El primer ministro británico Keir Starmer anunció este junio la medida más drástica tomada hasta la fecha dentro de la ola regulatoria que está redibujando el internet de los menores: una prohibición que va más allá de la australiana, con toques de queda nocturnos para adolescentes, restricciones a chatbots de IA que simulan relaciones, y sanciones dirigidas a las plataformas —no a los menores— que no implementen una verificación de edad efectiva. Lo dijo sin rodeos: gobernar es decidir, y prohibir era, para su Gobierno, la decisión correcta.
No es un capricho aislado. Australia abrió el camino en diciembre prohibiendo el acceso a menores de 16 años; España, Canadá, Francia y Portugal avanzan ya medidas similares. El mensaje es unánime: el internet libre para menores, tal y como se conocía, ha terminado.
Y sin embargo, desde la perspectiva de Andrea García Beltrán, especialista que lleva años analizando estos sistemas desde dentro, es necesario señalar algo que casi nadie está diciendo en voz alta: ninguna de estas leyes funcionará si no va acompañada de un rediseño técnico auditable. Prohibir sin verificar es solo un titular.
Por ejemplo, Australia cumplió seis meses de su prohibición el pasado 4 de junio, y una encuesta de la firma Pureprofile a 1.025 padres, profesores y jóvenes lo deja claro: el 78% de los menores de 16 años sigue accediendo a las plataformas prohibidas, aunque el apoyo social a la ley se mantiene en el 76%. El dato más revelador es otro: solo uno de cada tres menores se sometió alguna vez a un escaneo facial para verificar su edad, y de esos, la mitad fue identificado erróneamente como mayor de 16 años. Ni siquiera cuando se usa la biometría, funciona.
En el Reino Unido, el propio regulador Ofcom ha admitido algo incómodo: no puede bloquear las VPN, así que la única defensa real es un sistema de verificación que el usuario quiera completar de forma voluntaria. Ahí está la paradoja que pocos quieren reconocer: si una barrera digital es fácil de saltar, para un nativo digital no es una barrera, es un reto. Una encuesta de Internet Matters publicada en mayo a 1.270 menores de entre 9 y 16 años lo confirma: casi un tercio (32%) reconoce haberse saltado los controles de verificación de edad, recurriendo a fechas de nacimiento falsas, las cuentas de sus propios padres, VPN, e incluso bigotes dibujados a mano para parecer mayores.
Frente a este fiasco técnico, hace falta repartir responsabilidades con honestidad. A los gobiernos, fijar estándares técnicos mínimos y exigir su cumplimiento bajo sanción real, no solo legislar prohibiciones. A las escuelas, apostar por la alfabetización digital crítica: que un adolescente reconozca la manipulación algorítmica y el grooming es más duradero que cualquier filtro. Y a las familias, sustituir el control parental por mediación activa: acompañar, pactar tiempos de uso y generar la confianza para que un menor acuda a un adulto cuando algo va mal.
Pero hay un segundo problema, más profundo: cómo se verifica la edad sin convertir internet en un panóptico. Meses antes del anuncio de Starmer, la Cámara de los Lores ya había votado instalar software de vigilancia obligatorio en los móviles vendidos en el país. Exigir una verificación «altamente efectiva» empuja a las plataformas a recolectar escaneos faciales, documentos oficiales y datos bancarios: los datos más sensibles del planeta, en manos de empresas con un historial de ciberseguridad cuestionable.
La buena noticia es que la alternativa ya existe y se está probando en este mismo continente: España presentará su Cartera Digital Beta a finales de verano, dentro de un piloto europeo junto a Francia, Italia, Grecia y Dinamarca. Es un sistema de pruebas de conocimiento cero donde el usuario demuestra «tengo más de 16 años» sin que la plataforma vea jamás su rostro, su nombre o su fecha de nacimiento: la red social solo recibe un sí o un no. Si esa base de datos es hackeada, los atacantes no encontrarán millones de rostros, sino binarios vacíos.
Aun así, ni siquiera esto basta si se trata como un trámite de cumplimiento. Andrea García Beltrán viene defendiendo que el verdadero salto no es legal, ni siquiera criptográfico: es pasar del cumplimiento de papel a la auditoría viva. Eso significa auditorías externas y periódicas de caja negra, donde hackers éticos intenten activamente romper el sistema con deepfakes e identidades sintéticas; y auditorías de los algoritmos de recomendación, porque de nada sirve frenar la entrada si, una vez dentro, el sistema sigue empujando a un menor hacia contenido dañino.
Y hay un argumento más que casi nadie conecta todavía, y que García Beltrán ha señalado desde su trabajo en sostenibilidad digital: un sistema de conocimiento cero no es solo más privado, es más verde. No hay montañas de rostros que almacenar, proteger y reentrenar en servidores que consumen energía a escala industrial. La privacidad por diseño y la sostenibilidad por diseño son, en la práctica, la misma arquitectura.
La ciberseguridad infantil no se resolverá solo con una ley más estricta. Empieza en casa, se aprende en la escuela, exige tecnología responsable y se protege con políticas públicas inteligentes. Se resolverá cuando gobiernos, familias y educadores dejen de pedirle a la tecnología que los sustituya, y empiecen a exigirle que rinda cuentas. Los niños no son solo usuarios vulnerables: son la infraestructura crítica del futuro.
Andrea García Beltrán es voz líder en ciberseguridad, riesgo tecnológico y ciberseguro, especializada en inteligencia artificial, sostenibilidad y resiliencia operativa. Es ponente internacional, Digital Human Rights Advocate y autora de un libro de ciberseguridad infantil para niños.
