Las leyes de verificación de edad están construyendo una red de vigilancia global

Las leyes de verificación de edad están construyendo una red de vigilancia global

Las leyes de verificación de edad se están extendiendo por Estados Unidos, el Reino Unido y Brasil con el objetivo declarado de proteger a los menores en línea. Sin embargo, una investigación técnica detallada del Proyecto TBOTE sostiene que la infraestructura que se está montando para cumplir con estas leyes funciona como algo mucho más amplio: un sistema de vigilancia biométrica transfronteriza con procesadores de datos no revelados, autenticación telefónica silenciosa y módulos de reporte gubernamental integrados directamente en el código.

La investigación, actualizada en abril de 2026, se basa en análisis de DNS, descompilación de SDK, registros de transparencia de certificados, registros corporativos y presentaciones ante la SEC EDGAR. Todas las fuentes citadas son públicas.

El nexo Thiel: un solo inversor, dos lados del flujo de datos

Uno de los hallazgos estructurales centrales de la investigación concierne a Peter Thiel. Thiel cofundó Palantir Technologies, una empresa que vende análisis de vigilancia a gobiernos y corporaciones en todo el mundo. Su vehículo de capital de riesgo, Founders Fund, es también el principal inversor en Persona, una empresa de verificación de identidad cuyo SDK está integrado en plataformas que van desde Roblox hasta Robinhood.

El Proyecto TBOTE describe esto como un nexo de "recopilación y análisis": el mismo actor financiero se beneficia tanto de la captura de datos de identidad biométrica como del análisis posterior de esos datos. La investigación no alega coordinación entre Persona y Palantir a nivel de producto, pero documenta la estructura de propiedad compartida como un hecho relevante que no se divulga a los usuarios que interactúan con los flujos de verificación de Persona.

El código fuente filtrado de Persona, revisado como parte de la investigación, supuestamente contiene 269 verificaciones, 43 tipos de verificación y módulos de reporte gubernamental desarrollados específicamente para FinCEN y FINTRAC, las unidades de inteligencia financiera de Estados Unidos y Canadá, respectivamente.

Lo que encontró el análisis técnico

La parte de descompilación del SDK de la investigación produjo varios hallazgos específicos que van más allá de las preocupaciones habituales sobre privacidad.

Se descubrió una clave de cifrado AES codificada de forma fija en el SDK de Persona. La clave fue rotada en la versión 1.15.3 tras la divulgación del hallazgo, lo que sugiere que el problema fue confirmado y corregido. El SDK también carecía de anclaje de certificados, una medida de seguridad estándar que previene la interceptación de datos en tránsito mediante ataques de intermediario.

Durante una sesión de verificación estándar se detectaron siete servicios de análisis ejecutándose simultáneamente. Telesign, una empresa de la que Proximus —el operador de telecomunicaciones estatal belga— es propietario mayoritario, fue identificada realizando autenticación de red silenciosa sin notificación al usuario. También se encontró que la verificación telefónica a nivel de operador se ejecutaba a través de Vonage sin el conocimiento explícito del usuario.

El componente de reconocimiento facial del sistema de Persona está impulsado por Paravision, una empresa que obtuvo el primer lugar en una evaluación de precisión biométrica del Departamento de Seguridad Nacional. Según la investigación, Paravision no aparece en la página de subprocesadores divulgados públicamente por Persona. El Proyecto TBOTE identificó 12 procesadores de datos que describe como no revelados.

La enumeración de subdominios de withpersona.com reveló 197 subdominios, incluidos 65 entornos de prueba que exponían servicios internos de aprendizaje automático, una base de datos de grafos identificada como TigerGraph y una puerta de enlace hacia la AAMVA, la Asociación Americana de Administradores de Vehículos Motorizados, que gestiona datos de licencias de conducir en los estados de EE. UU.

La investigación también documenta que LinkedIn ejecuta cuatro proveedores de verificación de identidad distintos de forma simultánea, junto con lo que describe como una pila paralela de vigilancia china en el mismo APK de Android, que incluye integración del sistema de puntuación social Sesame Credit, autenticación de operador ShanYan e identificadores gubernamentales de dispositivos.

Se encontró que Roblox, una plataforma con una gran población de usuarios menores de edad, incorpora el SDK completo de Persona —incluida la funcionalidad de lectura de pasaporte por NFC— dentro de un flujo de verificación que, según los informes, los usuarios no pueden abandonar sin completarlo.

Qué significa esto para usted

La investigación del Proyecto TBOTE no argumenta que la verificación de edad en sí misma sea ilegítima. Su argumento es más específico: la infraestructura que se está construyendo para implementar la verificación de edad tiene capacidades técnicas y estructuras de propiedad que van mucho más allá de cualquier caso de uso único de control de acceso por edad.

Para los usuarios comunes de internet, esto significa que cumplir con una solicitud de verificación de edad en una plataforma de videojuegos, una red social o un sitio de contenido para adultos puede implicar que datos biométricos sean procesados por múltiples terceros no divulgados, que se realice autenticación a nivel de operador sin notificación visible y que los datos fluyan hacia sistemas con funciones de reporte gubernamental.

Los mandatos legislativos en más de 25 estados de EE. UU., Brasil y el Reino Unido están creando lo que la investigación denomina un "mercado obligatorio" para estos servicios. El informe señala que Meta gastó 26,3 millones de dólares en cabildeo vinculado a esta legislación. La base de datos Serpro de Brasil, que contiene registros de aproximadamente 220 millones de ciudadanos brasileños, es identificada como parte del entorno de infraestructura en el que operan estos sistemas de verificación.

La convergencia de la verificación de identidad con la infraestructura de agentes de inteligencia artificial se señala como una preocupación emergente. La investigación sugiere que la verificación de identidad se está posicionando como un requisito previo para participar en transacciones automatizadas en internet de forma más general, no solo en contenido restringido por edad.

Conclusiones prácticas

Los lectores que deseen comprender su exposición a esta infraestructura pueden tomar varias medidas prácticas.

En primer lugar, revise las políticas de privacidad y las divulgaciones de subprocesadores de cualquier plataforma que le haya pedido completar una verificación de identidad. Compruebe si se mencionan proveedores de reconocimiento facial y servicios de autenticación de operador.

En segundo lugar, tenga en cuenta que la "verificación de edad" en una plataforma no significa que sus datos permanezcan en esa plataforma. La verificación basada en SDK enruta los datos a través de sistemas de identidad de terceros, cada uno con sus propias prácticas de retención y compartición de datos.

En tercer lugar, siga los desarrollos legislativos en su jurisdicción. Las leyes que exigen verificación de edad crean obligaciones legales para las plataformas, lo que a su vez impulsa la adopción de la infraestructura descrita en esta investigación. Comprender qué está ordenando su estado o país es relevante para entender qué datos podría verse obligado a proporcionar para utilizar ciertos servicios en línea.

La investigación completa del Proyecto TBOTE, incluida su metodología y documentos fuente, está disponible públicamente. Los hallazgos representan uno de los análisis públicos más técnicamente detallados de la industria de verificación de edad hasta la fecha, y las preguntas que plantea sobre divulgación, flujos de datos y conflictos de interés estructurales son cuestiones que los reguladores, periodistas e investigadores de privacidad probablemente continuarán examinando.