Los sitios web ahora dependen en gran medida de los procesos de verificación de edad para mantener a los usuarios seguros y cumplir con las regulaciones. Estos controles tienen como objetivo evitar que los menores accedan a contenidos inapropiados o participen en actividades riesgosas en línea. Si bien la intención es noble, los métodos empleados a menudo crean un riesgo de seguridad significativo para los usuarios: un tesoro escondido de información personal listo para ser explotado por los piratas informáticos.
La verificación de la edad puede adoptar varias formas: análisis de IA de las fotos cargadas para estimar la edad, envío de identificaciones con fotografía, como licencias de conducir o pasaportes, e incluso detalles de tarjetas de crédito verificados. Si bien estos métodos pueden parecer estrictos, sin darse cuenta exponen a las personas a violaciones sustanciales de su privacidad.
Este riesgo se ha vuelto dolorosamente evidente en casos recientes de alto perfil. En octubre de 2025, Discord, una plataforma popular entre los jugadores, sufrió una brecha de seguridad que expuso los datos personales de 70.000 usuarios en todo el mundo. Los piratas informáticos obtuvieron acceso a través de un proveedor de servicios externo utilizado para verificar la edad, aunque el método preciso aún no está claro.
De manera similar, en julio de 2025, Tea, una aplicación diseñada para ayudar a las mujeres a compartir información de seguridad en las citas de forma anónima, también fue pirateada. Esta infracción expuso no solo los selfies y las identificaciones con fotografía de los usuarios, sino también sus mensajes privados y contenido compartido. Estos incidentes ilustran una tendencia preocupante: las prácticas de verificación de edad, a menudo subcontratadas a terceros, se están volviendo cada vez más vulnerables a los ciberataques.
Las repercusiones de estas violaciones pueden ser devastadoras. Los selfies y las identificaciones con fotografía filtrados pueden alimentar el robo de identidad, el fraude y delitos aún más insidiosos facilitados por la tecnología deepfake y las herramientas avanzadas de inteligencia artificial. Los mismos datos recopilados por motivos de seguridad se convierten en el arma utilizada contra los usuarios.
Si bien regulaciones como la Ley de Seguridad en Línea del Reino Unido tienen como objetivo mejorar la protección del usuario al exigir métodos sólidos de verificación de edad, enfrentan una laguna jurídica crítica: la aplicación de prácticas de eliminación de datos. El propio sitio web de Discord declaró anteriormente que no almacenaría permanentemente documentos de identidad o videos de selfies después de la confirmación de la edad, pero estas garantías suenan huecas a la luz de los acontecimientos recientes.
El Departamento de Ciencia, Innovación y Tecnología del Reino Unido ha publicado una guía que enfatiza la necesidad de que las plataformas minimicen la recopilación de datos durante los procesos de verificación de edad, alineándose con las regulaciones del RGPD de la UE. Sin embargo, incidentes como los que involucraron a Tea y Discord demuestran que las meras pautas son insuficientes.
Esta cuestión exige un enfoque más proactivo. Los reguladores deben fortalecer los mecanismos de aplicación, garantizando que los proveedores externos cumplan estrictos protocolos de seguridad y eliminación de datos, especialmente cuando estos proveedores operan fuera de la jurisdicción del Reino Unido. Sólo mediante una supervisión más estricta y acciones demostrables la verificación de edad puede proteger verdaderamente a los usuarios en lugar de exponerlos inadvertidamente a daños mayores.
