Miguel López, experto en ciberseguridad: "Bloquear a menores de 16 años en redes sociales es inviable"

El Gobierno de España ha anunciado que prohibirá el acceso de los menores de 16 años a las redes sociales. Esta medida, que sigue la estela de otros países como Francia o Australia, ha desatado un intenso debate sobre privacidad, protección de datos y seguridad online. Más allá del plano político, surgen algunas preguntas clave: ¿es realmente posible impedir el acceso de los jóvenes a estas plataformas? ¿Qué riesgos y limitaciones conlleva la verificación de edad en Internet?

Para ofrecer respuestas, hablamos con Miguel López, director para el Sur de EMEA en Barracuda Networks. Según su experiencia, imponer un bloqueo absoluto en un ecosistema abierto y distribuido como Internet es prácticamente imposible: “Se pueden robustecer los controles mediante verificación de edad, filtrado de contenidos o gestión de dispositivos, pero siempre existirán métodos de evasión: VPN, proxies, cuentas de terceros… El objetivo real es elevar el coste de acceso y reducir la exposición, no impedirla al 100%”.

¿Cómo se puede verificar la edad de los menores en Internet y qué limitaciones tiene?

La restricción planteada por el Ejecutivo de Pedro Sánchez implica abordar algunos aspectos esenciales para la seguridad digital, especialmente a la hora de determinar la edad de los usuarios. Actualmente, existen métodos como la autodeclaración, la verificación documental (DNI o pasaporte mediante OCR) y la biometría facial. Y todos ellos presentan limitaciones: sesgos, falsos positivos o negativos, exposición de datos sensibles, falta de estándares interoperables y ausencia de auditorías independientes continuas. "Sin una estrategia clara y con medidas puramente oportunistas, se corre el riesgo de que el remedio sea peor que la enfermedad", señala López.

El experto añade que iniciativas como la europea Cartera de Identidad Digital podrían paliar varios de estos inconvenientes, aunque tampoco serían totalmente efectivas. Siempre habría formas de sortear su control. Por si esto fuera poco, popularizar la subida de documentos como el DNI a las plataformas supondría asentar un precedente. A partir de ahí, comenzaría a crearse "una 'costumbre' indeseable entre los usuarios, ya que los ciberdelincuentes podrían usar ese hábito para recopilar información".

¿Puede la biometría facial garantizar la seguridad?

Ante el continuo avance de la Inteligencia Artificial (IA), una de las alternativas que más dudas genera es la del reconocimiento facial. En palabras del experto, "la biometría puede mejorar la precisión frente a la autodeclaración, peor arrastra riesgos estructurales". ¿Qué significa esto? "Los datos biométricos son irremplazables (no se 'revocan')", explica. Además, "sufren sesgos demográficos, pueden ser vulnerables a ataques de presentación (deepfakes) y generan dependencias de proveedor". Por ello, desde el punto de vista de la privacidad, "el tratamiento es altamente sensible y exige una base legal clara".

Tomando como referencia el Reglamento General de Protección de Datos, una prohibición que exige la identificación biométrica debe demostrar necesidad y proporcionalidad, así como aplicar "privacidad por defento". De acuerdo con López, "el interés legítimo o el incumplimiento legal deben estar claramente fundamentados; de lo contrario, el consentimiento de menores es problemático". Así, "las soluciones descentralizadas, con pruebas de edad sin revelar identidad, pseudonimización y tokens de atributo temporales reducen la exposición en caso de brecha pues los datos biométricos como tal no se almacenan, sólo su hash (huella digital única e inmutable), y se hace siempre con el mínimo traspaso de información posible".

"Un enfoque eficaz combina controles técnicos, diseño responsable y educación digital"

El caso de Australia, donde ya se ha puesto en práctica esta prohibición, permite hacer una previsión de futuro sobre su viabilidad en España. Desde que entró en vigor el pasado 10 de diciembre de 2025, se han bloqueado millones de cuentas pertenecientes a personas identificadas como menores de 16 años. Ahora bien, existen "brechas significativas", tal y como reconoce el periódico británico The Guardian. Algunos informes sostienen que los adolescentes son capaces de eludir fácilmente la estimación de la edad facial de Snapchat. "Hay limitaciones técnicas reales para una verificación de edad precisa y confiable", afirma la plataforma en declaraciones recogidas por el mismo diario.

"Es relativamente sencillo eludir restricciones geográficas o de red mediante VPN (Redes Privadas Virtuales), proxies, DNS alternativo o Tor; y la identidad puede falsearse con documentos robados, cuentas de terceros o 'mulas digitales'", comenta López. "Forzar controles estrictos sin un diseño de usabilidad y privacidad puede empujar a los jóvenes hacia infraestructuras opacas con baja higiene de seguridad, incrementando su exposición a malware, phishing y exfiltración de datos". Eso sin contar con el hecho de que también dificulta la "visibilidad parental/educativa", y la respuesta inmediata ante posibles incidentes.

Por todo ello, Miguel López lo tiene claro: "La eficacia mejora si se combinan controles proporcionales, educación, señales de riesgo en tiempo real y políticas adaptativas en lugar de bloqueos rígidos". En otras palabras, hace falta más educación digital. En su lugar, cabe la posibilidad de que el riesgo se externalice y aparezcan así "mercados grises/negros de cuentas verificadas o el alquiler de identidades".

La solución para minimizar esta problemática debería centrarse, según el experto, en "establecer una estrategia coordinada con otros países y la Unión Europea, donde se utilicen herramientas sólidas y comunes". Ejemplo de ello podría ser el Plan de Verificación de Edad de la UE y las futuras Carteras de Identidad Digital. "De esta forma, se reduce el riesgo de evasión de las medidas, así como los inherentes a posibles problemas de seguridad y privacidad". Se trata de un modelo que "reduce la exposición de datos, mantiene usabilidad y limita incentivos a mercados ilícitos, a la vez que eleva significativamente la barrera de acceso indebido".