Aplicada en julio para proteger a los menores, la Ley de Seguridad en Línea (OSA, por sus siglas en inglés) del Reino Unido ha desencadenado una migración generalizada hacia las sombras digitales. En lugar de someterse a escaneos faciales obligatorios, los usuarios están eludiendo la ley por completo al acudir en masa a redes privadas virtuales (VPN).
Proveedores como ProtonVPN y NordVPN informan de un crecimiento asombroso, con registros que aumentan entre un 1.000 % y un 1.800 % inmediatamente después de la fecha límite. Este éxodo expone una falla crítica en los “robustos” controles de edad, ahora rutinariamente derrotados por herramientas de privacidad e incluso capturas de pantalla de videojuegos.
La gran migración: cumplimiento versus elusión
El 25 de julio marcó un punto de inflexión para Internet en el Reino Unido, pero no el que pretendían los reguladores. Cuando llegó la fecha límite para la plena aplicación de la Ley de Seguridad en Línea, millones de usuarios se enfrentaron a una elección clara: entregar datos biométricos para acceder a contenido para adultos o encontrar una solución alternativa.
Los datos de la guía regulatoria confirman que los usuarios activos diarios de VPN en el Reino Unido se duplicaron temporalmente a aproximadamente 1,5 millones en los días inmediatamente posteriores al mandato.
Lejos de ser sutil, el cambio dominó las listas de la App Store, donde cinco de las diez principales aplicaciones gratuitas eran VPN. Los proveedores de servicios fueron los principales beneficiarios de este beneficio regulatorio inesperado. ProtonVPN registró un aumento del 1800 % en las suscripciones, mientras que NordVPN experimentó un aumento del 1000 % en las compras.
Estas cifras sugieren un cambio fundamental en el comportamiento del consumidor, pasando del cumplimiento pasivo a la elusión activa. Al interpretar el repentino aumento en la actividad de los usuarios adultos, un portavoz de Proton VPN le dijo a la BBC que”esto muestra claramente que los adultos están preocupados por el impacto que las leyes universales de verificación de edad tendrán en su privacidad”.
Mientras que las preocupaciones por la privacidad llevaron a muchos a recurrir a túneles cifrados, otros encontraron métodos aún más simples para derrotar el sistema. En una demostración viral de la fragilidad de la tecnología, los usuarios descubrieron que podían eludir la IA”robusta”de estimación facial mostrando imágenes de alta fidelidad de personajes de videojuegos.
En solo un ejemplo de tal laguna, las capturas de pantalla del actor estadounidense Norman Reedus, el principal protagonista del videojuego Death Stranding, engañan con éxito los algoritmos de aseguramiento de la edad utilizados por las principales plataformas. La laguna jurídica muestra la inmadurez técnica de las soluciones obligatorias, que fracasaron ante las tácticas básicas de ofuscación.
Puedes usar el modo de fotografía de Death Stranding para evitar la verificación de edad de Discord https://t.co/o9n0c0lwkI pic.twitter.com/mvYmhZZCVp
— Dany Sterkhov 🛡✈ (@DanySterkhov) 25 de julio de 2025
Al abordar las implicaciones sistémicas de estas lagunas, un representante de Internet Matters advirtió que “esto les facilita eludir protecciones importantes introducidas bajo la Ley de Seguridad en Línea, como controles de edad diseñados para protegerlos del contenido para adultos”.
La paradoja de la privacidad: el comercio de datos biométricos para corredores de datos
En el centro de esta cuestión se encuentra una compensación fundamental entre la vigilancia impuesta por el Estado y la seguridad de los datos personales. Según las nuevas reglas, las plataformas deben implementar estándares de verificación específicos para garantizar que los usuarios sean adultos.
Los requisitos son estrictos: los sitios web que alojan pornografía u otro contenido marcado como dañino para los niños ahora enfrentan un mandato legal para implementar una verificación de edad”sólida”. El cumplimiento requiere que los usuarios carguen una identificación gubernamental o envíen un video selfie para una estimación facial, un proceso que ha generado temores con respecto a la retención de datos y la posibilidad de vincular hábitos de navegación sensibles con identidades del mundo real.
Para muchos usuarios, la perspectiva de cargar una identificación gubernamental o someterse a escaneos faciales no es un buen comienzo. Esta desgana ha impulsado el tráfico hacia la opción”sombra”de las VPN. Sin embargo, esta huida hacia el anonimato conlleva sus propios riesgos importantes.
La prisa por eludir los controles de edad está empujando a los usuarios hacia servicios VPN gratuitos y no regulados. Estas aplicaciones a menudo carecen de los rigurosos estándares de seguridad de los proveedores pagos y pueden monetizar los datos del usuario de maneras que son opacas para el consumidor.
Técnicamente, las VPN gratuitas deben generar ingresos de alguna manera, oa menudo por vender datos de tráfico a intermediarios externos. Esto crea lo que se llama un “incentivo perverso” donde la legislación diseñada para proteger a los usuarios de contenido dañino los expone inadvertidamente a la recolección de datos y malware.
Los reguladores son conscientes de esta laguna, pero parecen impotentes para cerrarla. Ofcom ha reconocido el papel de las VPN a la hora de socavar la intención de la legislación.
Como directora ejecutiva de Ofcom, Dame Melanie Dawes escribió a los presidentes de dos importantes parlamentos Comités
“Desde que las reglas de verificación de edad entraron en vigor, ha habido un considerable debate público sobre si las reglas pueden eludirse y cómo, incluso mediante el uso de VPN. Las VPN son de uso común en el Reino Unido y otras democracias occidentales y ofrecen beneficios de privacidad y anonimato.
Pero debido a que permiten a los usuarios acceder a sitios y aplicaciones sin revelar su ubicación real, ofrecen una oportunidad de eludir las protecciones de la OSA. Después de la fecha límite del 25 de julio vimos un aumento en su uso: los usuarios activos diarios de aplicaciones VPN en el Reino Unido se duplicaron temporalmente a alrededor de 1,5 millones.”
A pesar de esta conciencia, las contramedidas efectivas siguen siendo difíciles de alcanzar. La posición del regulador resalta la dificultad de hacer cumplir las fronteras nacionales en una Internet global y descentralizada.
Contexto global: un mundo que se cierra
La lucha de Gran Bretaña representa solo un frente en un conflicto global más amplio entre reguladores y plataformas digitales. Los gobiernos de todo el mundo están intentando imponer barreras de edad y estándares de seguridad estrictos, a menudo con distintos grados de éxito.
Australia está siguiendo una estrategia aún más agresiva, con el gobierno yendo más allá de simples controles de edad para exigir desactivaciones masivas de cuentas y prohibiciones totales para usuarios menores de 16 años.
En marcado contraste con la limitación de edad “suave” del Reino Unido, este desalojo “duro” ha obligado a las plataformas a adaptarse. Meta ha respondido al mandato australiano introduciendo una función de”inactividad”, prometiendo que las cuentas se congelarán en lugar de eliminarse.
Explicando sobre la mecánica de este sistema, Mia Garlick, Directora de Política Regional de Meta, afirmó que”cuando cumplas 16 años y puedas volver a acceder a nuestras aplicaciones, todo tu contenido estará disponible exactamente como lo dejaste”.
Mientras, la Unión Europea está debatiendo sus propios marcos de seguridad. Los marcos de seguridad de la UE revelan un impulso para el”control de chat”y el escaneo voluntario, una medida que ha provocado un intenso debate sobre el equilibrio entre la seguridad infantil y el cifrado de extremo a extremo.
En Estados Unidos, la batalla legal está tomando una forma diferente. Una acción legal reciente contra Roblox destaca cómo estados como Texas están demandando a plataformas por supuestamente priorizar las ganancias sobre la seguridad del usuario.
Ken Paxton, el Fiscal General de Texas, usó un lenguaje fuerte para describir la posición del estado, afirmando que”no podemos permitir que plataformas como Roblox continúen operando como campos de juego digitales para depredadores donde el bienestar de nuestros niños se sacrifica en el altar de la codicia corporativa”.
Estos enfoques dispares están creando un panorama regulatorio fragmentado, o”Splinternet”, donde las plataformas deben navegar por una compleja red de leyes locales contradictorias. En medio de este caos legal, el costo humano sigue siendo un tema central.
La respuesta regulatoria y las perspectivas futuras
A pesar de la clara evidencia de elusión masiva, los funcionarios gubernamentales han minimizado la magnitud del problema. El secretario de Ciencias, Peter Kyle, ha afirmado que”muy pocos niños”están eludiendo los controles, una afirmación que contrasta marcadamente con los datos.
Las propias cifras de Ofcom pintan un panorama diferente, aunque la directora ejecutiva Melanie Dawes añadió en su declaración que después del pico inicial, el uso de VP ha”caído a alrededor de 1 millón a finales de septiembre”.
Esta desconexión entre la retórica política y la realidad estadística sugiere un camino desafiante por delante para la aplicación de la ley. Es probable que se acelere la carrera armamentista técnica entre los sistemas de verificación y las herramientas de elusión, a medida que las VPN y los métodos de suplantación de identidad se vuelven más sofisticados.
A medida que la industria pasa de características de “seguridad por diseño” a verificaciones de “identidad por mandato”, la naturaleza fundamental de Internet está cambiando. En última instancia, el resultado puede ser un mundo digital de dos niveles: un espacio desinfectado y vigilado para los usuarios que cumplen las normas y un ecosistema vasto e invisible para aquellos que optan por no participar.
