Hay ideas que suenan aparentemente bien en un titular y que, cuando intentas bajarlas a una implementación real, se desmoronan completamente. La nueva oleada de «leyes de verificación de edad» están en esa categoría: una mezcla de pánico moral, presión política y fe ciega en que la tecnología puede imponer barreras limpias y perfectas entre «menores» y «adultos». El resultado, una vez más, es una exigencia técnica ambigua que no resuelve el problema que dice querer resolver… y que, de paso, castiga justo a quienes menos capacidad tienen de asumir el coste: comunidades abiertas, proyectos mantenidos por voluntarios y distribuciones Linux que, por diseño, no operan como una plataforma centralizada.
El caso más ilustrativo ahora mismo es California con su AB 1043, que entra en vigor el 1 de enero de 2027 y obliga a proveedores de sistemas operativos a pedir la edad (o la fecha de nacimiento) en la configuración de la cuenta y a exponer una «señal» de tramo de edad a las aplicaciones mediante una API. El propio texto de la ley deja claro el enfoque: categorizar a la persona usuaria en tramos (por ejemplo, «menor de 13», «de 13 a 15», «de 16 a 17», «Más de 18») y convertir esa señal en un elemento para desarrolladores y tiendas de aplicaciones. Que nadie se engañe: esto no es «verificar» la edad: es, en el mejor de los casos, pedirla. Y pedirla no impide mentir. Es exactamente el mismo teatro de seguridad que llevamos décadas viendo en la web, pero ahora trasladado al sistema operativo, y ahora con una supuesta amenaza de responsabilidad legal flotando sobre todo el ecosistema.
Lo interesante y preocupante es lo que esta presión regulatoria provoca en el tejido del software libre. En Ubuntu, por ejemplo, un desarrollador propone un estándar «mínimo» en forma de interfaz D-Bus, para que el sistema pueda almacenar y devolver el tramo de edad sin convertirlo en una pesadilla de privacidad, e incluso sugiere que se almacene solo el intervalo de edad y que sea el usuario quien tenga que actualizarlo cada vez que cambie de tramo. La reacción oficial de Canonical, sin embargo, es prudente y casi defensiva: reconocen que están revisando la legislación con su asesoría legal, pero que no hay plan concreto, ni siquiera decisión, sobre si Ubuntu cambiará algo, y remarcan que lo discutido es conversación informal, no anuncio. En Fedora el tono es parecido: el liderazgo del proyecto evita especular hasta hablar con apoyo legal, y la discusión comunitaria deriva rápidamente hacia «¿cómo diablos se interpreta esto en un sistema multiusuario, con live sessions, equipos compartidos, cuentas locales, etc.?»
Esto supone la primera gran fractura: estas leyes presuponen un modelo de «plataforma» con control central, con cuentas identificables y con la capacidad de imponer un flujo de registro uniforme. Linux, como ecosistema, es exactamente lo contrario: miles de combinaciones de instalación, despliegues sin cuenta, usuarios locales, máquinas compartidas, terminales, quioscos, laboratorios, live USB, imágenes para contenedores, entornos corporativos, entornos educativos… pretender que todo eso se pliegue a un mismo ritual de «dime tu edad y te doy una señal» es legislar sobre una caricatura del mundo real. Y cuando legislas sobre una caricatura, quienes ganan no son «los jóvenes», sino quien ya opera como plataforma centralizada y puede absorber el coste, convertir el cumplimiento en ventaja competitiva y empujar al resto a desaparecer o a autoexcluirse.
La segunda fractura es todavía más seria: la privacidad. La Electronic Frontier Foundation lleva tiempo advirtiendo que el «age gating» es, en la práctica, un mecanismo de censura y vigilancia, y que además suele chocar con derechos fundamentales. En 2023 ya señalaban cómo tribunales federales habían frenado leyes en Arkansas, California y Texas por su probable vulneración de la Primera Enmienda, precisamente porque la verificación de edad disuade el acceso a expresión protegida y erosiona el anonimato. Y más allá del debate constitucional estadounidense, hay un punto técnico que es casi universal: cualquier esquema que vincule identidad offline con actividad online crea un activo tóxico, irresistible para atacantes y demasiado tentador para usos secundarios. La propia EFF lo resume claramente: los sistemas de verificación de edad acaban siendo sistemas de vigilancia, y ya hemos visto filtraciones y brechas en proveedores de este tipo de servicios.
Quien piense eso de «vale, entonces usemos criptografía y ya está» debería leer a Steven Bellovin: en su análisis sobre verificación de edad preservando privacidad sostiene que, técnicamente, construir un esquema basado en credenciales puede ser «razonablemente directo», pero que los obstáculos legales, económicos y sociales son formidables, hasta quizá insalvables en ciertos países. Y remata con una obviedad incómoda: la auto-declaración de edad es puro teatro, no seguridad. Traducido: o lo haces intrusivo y centralizador (IDs, biometría, terceros), o lo haces inútil. Y en ambos casos introduces externalidades enormes.
Mientras tanto, otras jurisdicciones avanzan por el mismo camino, con matices que no cambian el fondo. En el Reino Unido, Ofcom publicó guías para «age checks» y «age assurance» bajo el Online Safety Act, exigiendo métodos «altamente efectivos» para impedir acceso de menores a pornografía y otros contenidos dañinos. En la UE se habla ya de un «mini wallet» alineado con el European Digital Identity Wallet, con la promesa de estandarizar verificación de edad con enfoque de privacidad y facilidad de uso. Y en think tanks tecnológicos se proponen mecanismos como zero-knowledge proofs como vía para minimizar exposición de datos. Todo suena muy sofisticado… hasta que recuerdas el incentivo real: si obligas a «probar la edad» a escala, acabas construyendo un sistema que permite rastrear, excluir y condicionar el acceso. La tentación de extenderlo más allá de «proteger menores» es prácticamente inevitable. Hoy es la pornografía o las redes sociales; mañana será la «información sensible», el «contenido político», la «salud», la «protesta», el «periodismo incómodo». La infraestructura queda ahí para el gobierno de turno que la quiera utilizar.
¿Y qué hace la comunidad Linux ante esto? La reacción natural es la mínima viable: definir un estándar común y delegar, como intenta la propuesta de recurrir al D-Bus, para que no sean miles de aplicaciones inventando cada una su propio mecanismo y multiplicando riesgo y complejidad. Pero incluso ese «camino mínimo» tiene trampas: normaliza la idea de que el sistema operativo debe etiquetar a su usuario por edad, y abre una interfaz que, por muy bien diseñada que esté, se vuelve un punto de presión regulatoria y un objetivo de abuso. Además, no arregla lo esencial: un menor puede mentir en el setup del sistema, y si la ley empuja a «subir el nivel» hacia verificación real, el salto natural será a documentación, biometría o proveedores externos. Ahí el software libre pierde por partida doble: por recursos (implementación, auditoría, mantenimiento, cumplimiento) y por principios (anonimato, control local, minimización de datos).
La forma sensata de enfrentarse a esto, si de verdad nos preocupa el bienestar de los menores online, empieza por admitir lo obvio: estas medidas son una mala abstracción del problema. Pretenden sustituir educación, acompañamiento, alfabetización digital y diseño responsable por un «check» que, o bien es trivialmente evadible, o bien se convierte en una máquina de recopilar datos. Por eso, el mejor frente es político y legal: apoyar impugnaciones cuando corresponda, pedir marcos de privacidad integrales que reduzcan incentivos de explotación y perfilado (en vez de construir peajes de acceso), y exigir que cualquier obligación técnica sea proporcional, verificable y compatible con los derechos fundamentales.
En paralelo, el ecosistema debería reaccionar como sabe: con estándares abiertos y mínimos, con implementaciones de referencia transparentes, y con una obsesión por la reducción de daño. Ya hay incluso repositorios en Github que se autodefinen como implementación de referencia de esa interfaz, precisamente para evitar la aparición de una explosión de soluciones ad hoc. Si la presión legal se convierte en inevitable, el único terreno defendible es el de «mínimos datos, control local, sin terceros, sin identidad»: almacenar solo tramos, no fechas; evitar tokens persistentes reutilizables entre servicios; y diseñar para que nada de eso pueda utilizarse como identificador transversal. Pero no nos engañemos: eso sigue sin resolver el objetivo declarado (porque se basa en la auto-declaración) y, por tanto, seguirá alimentando la escalada regulatoria hacia soluciones más invasivas.
La conclusión incómoda es que estas leyes, tal como se están planteando, no son tanto una «protección de menores» como una reconfiguración del equilibrio de poder en la capa base de la informática personal. Colocan a pequeños proyectos y comunidades ante una disyuntiva absurda: o incorporan mecanismos que erosionan la privacidad y abren las puertas a futuros abusos, o asumen riesgos legales y presión reputacional. Y en ese pulso, el software libre, que históricamente ha sido una válvula de escape contra el control centralizado, se convierte en un objetivo colateral perfecto. Quizá por eso el debate en Linux está siendo tan intenso: porque, bajo la excusa de «la edad», lo que se está discutiendo es quién diablos manda en tu ordenador.
Podemos pensar que un menor no debería tener acceso a un dispositivo con privilegios de administrador como para crear una cuenta de usuario en el sistema operativo, tarea de configuración previa a su entrega que recaería en padres, tutores, informático del colegio, etc… según proceda.
Por tanto, podemos pensar que la medida debería ser sufiente a nivel de sistema operativo. Ahora bien, si entregamos un ordenador a un menor, él mismo de manera autodidacta instala el sistema operativo y lo configura a su gusto, con total desconocimiento de sus padres… es lo que se hacía hace años en la época de difusión masiva de la informática, los comienzos de internet, cuando los padres de esa generación eran mayoritariamente analfabetos digitales. Pero quiero pensar que en el caso de los menores de hoy, sus padres tendrán una edad tipo en el rango de 30 a 50 años, muchos han comenzado su contacto con internet con el ordenador y el messenger, otros pertenecen a la generación de Facebook y regar la huerta, y otros padres de hoy estaban publicando fotos en instagram como postadolescentes en plena pandemia.
Si como responsables ignoran toda la información y señales que da el mundo sobre protección a los menores, pocas barreras técnicas se pueden poner porque las salta el padre no el hijo.
En este foro, probablemente todos hemos conocido a algún adulto que deliberadamente ha falseado la edad en la cuenta de sus hijos, para evitar bloqueos de contenido por edad en Youtube, juegos, etc. Si lo hacen los padres conscientemente…
Me viene a la memoria que cuando creé una cuenta en Microsoft puse mi fecha de nacimiento real y como soy jubileta desde hace unos años, cuando jugaba al solitario de Windows me salía publicidad de seguros de vida, tanatorios y funerarias (cierto, no os riáis). Así que tuve que entrar en mi cuenta y editar la fecha de nacimiento poniendo otra mucho más reciente para evitar publicidad tan deprimente.
Así que si fuera menor de edad creo que sería trivial informar una fecha de nacimiento 10 o 15 años anterior a la real para evitar censuras por lo demás inoportunas (creo que deben ser padres, tutores y profesores los que eduquen a los menores, tanto en sexualidad como en las demás vertientes de la vida)
El asunto es tan complejo como los «reguladores» lo quieran hacer. O es una iniciativa hecha por idiotas o por mentes perversas. Si tanto les preocupan los menores de edad que lo hagan al revés: que sean las apps y servicios los que esten obligados mediante api a enviar la señal y el control parental del s.o. es quien deba de rechazarlas por defecto. El hardware es nuestro, los hijos tambien, y el software algun día de todos. Lo demás, es cambiar «régimenes» que no nos gustan a base de asesinar a toda su población. Viva la democracia.
Sólo hay una forma segura de controlar la edad, leer la fecha de nacimiento en el DNI. Cualquier sistema no basado en esto no es fiable y aún en este caso, habría que comprobar que el DNI pertenece a su portador y no se lo ha presentado un amigo mayor
Más aún con él software libre que por principio cualquiera, (con los conocimientos suficientes), puede modificar a su antojo
Una buena causa para la desobediencia civil.
Jodó, si esta es una buena causa, me pregunto qué serán tooooooooooodas las otras que están ocurriendo en el mundo…
Mira que hay burradas… en todas partes…
Primero: Se llama educación. Y esta viene tanto desde la mas primaria de las escuelas, hasta la labor de los padres. Si eso falla, ya podemos ir poniendo parches, tiritas, Locktite y demás… Y si, nos gustara o no, pero eso, precisamente, es lo que está fallando, desde hace años. Luego ya viene aquello de las puertas al campo…
Reconozco que es de las pocas veces que no me leo los enlaces de eDans… con su resumen de los mismos, creo que tengo bastante… pero parece que la cosa “va de Linux”… será que este “es el año de Linux en el escritorio”… (los “pro” saben de qué hablo).
Si un menor se hace con una copia de Windows o le regalan un PC preinstalado, no es un problema?. Y si al menor en cuestión le regalan un Apple…??? No es un problema? Solo es un problema para Linux…??? Que piensan Microsoft y Apple de la iniciativa? Están de acuerdo? Lo implementaran? LO DUDO.
Solo hay una forma de validar la mayoría de edad: o presentas un DNIe o presentas tu tarjeta de crédito. Evidentemente, que menores avispados, se harán con las tarjetas de sus padres para validarse. Pero serán los menos. Otra cosa, es que estemos o no de acuerdo con el método.
Nos llenamos la boca con las Fake News, los bulos, las chorradas que se llegan a leer en las RRSS (1), pero eso, de nuevo guste o no, es por el escudo del anonimato (ocurre incluso en estas líneas, el más valiente, mata leones). El simple hecho de saber, que podrías ser rastreado o reconocido, cerraría miles (y cientos de miles) de bocas. Así que solo hay un método para saber quien eres y si eres mayor de edad:
Tu identificación.
Y antes de que salte ningún iluminado, yo no digo ni a favor ni en contra (y alguno habrá).
Pero por el amor de Diox… tener que validar el SO, para que a su vez se validen las aplicaciones… no me meo porque no he bebido… XDDD
La identificación, evidentemente tiene un problema. Que pasa con esa gente, que tiene cosas que contar, de conflictos o evitar censuras y similares? Pues no tengo solución. Pero o lo uno, o lo otro. (y los que se flipan con lo de que las VPN les dan el anonimato que precisan, que se lo hagan mirar… Proton Mail Helped FBI Unmask Anonymous ‘Stop Cop City’ Protester privacidad no es anonimato).
(1) Yo no tengo RRSS, pero ayer, me encontré con un amigo, y le pedí el móvil. Trastee con su Twitter. Un imbécil publica una estupidez, y mil imbéciles más, sin comprobar si la cosa es veraz o no, la retuitean… Y ese primer imbécil, fui yo (con su cuenta). No me digáis que mi amigo está rodeado de más imbéciles de la cuenta… que esto no es anecdótico. Es el pan de cada dia y no ha cambiado desde que lo deje hace más de diez años.
———
En otro orden de cosas y OFFTOPIC:
Leo este articulo (en diagonal), y me viene a la cabeza una preguntiña…
Creíamos que los programadores humanos acabarían siendo revisores de código. Anthropic se acaba de cargar eso
Si hay una IA que revisa el código de otras IA’s por si han metido la gamba… no seria mejor pedirle el código a esta ultima IA…??? O ya estamos “agilipòllados” del todo???
A tu última pregunta, no, por dos palabras: convergencia e iteración. Los LLM convergen con su usuario de manera inevitable (de ahí que si un tipo se quiere suicidar, le terminen recomendando métodos para ello o una redacción para su carta de suicidio) Es simplemente un problema de los vectores iniciales con los que defines el espacio del prompt. Eso, llevado al desarrollo de software, ya sabes lo que significa: hace código «como tú», con todo lo que ello tiene de bueno o de malo. Y a partir de ahí, lo puedes iterar las veces que quieras, que si no te cambias de LLM, hay cosas que no corregirá. De ahí la idea de cosas como NebulaOne y otras consolas que permiten cambiar de LLM «sobre la marcha», o simplemente la gente que copia y pega prompts en distintos LLMs, se trata de romper el bucle de convergencia con el usuario y de conseguir propuestas «frescas» en la iteración que si no cambiases, simplemente no obtendrías…
Entiendo tu planteamiento, pero partes de un problema:
Si cualquiera (y entiendo… al novato), le pide algo a la IA, no hay “modo a imitar”. Mi vecino del tercero puede pedirle a la IA que le haga una mini aplicación. El tío es fontanero, así que no hay una correspondencia de vicio de flujo (de trabajo, se entiende)…
Y si el peticionario, es un programador con cierta experiencia, ya sabe que es lo que esta pidiendo (o es muy mal programador).
No me vas a convencer… El código que se genera, aun hoy día y mal pese, es slop. Lo que hay en los repositorios no es bueno (del todo, hay mucha mierda) y eso genera más código trash que encima, la gente mete en esos repositorios. No te negare que hay mejoras. Solo te digo, que llevando ya casi 20 años retirado, pocos me pasan la mano por la cara con la IA en mano (tiempo x líneas no corregidas). Y esto llevo ya unos meses comprobándolo con bastante gente. No porque yo sea un guru de la programación, sino porque ellos mismos admiten, la cantidad de tiempo que pierden en “retoques” sobre las respuestas IA.
Si la IA que te proporciona el código, va envenenada, la IA que te lo corrige, ha aprendido de las mismas fuentes. Por tanto…???
Si, que no lo sé, se basa en un feedback sobre errores conocidos/aprendidos… no podría hacerse lo mismo sobra la IA inicial? Para que dos, o tres o las que les ocurran???
No sería, por ejemplo, más interesante, “limpiar” los códigos de los repositorios, hacerlos mas limpios y eficaces, y reentrenar?
Si la cosa va de ir “cambiando de LLM”… eso es también ir cambiando de suscripciones… es como tener todas las plataformas de pago para poder ver una película… si pago por un LLM quiero que sea eficaz, no que me transforme una función que se soluciona en 40 líneas, en 200 mas… que luego otro LLM me va a tener que corregir…
(estoy espeso hoy, pero creo que me explico)