El 15 de abril de 2026, la Comision Europea declaro que su nueva aplicacion de verificacion de edad digital estaba tecnicamente lista para su despliegue. La presidenta de la Comision, Ursula von der Leyen, la presento personalmente asegurando que cumple con "los mas altos estandares de privacidad." La herramienta esta disenada para proteger a los menores del contenido danino en las plataformas de redes sociales.
El diseno tecnico parecia solido: escaneo de pasaporte o documento de identidad, verificacion biometrica mediante video-selfie, procesamiento completamente en el dispositivo del usuario sin transmision de datos a servidores externos. Codigo fuente abierto, compatibilidad con la futura cartera de identidad digital europea (EUDI). La promesa: demostrar la mayoria de edad sin revelar datos personales.
Comprometida en menos de 2 minutos
Pocas horas despues del anuncio oficial, el consultor de seguridad britanico Paul Moore publico una demostracion completa de como sortear la autenticacion. Tiempo requerido: menos de dos minutos.
El metodo resulto ser inquietantemente sencillo. El contador de proteccion contra fuerza bruta del PIN se almacena como un numero entero en un archivo de configuracion de texto plano - puede reiniciarse manualmente a cero. La verificacion biometrica esta implementada como una variable booleana en el mismo archivo - ponerla en false omite completamente ese paso. Eliminar dos valores (PinEnc y PinIV) y reiniciar la aplicacion da acceso al perfil de identidad de otro usuario.
Sin herramientas especializadas, sin exploits de dia cero - solo un editor de texto. Una auditoria de seguridad de marzo de 2026 ya habia detectado que el componente emisor de la aplicacion no puede verificar que la comprobacion del pasaporte se haya realizado realmente en el dispositivo del usuario.
Durov: hackeable por diseno
El fundador de Telegram, Pavel Durov, comento la situacion en su canal. Su analisis: la aplicacion era hackeable por arquitectura, no por accidente. Depositar toda la confianza en el dispositivo local y almacenar parametros de seguridad criticos en archivos de texto editables hace que cualquier garantia de seguridad sea una ilusion.
Durov planteo una preocupacion mas grave: el fracaso podria dar a las autoridades de la UE un pretexto conveniente para redisenar la aplicacion hacia la verificacion centralizada, creando una infraestructura donde cada visita a un sitio con restriccion de edad quede registrada en servidores gubernamentales. Lo que empezo como una herramienta de proteccion infantil podria convertirse silenciosamente en un mecanismo de vigilancia masiva de la actividad en linea de los ciudadanos.
Durov ya habia criticado los planes de Espana de verificacion de edad obligatoria en redes sociales, calificandolos de paso hacia un "estado de vigilancia," y se ha opuesto repetidamente al proyecto Chat Control de la UE.
El contexto mas amplio
La aplicacion de verificacion de edad forma parte de la agenda digital mas amplia de la UE. Segun el reglamento eIDAS 2.0, todos los Estados miembros deben desplegar versiones nacionales de la cartera de identidad digital europea antes de finales de 2026. La aplicacion estaba disenada como el primer paso publico hacia un sistema de identidad digital unificado para los ciudadanos europeos.
Los criticos habian senalado desde hace tiempo que cualquier sistema que requiera confirmacion de identidad para acceder a contenidos crea inevitablemente infraestructura de vigilancia, independientemente de las intenciones de los desarrolladores. El hackeo en dos minutos confirmo que la ejecucion tecnica esta muy por debajo de las ambiciones declaradas.
En el momento de la publicacion, la Comision Europea no habia emitido ninguna respuesta oficial ni publicado ningun parche de seguridad.
Vulnerabilidades adicionales y preocupaciones de GDPR
Analisis adicionales revelaron mas problemas. Las fotografias faciales de los documentos de identidad se almacenan en el dispositivo como archivos PNG sin cifrar. Los selfies de verificacion se escriben en el almacenamiento externo y nunca se eliminan. El investigador Moore tambien demostro que una extension de navegador puede generar respuestas de verificacion validas falsas, evitando completamente la aplicacion. Esto contradice directamente la declaracion oficial de que "no se almacenan datos personales" y plantea graves preguntas sobre el cumplimiento del GDPR en lo que respecta a datos biometricos.
Un detalle revelador: el repositorio oficial de GitHub de la aplicacion contiene una advertencia de que se trata de software en "desarrollo temprano" con estandares de seguridad reducidos y desaconseja su uso en produccion. Esa advertencia estaba ahi durante el anuncio oficial de Ursula von der Leyen.
Fuentes: Post de Durov en Telegram, Cybernews, CyberSecurityNews, PiunikaWeb, CyberInsider, Biometric Update
