El debate en torno al acceso de menores al porno ha escalado en la agenda política. En España, la Ley de Protección de los Menores en el Entorno Digital, actualmente en proceso de tramitación parlamentaria, contempla desde controles parentales obligatorios hasta elevar la edad mínima para redes sociales de 14 a 16 años.

Con el acceso masivo de menores a contenidos para adultos en la red, la Unión Europea busca dotarse de mecanismos legales y tecnológicos eficaces para verificar online la edad de los usuarios. En este contexto, la Comisión Europea ha seleccionado a nuestro país para liderar un piloto en ese sentido, utilizando como base la polémica aplicación conocida popularmente como el 'pajaporte'.

¿Qué era el 'pajaporte'?

Bautizada oficialmente como Cartera Digital Beta, la aplicación fue presentada en julio de 2024 por el entonces ministro de Transformación Digital, José Luis Escrivá. El objetivo era verificar de forma anónima si un usuario es mayor de edad antes de permitirle acceder a contenidos para adultos online.

A pesar de su promesa de disponibilidad para finales de ese mismo verano, la app ha ido sufriendo retrasos y va camino de cumplir un año de vida sin que haya llegado a implementarse. Actualmente, de hecho, sigue en proceso de certificación por parte del Centro Criptológico Nacional, sin cuya aprobación no puede llegar a lanzarse. Su desarrollo, sin embargo, ha resultado clave para que la Comisión Europea eligiera a España como país piloto en su plan de verificación digital de edad.

En Genbeta

La polémica con el 'Pajaporte': así funcionará el acceso a porno en Internet cuando empiece a requerir una app del Gobierno

El proyecto europeo

La Comisión Europea ha iniciado un proyecto piloto para desarrollar herramientas digitales de verificación de edad que sean interoperables entre los Estados miembros. España, junto a Francia, Grecia, Dinamarca e Italia, forma parte de esta iniciativa con un doble objetivo: garantizar que los sistemas sean seguros desde el punto de vista técnico y, al mismo tiempo, respetuosos con la privacidad de los usuarios.Además, debe tratarse de una solución armonizada a nivel europeo, similar a la usada para los certificados de vacunación durante la pandemia.

La base legal para esto es el reglamento eIDAS2, que obliga a todos los Estados miembros a contar con sistemas de identidad digital seguros antes de noviembre de 2026. La Cartera Digital Beta española se alinea con esta norma, al permitir una verificación de edad sin compartir información personal más allá de la mayoría de edad.

Cuando la privacidad es el desafío

La app española almacena una credencial de mayoría de edad emitida por el Gobierno, que puede ser consultada por plataformas online. Este proceso busca mantener el anonimato del usuario. Sin embargo, desde el principio han surgido críticas técnicas y de privacidad: expertos en protección de datos han señalado que, si no se implementa correctamente, cualquier sistema de verificación de edad puede poner en riesgo la intimidad digital.

Uno de los principales desafíos para que este tipo de sistemas funcionen es la colaboración de las webs de contenido para adultos: muchas páginas podrían no adherirse al sistema por temor a perder tráfico, como ya ha ocurrido en pruebas piloto realizadas en España: un caso emblemático fue el de la web española Cumlouder, que implementó un sistema similar y vio caer su tráfico en un 85%.

Aylo, empresa matriz de Pornhub y otras plataformas, ha manifestado públicamente su apoyo a la verificación de edad, pero advierte que muchas legislaciones actuales son “ineficaces, irregulares y peligrosas” para la privacidad de los usuarios. Su posición es clara: la verificación debe realizarse en el dispositivo del usuario, no en la web, y sin acumular información personal.

En Genbeta

Sanción histórica a las webs pornográficas en España: más de 300.000 euros por no verificar a sus usuarios

Mientras tanto, sanciones

Curiosamente, pese a no contar ella misma aún con una tecnología viable de verificación de edad, ayer mismo supimos que la Comisión Europea había abierto expedientes a cuatro conocidas plataformas pornográficas —la propia Pornhub, Stripchat, XNXX y XVideos— por no cumplir con la Ley de Servicios Digitales (DSA), que exige medidas eficaces para evitar el acceso de menores a contenidos para adultos.

Según la Comisión, estas páginas no habrían implementado sistemas adecuados de verificación de edad, ni tampoco evaluado los riesgos que sus contenidos podrían tener sobre el bienestar físico y mental de los menores. Las infracciones podrían acarrear multas de hasta el 6% de su facturación global.

Otro de los problemas regulatorios con los que tiene que lidiar la UE radica en que solo las plataformas de gran volumen de usuarios están bajo supervisión directa de Bruselas: las más pequeñas deben ser controladas por los países miembros, lo que complica la vigilancia ante el contenido altamente compartido entre webs.

Imagen | Marcos Merino mediante IA

En Genbeta | Lo sospechábamos, poner filtros no le impide a los más jóvenes acceder a porno online y además es muy caro 

Desarrolladores en China se han inscrito para probar un sistema nacional de identificación que hará uso de reconocimiento facial y nombres reales de usuarios. Este sistema se encontraría aún en fase beta y algunos medios chinos afirman que hay un total de 71 aplicaciones de empresas privadas y 10 apps gubernamentales involucradas.

Entre las aplicaciones que estarían probando este nuevo sistema, reconocido como ‘The National Network Identity Authentication Pilot Edition’ (Edición Piloto de Autenticación de Identidad de la Red Nacional), se encuentran apps tan conocidas en China como WeChat, gran conocida entre las apps de mensajería y redes sociales, o Xiaohongshu, muy conocida también como plataforma de comercio social y estilo de vida.

Un sistema de identificación nacional con reconocimiento facial para apps

Se espera a que este tipo de identificación funcione tanto como una credencial física como digital. Ambas corresponderían a la identidad real del ciudadano en China. Estas se encontrarían encriptadas y están destinadas a ser autenticadas por una plataforma de servicio nacional del gobierno.

Este ‘ID nacional del ciberespacio’ pretende eliminar la necesidad de que los ciudadanos proporcionen su información personal a proveedores de servicios de Internet (ISPs) y sitios web de terceros. Hoy día es un requisito obligatorio para usar Internet en el país, por lo que al usar este sistema, tanto la identificación como el tráfico de datos del usuario, quedarían bajo jurisdicción única del gobierno.

En Genbeta

China apuesta por los superordenadores para sortear las sanciones de EE.UU. respecto a las GPU y seguir en la carrera por la IA

Este sistema de identificación fue propuesto por Pekín el pasado 26 de julio, aunque aún no ha sido adoptado. Se supone que es una medida voluntaria, y está abierta a modificaciones hasta el próximo 25 de agosto.

La prueba, que se encuentra en fase beta, requiere a los usuarios que inicien sesión con un número virtual emitido por una aplicación después de haber completado la verificación por ID. Esta verificación incluye un reconocimiento facial y se requiere además vincular los dispositivos móviles a este dato biométrico, además de establecer una contraseña de ocho dígitos.

Evidentemente, no todo el mundo se ha posicionado a favor de esta nueva decisión, pues no son precisamente pocos los usuarios que afirman que se trata de una medida que reduciría considerablemente la privacidad. Lao Dongyan, profesor de derecho en la Universidad de Tsinghua, comparó la medida como si tuviéramos que instalar una serie de monitores que estuviesen constantemente vigilándonos.

The Register informa además que un usuario ya ha presentado una demanda en el Tribunal del Distrito de Dongcheng en Pekín sobre esta nueva medida, argumentando que al estar todavía en fase de desarrollo, no debería de haber todavía una prueba piloto.

Imagen de portada | ROBIN WORRALL

En Genbeta | Meta lanzó su IA más potente hasta la fecha... y es China quien ya la está aprovechando más que nadie

Año 2019. Una persona acude a una tienda de Vodafone, proporciona sus datos al dependiente y contrata una tarjeta prepago. Meses más tarde, la verdadera titular de dichos datos personal denuncia a Vodafone por haber dado de alta una línea en su nombre pero sin su permiso.

La denunciante ha descubierto lo ocurrido de la peor manera posible: tras verse obligada a comparecer en dos juzgados por un presunto fraude investigado por la Guardia Civil y perpetrado a través de la plataforma de anuncios online Wallapop.

El primer error de Vodafone

Vodafone tuvo que terminar pidiendo disculpas a la persona afectada: sus empleados no habían verificado adecuadamente los datos proporcionados por el individuo que entró en su tienda, y habían sido partícipes involuntarios de un caso de suplantación de identidad.

Al girar todo en torno a un mal uso de datos personales, el caso terminó en manos de la Agencia Española de Protección de Datos (AEPD), que en febrero de 2022 inició un expediente sancionador contra Vodafone, y que ahora ha terminado desembocando en una multa de 100.000 euros contra la operadora.

En Genbeta

Dar tu DNI en Wallapop e internet te puede costar un infierno de juicios y denuncias

Según la AEPD, la compañía había demostrado carecer de una "conducta proactiva" a la hora de adoptar "medidas técnicas y organizativas" en materia de protección de datos. Vodafone había presentado alegaciones, amparándose en haber implementado "todas las medidas de seguridad necesarias", atribuían cualquier tipo de responsabilidad al suplantador de identidad.

Sin embargo, la AEPD, en su resolución (acceso al PDF), subraya que Vodafone no ha demostrado haber cumplido con una de las medidas de seguridad más básicas: que el empleado de la compañía verificase si los datos proporcionados coincidían con los del documento acreditativo de identidad proporcionado.

Recordemos que no hace ni un mes desde que la AEPD impuso otra multa a Vodafone por un caso similar, relacionado en este caso con la duplicación de tarjetas SIM.

El segundo error de Vodafone (que ahora encarece la multa)

Pero los problemas de Vodafone con este caso no han finalizado ahí: tras confirmarse la imposición de la multa de 100.000 €, todavía tenían la oportunidad de acogerse a la reducción del 20% prevista para los casos de pago voluntario de multas.

Sin embargo, un aparente "error humano" (no achacable en este caso a ninguna tercera persona) provocó que la operadora realizara la transferencia a una cuenta equivocada, por lo que la AEPD obligará ahora a la compañía a abonar la cantidad completa de la sanción, siempre y cuando Vodafone no recurra ahora a la justicia ordinaria.

Las mejores ofertas en tecnología

Nuevo Echo Dot (5.ª generación, modelo de 2022) con reloj | Altavoz inteligente con reloj y Alexa | Gris azulado

Hoy sin stock en Amazon

El precio podría variar. Obtenemos comisión por estos enlaces

Echo Show 8 (2.ª generación, modelo de 2021) | Pantalla HD inteligente con Alexa y cámara de 13 MP | Antracita

Hoy sin stock en Amazon

El precio podría variar. Obtenemos comisión por estos enlaces

Echo Show 15 | Pantalla inteligente Full HD de 15,6" con Alexa y Fire TV integrado | Mando no incluido

Hoy sin stock en Amazon

El precio podría variar. Obtenemos comisión por estos enlaces

Eduroam es un servicio global que busca dar acceso a Internet a la comunidad académica e investigadora, ya sea a través del WiFi de su propio campus, ya sea a través del de cualquier otra institución universitaria que participe en esta iniciativa. Este mismo mes, además, se anunció el comienzo de su expansión a ámbitos como las escuelas secundarias, las bibliotecas y los museos.

Pero ahora el equipo de seguridad de la publicación WizCase ha anunciado el descubrimiento de "un importante problema de seguridad que afecta a los usuarios de eduroam".

Así, ahora sabemos que resulta posible crear una 'red gemela' malvada de eduroam en cualquier localización en la que ésta está activa; para el usuario, dicha red es indistinguible de la original, por lo que se conectará a la misma exponiendo así todos sus datos privados.

Un error humano… al que no se da solución

No se trata, propiamente hablando, de lo que solemos entender como 'vulnerabilidad', pues la red WiFi de eduroam no tiene ningún error de diseño o programación: el problema es más bien humano, pues a la hora de implementarla los administradores de cada universidad muchas veces la configuran de manera deficiente.

En Genbeta

Wifi eduroam: qué es y cómo conectarse

El problema es que los responsables de eduroam conocen desde hace tiempo este hecho, y no han supervisado que los administradores lo solucionen, ni han implementado cambios en el funcionamiento de la red 'a prueba de errores humanos'.

De hecho, WizCase ya se puso en contacto con ellos a finales de 2020, tras lo que recibieron la siguiente respuesta, que les hizo pensar que tomarían cartas en el asunto:

"Gracias por sus comentarios. De hecho, ocasionalmente se nos dan a conocer proveedores de identidad de eduroam [universidades] que no siguen los requisitos de la política de eduroam y dejan a sus propios usuarios desprotegidos. Estamos absolutamente de acuerdo en que este es un comportamiento inaceptable por su parte".

Decidieron entonces, según cuentan, posponer la difusión de esta vulnerabilidad "con la esperanza de que eduroam pudiera haber informado a sus usuarios después de nuestro contacto". No fue así, y por eso se hace público ahora.

El problema radica en que, cuando estamos usando un dispositivo Windows o Android, éste no comprueba si la nueva red WiFi detectada usa o no un certificado de fiar, por lo que si tiene el mismo nombre que la original se conectará automáticamente si tenemos habilitada esa opción; de lo contrario, nos preguntará si queremos seguir adelante pese a que el certificado no sea fiable.

¿Certificado no válido implementado por la Universidad? ¿O un falso certificado malicioso de un ciberatacante? Difícil saberlo.

Pero, dado que la mayoría de los usuarios desconocen la relevancia del aviso (el certificado permite comprobar la legitimidad del punto de acceso, y cifrar la conexión entre éste y el dispositivo)… tienden igualmente a aprobar la conexión, según ha revelado WizCase tras realizar varias pruebas.

Peor aún: varias universidades no han implementado certificados válidos, y sus propias instrucciones de conexión recomiendan ignorar el error y pulsar en 'Aceptar', por lo que contribuyen aún más a evitar que los ciberataques lleguen a detectarse.

El problema no sería tan grave si el administrador estableciera que la autenticación WiFi se realice por defecto usando el protocolo MSCHAPv2, pues así los datos de login llegan ya cifrados al punto de acceso malicioso. Pero eduroam permite establecer en su lugar el protocolo PAP (Plain Authentication Protocol), que remite nuestro nombre de usuario y contraseña como texto plano.

¿Qué instituciones académicas españolas son inseguras?

En total, 600 universidades de las más de 3.100 analizadas usan PAP en su autenticación interna, lo que las convierte en vulnerables a esta modalidad de 'phishing'. Si eres docente, investigador o estudiante, debes tener en cuenta que, incluso si tu universidad no se encuentra entre esas 600, cualquier desplazamiento temporal a otra institución académica puede terminar exponiendo tus datos.

Para evitarlo, es vital que deshabilites el inicio de sesión automático en eduroam.

Con respecto a la responsabilidad por lo ocurrido, desde WizCase reconocen que resulta

"Imposible señalar con el dedo o culpar a una sola persona, institución, sistema o proceso. El problema se ha convertido en una bola de nieve [y] hay múltiples compañías y organizaciones que han tenido su parte de culpa".

En su web, WizCase ha publicado un mapa Google en el que localizan todas aquellas universidades que hacen uso de eduroam en todo en mundo, diferenciando entre las seguras, las inseguras y las que compatibilizan ambos sistemas de comprobación del login, según los datos recopilados a finales del año pasado. Las 34 instituciones españolas calificables como 'inseguras' y presentes en dicha lista son las siguientes:

• Fundación Tecnocampus
• Universidad Pompeu Fabra de Barcelona
• Centre for Genomic Regulation
• Parque de Investigación Biomédica de Barcelona
• EADA Business School
• Universidad Internacional de Cataluña
• Escuela Universitaria Salesiana de Sarriá
• Universidad Politécnica de Cataluña
• Universidad Autónoma de Barcelona
• Universidad Rovira i Virgili
• Universidad de Zaragoza
• Center for Cooperative Research in Biomaterials
• Universidad Pública de Navarra
• Universidad de La Rioja
• Universidad de Santiago de Compostela
• Universidad de Valladolid
• Universidad de Salamanca
• Universidad Alfondo X el Sabio
• Fundación para el Conocimiento madri+d
• Universidad Complutense
• Universidad Nacional a Distancia
• Idpnube demo
• CSIC
• IMDEA
• Universidad Autónoma de Madrid
• Universidad de Alcalá de Henares
• Universidad de Huelva
• Universidad de Cádiz
• Universidad de Málaga
• Universidad de Sevilla
• Universidad Internacional de Andalucía
• IRAM-ES
• Instituto de Astrofísica de Canarias
• Plataforma Oceánica de Canarias

Vía | WizCase

Flickr ha anunciado esta mañana que dejará de contar con Facebook y Google como sistema de identificación en su web y apps. Hasta ahora los usuarios de la plataforma de fotografía podían utilizar una cuenta de Yahoo, Facebook o Google para el registro e identificación, pero la empresa que dirige Marissa Mayer ha cambiado de opinión.

Un mensaje en la web de la empresa afirma que los usuarios que entran a Flickr usando una cuenta de Facebook o Google deberán "iniciar sesión una última vez" y se les pedirá que creen una cuenta de Yahoo nueva. Una vez identificados veremos la imagen que encabeza este artículo, pidiéndosenos a continuación que escojamos un nombre de usuario en @yahoo.es.

La empresa no ha explicado el por qué de estos cambios. Yahoo es un competidor directo de Facebook y Google en algunas áreas, y todo parece indicar que la compañía quiere potenciar su ecosistema de productos y servicios, aunque ello signifique menor flexibilidad para los usuarios que utilizan habitualmente Flickr.

Más información | Flickr

Para muchas empresas, la "cesión" o venta de cuentas de usuario de servicios de pago supone una pérdida importante de ingresos. Scout Analitics lo sabe, de ahí que hayan desarrollado una interesante tecnología de identificación de usuarios para poder optimizar este control, en ocasiones insuficiente por los métodos actuales por todos conocidos (IP, Cookies, etc.).

Así que se han puesto manos a la obra y han desarrollado un nuevo sistema de identificación por cadencia de escritura, es decir, midiendo la velocidad a la que escribimos un texto, o el tiempo que tardamos en pasar de una tecla a otra, y parece que es eficaz.

Este tipo de identificación no es autónomo, sino que se complementa con los "clásicos", y para que el método sea fiable inicialmente se necesitan 5 intentos introduciendo una frase con al menos 12 caracteres, lo cual es suficiente para determinar una cadencia de escritura.

El ratio de error, una vez identificada la cadencia de cada usuario, es de una coincidencia cada 20.000 usuarios, lo que no esta nada mal, y ya han comprobado como el método mejora considerablemente combinado con los sistemas actuales de identificación.

Una tecnología interesante, sin duda, que en un futuro puede ofrecer opciones interesantes, tanto en el campo de la identificación en defensa de las empresas, como en defensa de los usuarios.

Vía | Arsthecnica