Las nuevas leyes de verificación de la era adoptadas por gobiernos de todo el mundo están impulsando a muchos usuarios a instalar redes privadas virtuales gratuitas para eludir las verificaciones de identidad, según un análisis reciente. Las normativas exigen a las plataformas verificar la edad de los usuarios mediante métodos como la subida de documentos o los escaneos faciales, y muchos sitios web obligan a los usuarios a cumplir antes de conceder acceso. Aunque la intención es proteger a los menores de contenido dañino, las normas pueden estar animando tanto a adultos como a jóvenes a utilizar servicios de VPN gratuitos no regulados que conllevan riesgos significativos de datos personales.
A medida que entraron en vigor los mandatos de verificación de edad, las descargas de VPN se han disparado en las jurisdicciones afectadas, especialmente entre los servicios gratuitos. En la Apple App Store, por ejemplo, varias de las mejores aplicaciones VPN gratuitas destacaban en las regiones que implementaban estas reglas. Los investigadores descubrieron que muchos de estos proveedores de VPN gratuita no revelan los países donde están registrados, mantienen políticas de privacidad poco claras y pueden enrutar el tráfico de usuarios a través de canales inseguros o monetizados. Por tanto, la tentación de eludir las comprobaciones de verificación puede suponer una mayor exposición al seguimiento, la recopilación de datos y el malware.
Los servicios VPN gratuitos suelen responder a la demanda de los usuarios monetizando los datos de navegación o inyectando scripts publicitarios. Algunos ya se ha demostrado anteriormente que redirigen la actividad del comercio electrónico, exponen a los usuarios a redes publicitarias agresivas o operan desde jurisdicciones con protecciones de privacidad débiles. Como los usuarios que los adoptan suelen confiar en que están logrando más privacidad, la desadaptación crea una falsa sensación de seguridad. Aunque las leyes de verificación intentan reducir el riesgo de privacidad disminuyendo el acceso de menores, la consecuencia no deseada puede estar llevando a los usuarios a servicios que carecen de responsabilidad o protección sólida.
Los gobiernos y observadores del sector afirman que la transición hacia el acceso en línea con restricción de edad es compleja. Leyes a gran escala como la Ley de Seguridad en Línea del Reino Unido o mandatos similares en Francia, Australia y varios estados de EE. UU. exigen que las plataformas implementen controles de edad “altamente efectivos”. Estas comprobaciones pueden incluir subidas de fotografías o documentos de identidad, estimaciones biométricas o comprobaciones de suscriptores de red. Muchos usuarios se resisten al nivel de información personal que se les exige y consideran que las solicitudes de verificación son invasivas. Como resultado, algunos usuarios recurren a VPNs que les hacen parecer que están en una jurisdicción sin tales controles.
Los expertos en privacidad advierten que usar una VPN no hace invisible al usuario. Las VPN gratuitas aún pueden registrar el comportamiento del usuario, exponer metadatos, filtrar direcciones IP o permitir el seguimiento de terceros. Un usuario que intenta evitar dar un ID puede acabar entregando sus datos a otro servicio poco fiable. En cambio, los servicios oficiales de verificación de edad deben cumplir las normas locales de protección de datos y a menudo proporcionan rastreos de auditoría o mecanismos de supervisión. El cálculo de riesgos cambia así cuando los usuarios cambian un tipo de comprobación de cumplimiento por otro conjunto de vulnerabilidades de privacidad.
Para las personas que se enfrentan a preguntas de verificación, existen varias estrategias más seguras. Una opción es utilizar un servicio de VPN de pago de confianza que publique una política clara de no registros, esté basado en una jurisdicción respetuosa con la privacidad y haya sido objeto de auditorías independientes. Otra es evaluar si la plataforma realmente requiere identificación o si existe una vía alternativa, como demostrar la edad mediante una transacción con tarjeta de crédito o un historial de cuenta conocido. Los usuarios también deberían evaluar si confían en las prácticas de privacidad del proveedor de verificación y si se aplica la minimización de datos. Si un usuario decide enviar información personal, debe revisar la política de privacidad, comprobar los límites de retención de datos y utilizar autenticación en dos pasos en la cuenta.
Los reguladores también están comenzando a inspeccionar la industria de la verificación de edad en busca de posibles riesgos. Algunos gobiernos han anunciado revisiones de las empresas que ofrecen servicios de verificación de identidad, y las agencias de aplicación están examinando si los datos biométricos o de identificación de los usuarios se almacenan de forma segura o se comparten con entidades no relacionadas. A medida que se amplía la verificación de edad, los organismos de control enfatizan que las protecciones de privacidad deben mantenerse y que tácticas de evasión como el uso de VPN pueden señalar que el sistema es excesivamente gravoso. El diseño futuro de políticas puede requerir métodos menos intrusivos, como estimaciones anónimas de edad o soluciones con datos mínimos.
Aunque las leyes de verificación de edad buscan reducir la exposición a contenido inapropiado para menores, el efecto secundario puede ser el crecimiento de un ecosistema de servicios VPN gratuitos menos transparentes y menos seguros. Los usuarios que buscan evitar las verificaciones de identidad deben reconocer que la evasión no es inherentemente más segura y puede llevar a una mayor exposición al uso indebido de los datos. El reto más amplio será equilibrar los objetivos de protección infantil con los derechos a la privacidad de los adultos y garantizar que los sistemas de verificación no trasladen el riesgo en lugar de mitigarlo.