La verificación de edad en línea está creando un tesoro de datos para los piratas informáticos

Una variedad de sitios web ahora tienen procesos diseñados para verificar las edades de sus usuarios. Estos controles se llevan a cabo de varias formas. Por ejemplo, la IA se puede utilizar para analizar si una foto de la persona parece tener la edad suficiente para el umbral de edad en un sitio web.

Solicitar una identificación con fotografía, como un escaneo del permiso de conducir o del pasaporte de una persona, es otro método, además de solicitar una tarjeta de crédito verificada.

Sin embargo, la cantidad de datos personales involucrados en completar verificación de edad constituye un auténtico tesoro para piratas informáticos.

Los incidentes recientes han puesto de relieve aún más las preocupaciones sobre privacidad y seguridad en torno a la verificación de edad. En octubre de 2025, Discord, una plataforma de chat y redes sociales popular entre los jugadores fue hackeadocon una cantidad no especificada de datos extraídos.

Sin embargo, la empresa lo dijo. había identificado 70.000 usuarios en todo el mundo que potencialmente tuvieron sus identificaciones con fotografía expuestas a los piratas informáticos. Discord dijo que se accedió a los datos a través de un proveedor de servicios externo, aunque no está claro exactamente cómo ocurrió la violación.

Discord introdujo controles de verificación de edad para el Reino Unido para poder cumplir con la Ley de seguridad en línea. La ley requería que los sitios web que permitieran pornografía y contenido dañino introducir controles de edad antes del 25 de julio de 2025.

En julio de 2025, la aplicación Tea, que permite a las mujeres compartir de forma anónima información sobre los hombres con los que salen por motivos de seguridad, también fue pirateada. La aplicación requiere una foto selfie y una identificación con foto para poder registrarse. la brecha supuestamente revelado estas fotos junto con el contenido y los mensajes.

Graves consecuencias

Estas infracciones resaltan problemas de cumplimiento de las políticas de privacidad del sitio web, las prácticas de seguridad y la legislación sobre regulaciones generales de protección de datos (GDPR).

Cuando Discord introdujo la verificación de edad, su sitio web de soporte dijo «no almacenó permanentemente documentos de identidad personales ni sus videos selfies». Añadió: «Las imágenes de sus documentos de identidad y selfies que coincidan con su identificación se eliminan directamente después de que se confirma su grupo de edad, y el video selfie utilizado para estimar la edad facial nunca sale de su dispositivo».

Las consecuencias de tales violaciones pueden ser graves. Las imágenes filtradas de selfies e identificaciones con fotografía pueden hacer que los usuarios enfrenten una variedad de daños, como robo de identidad y fraude. El tipo de datos que se piratean también se presta a formas particularmente sofisticadas de estos delitos, particularmente si se considera la disponibilidad de tecnología deepfake y herramientas de inteligencia artificial generativa.

De hecho, los proveedores externos han representado una vulnerabilidad constante que los ciberdelincuentes pueden explotar implacablemente, como se ha visto en las recientes infracciones del Ministerio de Defensa del Reino Unido, el supermercado Co-op y M&S, por nombrar sólo algunos.

La proliferación de controles de verificación de edad en los últimos años es en parte una respuesta a la nueva legislación, como La seguridad y la regulación del espacio digital en Francia ley, la Ley de Servicios Digitales de la Comisión Europea y las Leyes de Seguridad en Línea en el Reino Unido y Australia. Todos estos se consideran controles en los que los usuarios autodeclaran que su edad no es apta para el propósito. En cambio, exigen que los sitios web utilicen métodos más eficaces, como la comparación de documentos de identidad con fotografía o comprobaciones de tarjetas de crédito.

en un comunicado de prensa recienteel Departamento de Ciencia, Innovación y Tecnología del Reino Unido intentó abordar las preocupaciones de ciberseguridad y privacidad que surgen de tales controles. La guía del departamento dice que cualquier medida implementada por las plataformas para confirmar la edad de un usuario debe realizarse «sin recopilar ni almacenar datos personales, a menos que sea absolutamente necesario».

Esto reitera las reglas de la legislación GDPR de la UE. La Oficina del Comisionado de Información del Reino Unido y el regulador Ofcom ofrecen más orientación.

Sin embargo, las infracciones de Tea y Discord resaltan la incapacidad de los reguladores para evitar la retención de datos o imponer la eliminación de datos en la práctica. Esto es particularmente relevante cuando los terceros están ubicados fuera del Reino Unido.

Los incidentes muestran que la implementación y el uso de la verificación de la edad requieren una revisión genuina; mayor regulación del manejo de datos con poderes de aplicación, más allá de la mera orientación. Esta es una necesidad para salvaguardar la privacidad, especialmente cuando están involucradas empresas de terceros.

Este artículo se republica desde La conversación bajo una licencia Creative Commons. Lea el artículo original.