Los expertos alertan de los peligros y dificultades de la ‘app’ antiporno del Gobierno: “Nunca se ha conseguido con éxito” | Tecnología

El Gobierno aspira a que los menores de edad no puedan acceder a contenido adulto en internet. Este martes el Consejo de Ministros ha aprobado un plan para proteger a menores del porno en internet. Una de las medidas derivadas del plan es una app o dispositivo digital que permita confirmar la edad de los usuarios que quieren entrar a una página determinada.

La Agencia Española de Protección de Datos (AEPD) presentó en diciembre una propuesta para demostrar que ya hay tecnología que lo permite. “Es un proyecto piloto que esperamos pueda presentarse en el verano de 2024″, dijo el martes la ministra de Educación y portavoz, Pilar Alegría, tras la reunión del Consejo de Ministros en la que se acordó poner en marcha este plan.

El acceso a la pornografía de los menores es un asunto que preocupa a los españoles y que encaja con una nueva corriente que quiere retrasar el primer móvil de los adolescentes. Está lejos de ser una preocupación únicamente española: Francia aprobó controles obligatorios de edad para la pornografía online en 2020, varios estados de EE UU han tumbado las principales páginas porno, Reino Unido busca también una solución tecnológica para saber la edad de quién accede a determinadas páginas e Italia ha impuesto a las operadoras un control parental en los móviles de menores. Y nadie ha conseguido un remedio que no genere problemas.

Los expertos observan todos estos movimientos con mucho escepticismo. Las soluciones tecnológicas parecen ideales sobre el papel hasta que alguien empieza a teclear código para desarrollar la herramienta, algo que en este momento el Gobierno no aclara. Y cuando se ponen en marcha las soluciones, aparecen de pronto nuevos peligros y sustos inesperados.

Así ha descrito la ministra Alegría el posible funcionamiento de esta futura app: “Yo soy una persona adulta, madre de un menor, tengo un teléfono móvil, si en algún momento yo quisiera acceder a algún contenido de una página para adultos, esta aplicación me reconocería y, por tanto, tendría la posibilidad de navegar en las distintas páginas. Sin embargo, si de ese mismo móvil hiciera uso mi hijo menor de edad con 10 años, la aplicación le reconocería y le imposibilitaría que accediese”.

Esta sencilla explicación, que parecería razonable a cualquier padre o madre, hace saltar todas las alarmas a los expertos en privacidad. “Aunque en teoría podría existir una solución técnica que simplemente diga sí o no a si una persona es mayor de edad, basándose en documentos de identidad, esto es técnicamente muy complicado y requiere confiar en que no se comparta información adicional”, alerta Ella Jakubowska, asesora senior de políticas de la plataforma European Digital Rights. “No tengo conocimiento de que esto se haya hecho con éxito alguna vez”, añade. España sería pionera en conseguir cerrar ese acceso sin generar riesgos adicionales.

1. Dónde están los detalles

Una solución tecnológica a un problema social complejo no existe hasta que están los detalles en la mesa. En este caso no hay nada más que unas pruebas de concepto publicadas en diciembre por la AEPD, que pone en manos de la Fábrica Nacional de la Moneda y Timbre (FNMT) el desarrollo de la herramienta. Ninguno de los dos organismos quiso aclarar a EL PAÍS más detalles sobre el programa o su desarrollo y se limitan a señalar que “los equipos de tecnología de la FNMT están trabajando”.

“Todo depende de la implementación”, dice Carmela Troncoso, profesora de la Universidad Politécnica Federal de Lausana. “Sin detalles es difícil decir nada. ¿Se les puedes pedir el código? ¿Las especificaciones? ¿Un white paper [informe técnico]? ¿Algo?”, añade.

La AEPD ha publicado tres vídeos con sus pruebas, pero no aclaran nada: “Es un vídeo con una persona que pone algo en un teléfono y una web hace otra cosa. No sé qué envían, qué no envían, quién lo ve, qué hacen, cero información”, añade Troncoso.

Hay especialistas que lo ven como un “aviso a navegantes”. La AEPD ya ha emitido dos multas por falta de detalles sobre edad, porque ya hay legislación aplicable: como recuerda el Gobierno, “la Ley de Comunicación Audiovisual exige a los proveedores de vídeos pornográficos el establecimiento de mecanismos de verificación de edad”. Y con este nuevo plan, se pretendería que la industria entienda que ahora sí que va en serio. “Los técnicos con los que yo trabajo han visto los pocos datos que hay de las pruebas de concepto y dicen que está muy verde”, asegura Borja Adsuara, abogado especializado en derecho digital y director de Red.es en 2012-13. “Hicieron la presentación porque querían mandar un aviso a navegantes. Como todo el mundo dice que no hay tecnología disponible, han hecho estas pruebas de concepto para demostrar que ya empieza a haber”, añade.

2. En manos de terceros

La petición de los detalles técnicos no es un capricho de informáticos puntillosos. El célebre rastreo de contactos fue durante unos meses en 2020 una discutida salvación para la pandemia: la aplicación Radar Covid. Al final quedó en nada, a pesar de que detrás de aquel proyecto estaban dos de las mayores empresas tecnológicas del mundo, Apple y Google, y tenía incluso un agujero considerable de seguridad.

La prueba piloto de la AEPD prevé que una entidad externa, en su caso la Fábrica Nacional de la Moneda y Timbre, compruebe la edad de un usuario y comparta solo ese dato con la página de contenido adulto. Así, se evitaría que la página sepa la identidad del usuario y, por supuesto, no tendría acceso a su DNI (en EE UU, por ejemplo, los usuarios de algunos estados deben subir su identificación para entrar en la webs de porno). Pero quien sí conocería el historial de navegación sería la entidad verificadora. La UE prepara un reglamento llamado eIDAS2 que prevé la existencia de estos servicios para la identidad digital que ha generado un debate considerable entre los expertos sobre cómo deben definirse esas entidades.

“La autoridad verificadora podría inferir el historial de navegación del usuario”, advierte Narseo Vallina-Rodríguez, investigador de Imdea Networks. “No hay software completamente seguro, y por eso es importante realizar un análisis de riesgos cauteloso y demandar que se permita la auditoría total de estos sistemas para evitar debacles como las que ocurrieron con el rastreo de contactos contra la covid″. En el Reino Unido, se establece que las plataformas puedan utilizar verificación biométrica, a través de los rasgos faciales, de la edad del potencial usuario.

La intervención de otras entidades que no son ni el usuario ni la plataforma añade complejidad y oportunidades para saltarse el control: “Muchas soluciones usan servicios de terceros que necesitan conocer la identidad del usuario, y que podrían vincularla con los contenidos a los que accede, lo cual es inaceptable”, dice Juan Tapiador, catedrático de la Universidad Carlos III. “Es además una supuesta solución en la que intervienen muchos elementos: el dispositivo y su sistema operativo, la app o servicio de verificación de edad, uno o varios terceros que proporcionan servicios de identificación o de certificación, el contenido en que se accede que alguien tiene que señalar como inadecuado. Esa cadena tiene con toda certeza uno o varios eslabones débiles por donde se puede romper”, añade.

3. El control de edad es (también) un negocio

Si el control de edad requiere de la intervención de terceros, es difícil pensar que dediquen sus recursos sin recibir nada a cambio, ya sean empresas u otro tipo de organizaciones: la compañía Yoti o la Asociación Global de Proveedores de Verificación de Edad.

“Una preocupación especial es cuánto está impulsando la industria esta agenda, que vale miles de millones en todo el mundo. Dicen que todo es por la seguridad de los niños, pero nos estamos precipitando hacia un internet a prueba de niños sin detenernos a considerar si eso es lo que realmente queremos y si podemos confiar en aquellos que venden estas soluciones”, afirma Janukowska. “Los legisladores necesitan tomarse un tiempo y considerar los riesgos que implica la verificación de edad”.

4. Las decisiones tienen consecuencias insospechadas

Si alguien cree que estas medidas no provocarán múltiples y variadas estrategias de los usuarios, es que conoce poco sobre cómo se desarrollan las cosas en internet: Tor, VPN o proxies son soluciones muy extendidas para acceder a páginas restringidas por algún motivo. “En nuestra investigación hemos encontrado que todos los métodos de verificación de edad son susceptibles de ser engañados o sorteados”, asegura Jakubowska.

También, dependiendo de cuál sea la solución, es fácil imaginar la creación de un mercado negro de certificados o de usuarios empleando dispositivos ajenos. “Yo creo que lo primero que va a surgir va a ser un mercado negro de certificados”, dice Troncoso.

Hay una regla popular en internet llamada “regla 34″ que viene a expresar que hay porno sobre cualquier motivo imaginable. Hay páginas que son explícitamente pornográficas y cuya limitación es fácil. ¿Pero qué pasaría con Reddit, Tumblr o X (Twitter), que también contienen porno junto a otras cosas? ¿O las miles de páginas remotas que esconden porno degradante? ¿Habrá una etiqueta que marque todo el contenido adulto del mundo? ¿Quién clasifica lo pornográfico, lo violento?

“Algunas páginas, especialmente las menos escrupulosas, ignorarían las regulaciones y pondrían su contenido disponible para cualquiera”, dice Steven Murdoch, profesor del University College de Londres. “Los países podrían intentar bloquear estos sitios, pero la gente encontrará una manera fácil de eludirlo”, añade.

También hay que valorar qué harían los usuarios de otros países que llegan a Europa o España sin su identidad creada. ¿Un turista deberá crearse una para acceder a porno en su hotel? ¿Será un requisito nuevo, como aceptar unas cookies?

Por si fuera poco, un cambio al acceso a internet conllevaría a la fuerza otro tipo de red: “La idea de movernos hacia una internet donde hay que acreditar ciertos atributos para acceder a contenidos genera desconfianza, porque esa misma tecnología podría usarse para propósitos secundarios”, dice Tapiador.

Es evidente que los terceros verificadores podrían acceder a las identidades y compartirlas: “Es un sistema de certificación digital de cualquier atributo de la personalidad”, dice Adsuara. “La edad es uno, el seudónimo por ejemplo es otro. Si un juez estuviera investigando un delito podría pedir al tercero de confianza quién está detrás de un seudónimo”. El peligro de filtraciones o hackeos con datos explícitos de navegación es también inevitable.

5. Una decisión política sobre la censura

En el fondo, los expertos concluyen, esta solución dependerá de decisiones políticas más que técnicas: “Si debes demostrar cosas para navegar por internet abres la puerta a la censura y al control y cambia totalmente cómo funcionamos”, defiende Troncoso. La definición y el alcance por ejemplo de qué es el porno no será de los técnicos. Una vez abierta esta veda, pueden ampliarse a otros aspectos presuntamente dañinos, como la violencia o los mensajes de odio. El debate se amplía mucho.

“La pregunta de quién decide a qué edad los jóvenes pueden acceder a cierto contenido es complicada y va mucho más allá de la tecnología”, apunta Jakubowska. “Los jóvenes no son todos iguales y hay riesgo de que, con los gobiernos presionando para tener más control de la edad, veamos que muchos servicios empiezan a ofrecer servicios solo para adultos, porque es más fácil que intentar cumplir con los requisitos que les ponen cuando ofrecen servicios a los jóvenes”.

Puedes seguir a EL PAÍS Tecnología en Facebook y X o apuntarte aquí para recibir nuestra newsletter semanal.

Suscríbete para seguir leyendo

Lee sin límites

_