La Unión Europea ha puesto en marcha una aplicación para verificar la edad de los usuarios y limitar el acceso de los menores a determinados contenidos, pero la herramienta ya ha quedado bajo escrutinio por posibles fallos de privacidad y seguridad.
La propia documentación oficial de la aplicación recoge que organismos como la Policía, los servicios de inteligencia de los países miembros o las oficinas presidenciales pueden leer y modificar datos personales de los usuarios. Ese alcance sobre la información almacenada ha abierto dudas sobre las garantías reales del sistema.
Dudas sobre la privacidad de la herramienta
La presidenta de la Comisión Europea, Ursula von der Leyen, defendió públicamente que la aplicación "respeta los más altos estándares de privacidad del mundo". Sin embargo, un análisis técnico posterior ha cuestionado esa afirmación.
"La aplicación europea de verificación de edad está técnicamente lista. Respeta los estándares de privacidad más altos del mundo. Es de código abierto, así que cualquiera puede revisar el código. Yo lo hice. No tardé en encontrar lo que parece un grave problema de privacidad." - Paul Moore, consultor de seguridad
El consultor de seguridad Paul Moore sostiene que detectó una vulnerabilidad relevante en poco tiempo tras revisar el código abierto de la herramienta. Su examen apunta tanto al almacenamiento de datos sensibles como a la protección del acceso de los usuarios.
Acceso al dispositivo y cambio del PIN
Moore mostró que la aplicación puede ser vulnerada en menos de dos minutos si se dispone de acceso físico al dispositivo. El método descrito consiste en editar el archivo de preferencias compartidas para eliminar los valores del PIN encriptado.
Además, la encriptación presenta fallos que, siempre según ese análisis, permitirían a un atacante cambiar el PIN de un usuario y entrar en su información personal. Se trata de un punto especialmente sensible al tratarse de una aplicación destinada a gestionar datos de identificación.
Selfies almacenados sin límite temporal
Otro de los aspectos señalados afecta al registro inicial. Las fotografías tipo selfie utilizadas para dar de alta al usuario quedan almacenadas en el disco de forma indefinida, sin que conste un borrado automático tras completar la verificación.
La combinación entre ese almacenamiento prolongado, la capacidad de determinados organismos para acceder y modificar datos personales y los fallos detectados en la protección del PIN sitúa la aplicación en el centro del debate sobre la privacidad digital en la Unión Europea, en un momento en el que su objetivo declarado es reforzar la protección de los menores en internet.