La Comisión Europea lanzó una app gratuita de verificación de edad para cumplir con la Ley de Servicios Digitales (DSA). Su objetivo es proteger a los menores sin exponer sus datos personales. Pero un consultor de seguridad la vulneró en menos de 120 segundos. El fallo pone en duda la fiabilidad del sistema antes de su despliegue masivo.
¿Cómo pretendía funcionar la app de verificación de edad de la UE?
La app debía actuar como intermediario de confianza. No exigiría subir el DNI ni revelar el nombre o la fecha exacta de nacimiento. En su lugar, generaría un certificado digital criptográfico que solo confirma si el usuario tiene 16 años o más —la edad mínima general bajo la DSA—.
Este enfoque sigue el principio de privacidad por diseño, clave en el Reglamento General de Protección de Datos (RGPD). Las plataformas recibirían únicamente una señal binaria: sí o no. Nada más.
¿Qué garantías ofrecía la Comisión Europea?
- Los datos biométricos y personales no se almacenan en servidores de la UE.
- Las empresas digitales no acceden al documento de identidad.
- El certificado es efímero y no reutilizable por diseño.
- El sistema se integra con los eID nacionales de los Estados miembros.
¿Por qué falló tan rápido la app de verificación de edad?
Paul Moore, consultor especializado en pentesting y auditoría de ciberseguridad, identificó una vulnerabilidad crítica en la capa de autenticación. No atacó la base de datos —no existía—, sino la lógica de emisión del certificado.
El fallo radicaba en la falta de validación en tiempo real del eID nacional. La app aceptaba respuestas simuladas sin verificar la integridad de la firma digital del organismo emisor. Esto permitió generar certificados falsos mediante un ataque de tipo replay y manipulación de tokens.
¿Qué implica este fallo para los menores?
- Un menor puede obtener un certificado válido sin ser mayor de edad.
- Las plataformas asumen que el certificado es infalible y autorizan el acceso.
- El sistema no detecta duplicados ni revocaciones inmediatas.
- La falsificación no deja rastro en los registros de auditoría.
¿Qué impacto económico tiene esta vulnerabilidad?
La app forma parte de un paquete de 42 millones de euros destinado a la implementación técnica de la DSA. Cada fallo de confianza obliga a rehacer infraestructura, reentrenar desarrolladores y revalidar certificaciones. Además, las plataformas digitales —como Meta, TikTok o X— podrían enfrentar multas del 6 % de su facturación global si se demuestra que confiaron ciegamente en un sistema no auditado.
El costo indirecto es mayor: la pérdida de credibilidad afecta la adopción de herramientas de verificación descentralizada, retrasando la transición hacia modelos de identidad soberana en la UE.
¿Qué dice el marco legal actual?
La DSA exige que los mecanismos de verificación sean proporcionales, seguros y respetuosos con los derechos fundamentales. El artículo 28 exige que los sistemas eviten la recopilación innecesaria de datos. Pero no especifica requisitos técnicos mínimos de resistencia a ataques. Esa laguna deja espacio a soluciones frágiles.
La Agencia Europea de Ciberseguridad (ENISA) ya ha emitido una alerta preliminar: sin pruebas de penetración independientes y públicas, ningún sistema de verificación puede considerarse conforme.
Datos Clave
- La app fue vulnerada en menos de 120 segundos, sin acceso físico ni credenciales.
- El ataque explotó una debilidad en la validación de firmas digitales del eID nacional.
- No se comprometieron bases de datos, pero sí la integridad del certificado.
- La Comisión Europea aún no ha publicado el informe de auditoría independiente exigido por el artículo 33 de la DSA.
- El fallo afecta a los 27 Estados miembros que usan eID interoperables bajo el reglamento eIDAS 2.0.
La verificación de edad no es un problema técnico aislado. Es un punto de fricción entre regulación, innovación y derechos fundamentales. Mientras las plataformas buscan cumplir con la DSA, los menores siguen expuestos a contenidos inadecuados —y ahora, también a certificados falsos. La confianza digital no se construye con apps, sino con transparencia, auditoría y rendición de cuentas técnica.
