principalmente controles enlazados a la identidad, que obligan a los usuarios a cargar documentos de identidad a través de proveedores de terceras partes. Como resultado, el gigante de la industria Pornhub se retiró de 23 estados(ventana nueva), señalando riesgos de privacidad. La empresa ha afirmado que apoya la verificación de edad «cuando se hace bien», defendiendo controles de edad a nivel de dispositivo(ventana nueva) en lugar de controles basados en el sitio.

Dinámicas similares(ventana nueva) aparecen en los ecosistemas de las tiendas de aplicaciones, donde se solicita la verificación de edad al descargar, registrarse o a nivel de cuenta. Cuando el resultado de ese control está vinculado a una cuenta, deja de ser una barrera de una sola vez y se convierte en un atributo que define cómo la plataforma entiende y administra al usuario. Eso puede incluir:

  • Reutilización a través del tiempo y contextos (futuros inicios de sesión, acciones de cumplimiento, auditorías de normativas)
    Un resultado de verificación reutilizable se puede utilizar mucho después del control original para su aplicación, monitorización o revisión regulatoria, a menudo sin el conocimiento o consentimiento renovado del usuario.
  • Integración con otros datos de la cuenta (registros de acceso, actividad en la plataforma, historial de moderación)
    Cuando el estado de edad se combina con datos de comportamiento o de moderación, se convierte en parte de un perfil más amplio que puede influir en el tratamiento de la cuenta y en el acceso al contenido de formas no relacionadas únicamente con la edad.

Por lo general, no se le informa a los usuarios de cuánto tiempo persiste el estado de su verificación, dónde se almacena ni cómo se puede reutilizar, dejándolos con poca capacidad para impugnar errores, revocar su consentimiento o evaluar las implicaciones a largo plazo.

Afirmaciones anónimas o basadas en tokens

Otros sistemas de verificación de edad intentan evitar o reducir el enlace con la identidad. Estos enfoques se basan en afirmaciones con credenciales o basadas en tokens, que realizan un control de edad una sola vez y luego reutilizan el resultado para conceder acceso en el futuro.

Afirmaciones con credenciales: las credenciales digitales verificables(ventana nueva) (VDC) dependen de comprobaciones de identidad que ya han realizado instituciones de confianza (por ejemplo, bancos y departamentos de tráfico), lo que permite a los usuarios confirmar su edad online con una prueba criptográfica firmada digitalmente, es decir, el emisor avala la afirmación de edad. La mayoría de las VDC emplean una divulgación selectiva(ventana nueva), revelando únicamente lo necesario para alcanzar un límite de edad (por ejemplo, confirmar que alguien es «mayor de 18 años»), aunque las pruebas de conocimiento cero(ventana nueva) más avanzadas tienen como objetivo verificar la idoneidad sin compartir ningún dato personal en absoluto.

Ambos reducen la exposición en el punto de acceso. Pero los beneficios de privacidad y seguridad dependen de quién emite la credencial y cómo se almacena(ventana nueva), así como de qué plataformas la aceptan dentro del modelo emergente de identificación digital(ventana nueva) (que conlleva sus propios impactos en la privacidad y en el acceso(ventana nueva)).

Afirmaciones basadas en tokens(ventana nueva): los tokens son como los sellos que te ponen en la mano en un concierto; pruebas específicas del sitio y de corta duración que permiten un acceso reiterado sin tener que volver a comprobar la edad cada vez. Por lo general, se emiten después de una verificación inicial y una plataforma los utiliza internamente para agilizar el acceso. Aunque eso reduce la exposición repetida de datos dentro de un solo servicio, los tokens no eliminan el enlace con la identidad en el punto de emisión y ofrecen a los usuarios muy poca visibilidad sobre cómo se recuerda o se reutiliza el acceso. Por lo general, los usuarios no pueden examinar, limitar ni revocar estas afirmaciones, que convierten una decisión de acceso única en un estado continuo. Los tokens son una optimización de la plataforma, no una función que proteja los derechos.

Cualquiera que sea la ruta de verificación, el mayor riesgo se encuentra en el punto en el que se comprueba la edad, y el diseño y la implementación del sistema marcan toda la diferencia.

Sistemas exigidos por el gobierno frente a sistemas administrados por la plataforma

Las leyes definen la obligación de mantener a los jóvenes seguros online, pero las llevan a cabo los reguladores, las plataformas, los proveedores, las tiendas de aplicaciones y los proveedores de SO que deben interpretar requisitos vagos(ventana nueva) bajo una presión operativa real.

Ya sea que una ley exija «una garantía de edad eficaz» o «una verificación de edad que preserve la privacidad», rara vez especifica(ventana nueva) con exactitud cómo se debe cumplir el requisito en términos de:

  • Qué datos se deben (o no se deben) recopilar
  • Si se requiere un documento de identidad emitido por el gobierno
  • Si la edad se puede inferir o se debe verificar
  • Si la identidad debe estar enlazada a una cuenta
  • Si los controles se realizan una vez o de forma continua
  • Quién almacena los datos y durante cuánto tiempo
  • Si se permite la verificación de terceras partes
  • Qué cuenta como «eficaz» o «que preserva la privacidad»
  • Qué recursos tienen los usuarios cuando fallan los sistemas

Tales decisiones quedan en manos de las autoridades subordinadas, por lo que el mismo lenguaje legal puede producir resultados radicalmente diferentes(ventana nueva). Estas autoridades simplemente optimizan para diferentes cosas: los reguladores optimizan para la gobernanza, las plataformas para la responsabilidad civil, los proveedores para la comerciabilidad y los proveedores de infraestructura para la uniformidad. Más allá de estas prioridades institucionales, la principal preocupación no es la legitimidad democrática ni la proporcionalidad, sino la justificación para demostrar que se tomaron las medidas suficientes para evitar el acceso de menores de edad. En ese entorno, la ambigüedad se considera un riesgo, y el riesgo se minimiza a través de la estandarización y el cumplimiento excesivo, o mediante la retirada de las plataformas de los estados donde el cumplimiento plantea preocupaciones tanto ideológicas como financieras.

La red social Bluesky eligió bloquear el acceso por completo en Misisipi(ventana nueva) en lugar de cumplir con una ley estatal que la habría obligado a verificar la edad de todos los usuarios y recopilar datos personales sensibles. La plataforma afirmó que los requisitos iban más allá de los objetivos de seguridad infantil y que limitarían la libertad de expresión y perjudicarían de forma desproporcionada a las plataformas más pequeñas.

La opción más restrictiva se convierte en la base no debido a las aportaciones del público o la intención legislativa, sino debido a la administración de riesgos operativos. La consecuencia es una abstracción de la política que reduce el alcance práctico de los derechos de todos los usuarios online.

Lo que, en última instancia, está en juego

Los grupos de defensa advierten(ventana nueva) que la restricción por edad amenaza a un internet libre y abierto(ventana nueva). Argumentan que los adultos erróneamente clasificados como menores pueden ser bloqueados de información legal. Que los usuarios que no deseen o no puedan enviar documentos de identidad pueden ser excluidos por completo. Que las comunidades que dependen de la anonimidad por problemas de seguridad, estigma o autoexploración(ventana nueva) pueden encontrar que la información esencial y la conexión ahora vienen con condiciones que no pueden cumplir. Y que la exclusión de los niños de internet que no es “necesaria y proporcionada” viola sus derechos fundamentales(ventana nueva).

Aunque el espíritu de estas leyes es la seguridad infantil, los analistas de la industria temen(ventana nueva) que el lenguaje legal pueda aplicarse a cualquier sitio o aplicación que ofrezca contenido con “temas para adultos”, ya sea que signifique información sobre salud sexual, foros de imágenes creativas o foros sociales.

Estas preocupaciones(ventana nueva) se han cristalizado en una oposición legal continua(ventana nueva) a la restricción por edad tanto a nivel estatal como federal, a pesar del acuerdo generalizado de que el entorno online debería ser más seguro para los usuarios jóvenes.

Entender lo que realmente significa la “verificación de edad” ayuda a aclarar los desafíos de encontrar ese equilibrio(ventana nueva).