✨︎ Resumen (TL;DR):
- Un consultor de seguridad vulneró el sistema de la Comisión Europea usando únicamente un editor de texto.
- La plataforma almacena la encriptación y los límites de intentos localmente, lo que permitió saltar la seguridad en menos de 120 segundos.
- El colapso técnico ocurre semanas después de que 438 investigadores advirtieran los peligros de estos mandatos gubernamentales.
El 15 de abril, la Comisión Europea presentó su nueva aplicación oficial de verificación de edad. Sin embargo, apenas 24 horas después, el consultor de seguridad Paul Moore vulneró todo el sistema de autenticación en menos de dos minutos. El ataque demostró que la plataforma almacena datos críticos en archivos de configuración editables localmente, exponiendo una falla letal en un proyecto diseñado para proteger a los menores.
Ursula von der Leyen, presidenta de la Comisión Europea, y la vicepresidenta ejecutiva Henna Virkkunen, lanzaron la herramienta catalogándola como una “solución gratuita y fácil de usar”. La app de verificación de la UE es un sistema digital que escanea pasaportes o identificaciones nacionales para emitir una credencial a las plataformas web, confirmando si el usuario cumple la edad requerida sin revelar su fecha de nacimiento.
Von der Leyen aseguró en X que el software tendría “los más altos estándares de privacidad del mundo”. Actualmente, seis estados miembros, incluyendo Francia, España y Dinamarca, prueban la fase piloto para cumplir con las exigencias de la Ley de Servicios Digitales.
Falla arquitectónica de origen
La seguridad colapsó el 16 de abril. Moore descubrió que la aplicación guarda la encriptación del PIN, el contador de intentos límite y el botón de biometría en un archivo local sin protección. Borrando dos simples valores y reiniciando el programa, el experto estableció un nuevo PIN y obtuvo acceso total.
El investigador no se detuvo ahí y creó una extensión de navegador que replica el código de la app para fabricar credenciales de edad falsas que los sitios web aceptan como legítimas. Moore lanzó una advertencia directa a von der Leyen: “este producto será el catalizador de una enorme brecha en algún momento; es solo cuestión de tiempo”.
Ya en marzo se había detectado que el código abierto del sistema no cuenta con mecanismos para verificar si la validación del pasaporte realmente ocurrió en el dispositivo del usuario. Hasta el 17 de abril, el vocero Thomas Regnier y la Comisión Europea no han emitido parches ni declaraciones oficiales.
Este lanzamiento fallido valida los temores de la industria. A principios de marzo de 2026, 438 investigadores de 32 países firmaron una carta abierta declarando que exigir estas verificaciones es “técnicamente imposible de hacer bien, fácil de eludir, una grave amenaza para la privacidad y la seguridad, y probable que cause más daño que beneficio”.
El documento recordó cómo 70,000 usuarios de Discord sufrieron la exposición de sus fotos de identificación tras un error en un proceso similar. El grupo European Digital Rights definió el proyecto europeo como un “enfoque de mazo” que dispara el riesgo de robo de datos y vigilancia masiva.
