🔥 Polémica
La UE quiere obligarte a tener Android o iOS para navegar — su app de verificación se hackea en 2 minutos
Imagina que mañana necesitas una app para entrar a cualquier red social, ver un video en YouTube o incluso leer las noticias. Y que esa app solo funciona si tienes Android o iOS. Y que además necesita una verificación de Google Play Integrity para arrancar. Bienvenido al futuro que la Unión Europea está construyendo.
La Comisión Europea acaba de anunciar que su app de verificación de edad — diseñada para cumplir con regulaciones de protección infantil y control de contenido — está lista para implementarse. Pero hay un detalle que no te están contando en los titulares: la app exige que uses Android con Google Play Integrity o iOS con Apple App Attestation. No hay alternativa. No hay opción para otros sistemas operativos. Y los expertos en ciberseguridad la vulneraron en menos de 2 minutos.
Esto no es un bug. Es una pesadilla de privacidad, soberanía digital y dependencia tecnológica que debería preocuparte aunque vivas al otro lado del Atlántico.
¿Qué es esta app exactamente?
La UE ha desarrollado un sistema de verificación de edad como parte de su Estrategia Europea de Identidad Digital. La idea es simple: cuando entres a un sitio web que requiera verificar tu edad (redes sociales, sitios para adultos, plataformas de video), en lugar de subir tu documento de identidad o dar tus datos personales, usas una app oficial que confirma que eres mayor de edad sin revelar quién eres.
En teoría, suena bien. En la práctica, es un desastre.
El problema #1: Dependencia de Google y Apple
La especificación técnica de la app exige el uso de Google Play Integrity API (para Android) y Apple App Attestation (para iOS). Esto significa que:
- 🚫 No puedes usar la app sin un dispositivo Android o iOS. ¿Tienes un teléfono con una ROM alternativa como LineageOS? No funciona. ¿Usas un PinePhone, un Fairphone sin Google Services o cualquier dispositivo sin licencia de Google? Olvídalo.
- 🔐 Google Play Integrity requiere una cuenta de Google vinculada al dispositivo. Sin cuenta de Google, no hay verificación de edad.
- 🏢 Entregas las llaves de tu identidad digital a dos corporaciones estadounidenses. No a la UE. A Google y Apple.
Como señala un desarrollador en la discusión oficial de GitHub: "Es increíble que la UE sancione a Google por abuso de posición dominante y luego imponga el uso de herramientas que excluyen la libre elección del usuario y le dan a Google todo el poder de decisión".
La ironía máxima: la UE multó a Google y ahora le ruega
La Unión Europea ha multado a Google con más de $8 mil millones en los últimos años por abuso de posición dominante en el mercado de sistemas operativos móviles, publicidad y comparación de compras. La misma UE que exige que los fabricantes de Android ofrezcan alternativas a Google Pay y que los usuarios puedan elegir su buscador predeterminado, ahora diseña un sistema que hace obligatoria la dependencia de Google.
No es hipérbole. La especificación técnica del proyecto dice que la verificación "requiere" Play Integrity. No "sugiere". No "recomienda". Exige.
Y la UE lo sabe. La comunidad de desarrollo respondió con una ola de críticas en el repositorio oficial de GitHub. Docenas de comentarios señalan que Yivi — la app de identidad digital holandesa — ya resuelve este problema sin depender de Google ni Apple. Yivi funciona con hardware attestation estándar de Android, no necesita Google Play Services, y está disponible incluso en F-Droid, la tienda de apps open source.
El problema #2: se hackea en 2 minutos
Cybernews demostró que la app puede ser vulnerada en menos de 2 minutos. No necesitaban un equipo de élite ni exploits de zero-day. Un bypass simple, directo, que cualquiera con conocimientos básicos podría replicar.
TechRadar reportó que la app tiene "un problema de privacidad que va más allá de un bug". Y Time Magazine señaló que el sistema, que la UE promociona como "el estándar global para la verificación de edad", tiene fallos de seguridad fundamentales en su arquitectura.
La pregunta es obvia: si no pueden asegurar una app que va a manejar la identidad de 450 millones de europeos, ¿cómo van a asegurar algo más complejo?
Y si no tienes smartphone, ¿qué?
La app solo funciona en Android o iOS. Pero en la UE hay millones de personas que usan feature phones, teléfonos básicos sin sistema operativo moderno, o simplemente no quieren un smartphone. Personas mayores, comunidades rurales, personas con bajos ingresos, personas que eligen no tener un dispositivo conectado permanentemente.
El argumento de que "todo el mundo tiene Android o iOS" es una trampa. La exclusión digital no es un bug del diseño, es una elección de diseño. Y cuando el gobierno te obliga a tener un dispositivo específico para ejercer tu ciudadanía digital, has cruzado una línea que no deberías cruzar.
¿Qué significa esto para LATAM?
Si crees que esto no te afecta porque no vives en Europa, piensa de nuevo. Históricamente, las regulaciones europeas se convierten en estándares globales. El GDPR (regulación de privacidad) se aplica a cualquier empresa que tenga usuarios europeos. Lo mismo pasará con esta app. Si tu plataforma favorita decide implementar verificación de edad estilo UE, y tú no tienes Android o iOS con Google Services, te quedas fuera.
Además, países de LATAM ya están mirando este modelo como referencia para sus propias leyes de protección infantil y verificación de identidad digital. Lo que Europa implementa hoy, Brasil, México o Argentina pueden copiarlo mañana.
El debate de fondo: soberanía digital
Un comentario en HN lo resume perfectamente: "Estás entregando las llaves de tu identificación estatal a una empresa privada extranjera. ¿Qué pasa cuando Apple o Google, o el gobierno de EE.UU., bloquean o eliminan tu app? El impacto puede ser pequeño al principio, pero después de unos años, es catastrófico."
Hay alternativas. La app Yivi de Holanda demuestra que es posible tener verificación de edad sin depender de gigantes tecnológicos estadounidenses. Usa estándares abiertos, hardware attestation nativo de Android, y está disponible en tiendas open source.
Pero la UE eligió el camino de la dependencia. Y eso es lo que debería indignarte.
No se trata de estar a favor o en contra de la verificación de edad. Se trata de cómo se implementa. Forzar a 450 millones de personas a usar Android o iOS — con todos los problemas de privacidad, seguridad y soberanía que eso conlleva — no es protección. Es control.
Comparte esto si crees que tu identidad digital no debería depender de una corporación estadounidense.
¿Tú qué opinas? ¿Debería la UE repensar su estrategia de verificación de edad antes de implementarla? Déjalo en los comentarios.