El debate sobre la protección de los menores en Internet se amplía
La protección de los menores en Internet se ha convertido en uno de los debates regulatorios más urgentes y complejos del actual entorno digital. A medida que la tecnología evoluciona, también aumenta la necesidad de crear espacios digitales más seguros. Reguladores, plataformas y responsables de seguridad comparten ese objetivo. Sin embargo, la forma de alcanzarlo está entrando en una fase nueva y mucho más compleja.
Estamos empezando a ir más allá de los controles aplicados a nivel de plataforma para adentrarnos en algo más profundo como es la intervención directa sobre la propia infraestructura digital. Aunque esta evolución puede entenderse, también plantea una pregunta crítica: ¿estamos resolviendo el problema o estamos introduciendo nuevos riesgos en el proceso?
De la responsabilidad de las plataformas al control de la infraestructura
Durante años, el enfoque dominante para proteger a los menores se ha centrado en las plataformas. Redes sociales, proveedores de contenidos y servicios online han sido los responsables de aplicar restricciones de edad y moderar aquello a lo que los usuarios pueden acceder. Este modelo, aunque imperfecto, ha estado relativamente acotado.
Lo que vemos ahora es un cambio de ambición. Nuevas propuestas, como las planteadas en California y Reino Unido, buscan integrar la verificación de edad en los sistemas operativos o restringir herramientas como las VPN, que pueden utilizarse para eludir determinados controles. Esto representa algo más que una evolución normativa incremental. Supone un cambio estructural en el punto del ecosistema digital donde se aplica el control.
Desde un punto de vista conceptual, el objetivo a conseguir es reducir la fragmentación y cerrar brechas de aplicación. Pero, desde una perspectiva de seguridad y operativa, trasladar los controles a la infraestructura modifica de forma sustancial el perfil de riesgo.
El reto de aplicar controles a escala
En la práctica, convertir estas ideas en mecanismos eficaces dista mucho de ser sencillo.
Tomemos como ejemplo las restricciones sobre VPN. Las tecnologías VPN son diversas y abarcan múltiples protocolos y arquitecturas que, en muchos casos, resultan difíciles de distinguir del tráfico cifrado habitual. Esto hace que su detección fiable sea intrínsecamente compleja. Pero, más importante aún, estas mismas tecnologías son esenciales para usos legítimos, especialmente en entornos empresariales donde el acceso remoto seguro es una pieza fundamental.
Intentar limitar el uso de VPN, en particular mediante controles técnicos amplios, puede generar disrupciones no previstas. Esto supone que una medida diseñada para proteger a un grupo de usuarios podría acabar afectando, de forma involuntaria, a la continuidad operativa de las empresas.
Además, si la verificación de edad se implementara correctamente a nivel de cuenta, las VPN no permitirían eludirla. Una VPN puede hacer que un menor parezca conectarse desde un país que no aplica las mismas leyes de verificación de edad, pero no impide que funcione una verificación asociada a la cuenta. Si una cuenta exige verificar la edad para poder crearse, no importa desde dónde se conecte el usuario: la verificación seguirá aplicándose. En resumen, las VPN tienen poco que ver con una verificación de edad bien planteada.
Una tensión similar aparece en las propuestas que plantean integrar la verificación de edad en el sistema operativo. Aunque este enfoque podría reducir inconsistencias entre plataformas, también introduce una nueva capa de dependencia y centralización. Los sistemas tendrían que generar, gestionar y compartir señales relacionadas con la edad, potencialmente vinculadas a datos sensibles del usuario, entre dispositivos, aplicaciones y servicios.
Desde la perspectiva de un CIO, esto plantea preocupaciones conocidas tales como el gobierno del dato, la interoperabilidad, la adopción de la implementación y, especialmente, la creación de un nuevo objetivo de alto valor para los atacantes.
Cuando la protección genera nuevos riesgos
Una de las dinámicas recurrentes en ciberseguridad es que los controles bienintencionados pueden desplazar el riesgo en lugar de eliminarlo.
Restringir el acceso a herramientas ampliamente utilizadas, como las VPN de consumo, no elimina el deseo de eludir los controles. Al contrario, puede empujar a los usuarios hacia alternativas menos visibles y menos seguras. Esto puede incrementar, involuntariariamente, la exposición a software malicioso o servicios fraudulentos, justo lo contrario de lo que se pretendía conseguir.
Del mismo modo, centralizar atributos sensibles como la verificación de edad introduce un riesgo de agregación. Cualquier sistema responsable de gestionar esos datos se convierte, por su propia naturaleza, en un objetivo atractivo para los adversarios. Si se ve comprometido, el impacto va más allá de la exposición de datos: también erosiona la confianza en el propio mecanismo de control.
No se trata de casos extremos. Son consecuencias previsibles cuando las intervenciones se trasladan a capas más profundas de la infraestructura sin el equilibrio adecuado.
Una cuestión de eficacia, no de intención
No hay duda sobre la intención que hay detrás de estas iniciativas. Proteger a los menores en Internet es una responsabilidad compartida y merece una atención sostenida.
El reto está en la ejecución.
Desde un punto de vista operativo, los controles a nivel de infraestructura tienen limitaciones inherentes. Ningún mecanismo único puede abordar todos los métodos de evasión. La aplicación de estos controles puede entrar en conflicto con usos legítimos. Y cada capa adicional de control introduce, inevitablemente, más complejidad.
Esto plantea una preocupación más amplia, pues podríamos estar aumentando la fricción y haciendo que los sistemas sean más difíciles de usar o gestionar, sin lograr mejoras proporcionales en seguridad.
Hacia un modelo de seguridad más sostenible
Si hay una lección que hemos aprendido como profesionales de la seguridad es que la resiliencia rara vez procede de un único control. Surge de enfoques por capas, adaptables, que equilibran protección, usabilidad y riesgo.
En este contexto, una vía más sostenible pasaría por combinar medidas técnicas con conocimiento contextual. En lugar de depender exclusivamente de verificaciones de edad estáticas, los sistemas podrían incorporar señales de comportamiento y patrones de uso. En vez de centralizar datos sensibles, la arquitectura podría mantenerse distribuida, reduciendo el impacto de cualquier punto único de fallo.
Asimismo, es igual de importante preservar herramientas, como las VPN, que cumplen funciones legítimas de seguridad y privacidad. Eliminarlas o restringirlas sin matices puede debilitar el ecosistema digital en su conjunto.
Por último, ninguna solución tendrá éxito de forma aislada. La colaboración entre reguladores, proveedores tecnológicos y la comunidad de ciberseguridad es esencial para diseñar enfoques que sean, a la vez, eficaces y viables.
Diseñar para la realidad, no para la perfección
El debate sobre la protección de los menores en Internet está entrando en una fase más compleja y con mayores implicaciones. A medida que los controles se desplazan hacia capas más profundas de la infraestructura, aumentan los riesgos, no solo en términos de eficacia, sino también de privacidad, seguridad y confianza.
El objetivo no debería ser crear sistemas perfectos e impenetrables. Eso no es realista ni alcanzable. En su lugar, deberíamos centrarnos en construir mecanismos proporcionados, resilientes y alineados con la forma en que la tecnología se utiliza realmente.
Porque, en ciberseguridad, la intención es solo el punto de partida. Lo verdaderamente importante es cómo se comportan esas intenciones en condiciones reales.