Vigilancia y poder (el lado B de la protección a los niños y la “adicción al celular”)

Australia acaba de prohibir las redes sociales a menores de 16. La intención es protegerlos. Pero el resultado será un sistema de vigilancia digital y autocensura nunca visto hasta ahora.

El 10 de diciembre, Australia puso en vigor una de las legislaciones más duras del mundo sobre redes sociales: menores de 16 años no pueden tener cuentas en Instagram, TikTok, Facebook, Snapchat o YouTube. Las empresas que no cumplan enfrentan multas de hasta 50 millones de dólares australianos. Dinamarca ya anunció un límite a los 15. Noruega, Francia, España y Nueva Zelanda estudian lo mismo.

El argumento es simple y emocionalmente poderoso: hay que proteger la salud mental de los adolescentes. Jonathan Haidt, psicólogo y autor del bestseller “La generación ansiosa”, sostiene que las redes sociales son una de las causas principales de un supuesto colapso de salud mental que afectaría a los jóvenes desde 2010. La narrativa tiene tracción y es atractiva para padres preocupados, políticos que quieren actuar y para cualquiera que percibe que estar pegados al celular demasiado tiempo no es nada bueno.

Pero detrás de las comprensibles preocupaciones hay una pulseada política que lleva décadas. Y que, de acuerdo a cómo se resuelva, nos dará una regulación que ayude a mejorar el bienestar digital o consolidará una infraestructura de vigilancia para terminar con el anonimato en Internet. Y cuando esté lista, no va a importar cuál era la intención original de políticos, activistas y académicos que hoy exigen medidas urgentes.

El precio de la preocupación

Para saber quién es menor de edad al usar una red social, hay que verificar a cada usuario de redes sociales. A priori, no sabemos quien es menor y quien no, por lo que no hay otra alternativa mas que implementar mecanismos para recopilar información identificatoria de modo masivo que permita determinar o deducir la edad. Esto implica saber exactamente quienes somos, mediante escaneo de documentos de identidad, reconocimiento facial, y tercerización de datos personales a empresas “especializadas en verificación de edad” que prometen no guardar nada (creerles es otra cosa). Meta ya anunció que sus usuarios podrán escanear sus rostros o enviar documentos para demostrar su edad.

Para entender de qué hablamos cuando hablamos de esas empresas: en 2024, investigadores encontraron 53 megabytes de código fuente de Persona —la empresa que verifica identidades para OpenAI, LinkedIn y otros— en un servidor gubernamental que había quedado accidentalmente accesible al público. Sin hackeo, sin intrusión: simplemente miraron lo que ya estaba ahí.

Lo que encontraron fue un sistema que ejecuta 269 verificaciones separadas sobre cada persona que confirma su identidad para usar ChatGPT. La selfie no solo confirma que sos una persona real. Se compara contra una base de datos de políticos, líderes mundiales y sus familias para ver si tu cara se parece a alguna de ellas. Un módulo llamado “detección de entidades sospechosas” marca rostros que el sistema considera problemáticos, sin explicación pública sobre qué activa esa clasificación. El dispositivo, el navegador y la geolocalización quedan registrados. El nombre se cruza contra listas de sanciones y bases de datos de crímenes financieros. Se escanean noticias y contenidos online para detectar si tu nombre aparece vinculado a terrorismo, fraude, espionaje, cibercrimen y otras 14 categorías. Si alguna vez un artículo periodístico te mencionó en relación a una protesta o un juicio, eso pesa en la decisión de si pasás o no. Los datos biométricos faciales pueden conservarse hasta tres años. Los documentos de identidad, más tiempo aún.

La misma empresa opera una plataforma separada para agencias gubernamentales, construida sobre el código idéntico, que reporta directamente al Tesoro de los Estados Unidos. Los investigadores no pudieron confirmar una conexión directa entre tu registro en ChatGPT y ese sistema gubernamental, pero ambos corren sobre la misma infraestructura, mantenida por la misma empresa.

Eso es lo que hay detrás de “escaneá tu documento y sacate una selfie”. (Investigación técnica completa: vmfunc.re/blog/persona)

No es un caso aislado. En octubre de 2025, una brecha en un proveedor tercerizado que usaba Discord expuso aproximadamente 70.000 fotos de documentos de identidad de usuarios. Sin hackeo sofisticado, sin operación de Estado: simplemente un eslabón débil en la cadena de custodia de datos que alguien más recolectó en nombre de otra empresa. Así funciona el sistema en la práctica.

La cuestión es que podrían existir alternativas técnicas más respetuosas de la privacidad para probar la identidad y algún atributo particular como la edad. Pero siempre implican riesgos de seguridad y confidencialidad porque no hay sistemas e implementaciones perfectas. Aun así, ideas como las pruebas de conocimiento cero (”zero-knowledge proofs”), tokens criptográficos, arquitecturas distribuidas y chequeos a nivel de dispositivos no están siendo consideradas con seriedad. En su lugar, se legisla con prisa y alarma.

¿Por qué? Porque identificar para vigilar (en lugar de proteger) es lo más conveniente para muchos de los actores involucrados. Y se usa una retórica de urgencia (en particular una de “salud pública” con lo que implica luego de la pandemia) para no detenerse en consideraciones técnicas o que puedan ofrecer soluciones menos invasivas de la privacidad y el resto de derechos humanos que dependen de ella. Las soluciones inmediatas, no casualmente, coinciden con lo que ciertos actores políticos y corporativos vienen queriendo hace décadas: normalizar la identificación obligatoria en línea.

Un ejemplo cercano en el tiempo es la propuesta de ley de “Chat Control” en la Unión Europea. Bajo el pretexto de combatir abuso sexual infantil, se propone escanear todas las conversaciones privadas, en especial las cifradas de extremo a extremo. Más de 500 investigadores en seguridad dijeron que es técnicamente inviable, desproporcionado y peligroso para la democracia. Sin embargo, la iniciativa vuelve a los pocos meses cada vez que se rechaza. Y en mi opinión seguirá siendo presentada hasta que se apruebe.

Este es un patrón que se repite desde los albores de internet: cada cierto tiempo se insiste, directa o indirectamente, en que la privacidad y el anonimato no son derechos a defender sino obstáculos para luchar contra diversos males. Ya en 1988 ciberactivistas preveían que la protección infantil sería una de las claves en las que se basarían los ataques a la privacidad de los usuarios (junto a otros problemas sociales llamados “los jinetes del apocalipsis informacional”). La verificación de edad que viene incluida en toda propuesta de legislación para limitar accesos es solo la última iteración de una idea de larga data. Y una vez que la infraestructura de control de edad (o sea, identidad) se establezca, quedará para siempre. Sin importar las intenciones ni los gobiernos que aprueben o apliquen. Si una herramienta técnica o legal permite el abuso de un derecho, es solo cuestión de tiempo para que ese abuso se concrete.

Cuando romper el anonimato deje de costar esfuerzo

La objeción más común que recibe este argumento es: “ya nos conocen de todos modos”. Y tiene algo de verdad. Para alguien que ya tiene smartphone, cuenta en servicios de nube y tarjeta de crédito, la pérdida marginal de privacidad que representa un ID digital es comparativamente pequeña. Sus datos existen, distribuidos en múltiples sistemas, accesibles para quien tenga los recursos y la decisión de conseguirlos.

El problema es que esos “múltiples sistemas” es parte de lo que nos protege.

Hoy nuestra información está dispersa en silos separados. La empresa de telecomunicaciones sabe dónde estamos. El banco conoce nuestros movimientos financieros. Un hospital conoce nuestros diagnósticos. El registro de conductores, nuestra dirección. Cruzar todo eso en una democracia funcional requiere un proceso legal distinto con cada institución: órdenes judiciales separadas, plazos diferentes, equipos de compliance en cada lado. Es lento, costoso y no garantiza resultados. Un ID digital que se presenta en la farmacia, el bar, el sitio de adultos, la clínica, el banco, crea un hilo conductor único. No necesariamente porque la empresa tecnológica construya ese registro centralizado, sino porque la autoridad emisora del documento se convierte en punto común que, bajo compulsión legal, permite hilar todo junto. Se reemplazan docenas de ordenes judiciales separadas por una sola.

La versión fuerte del argumento de privacidad contra la identificacion digital no es “esto hace posible la vigilancia”. Eso ya sucede. Es “esto la hace más barata, más rápida, más completa y más difícil de resistir legalmente”.

Aunque el anonimato total sea difícil de sostener técnicamente, hoy identificar a alguien en Internet requiere trabajo. En democracias funcionales (las que quedan), se necesitan órdenes judiciales, investigación policial, recursos técnicos desplegados caso por caso. Incluso para empresas con presupuestos infinitos, cruzar información y rastrear patrones lleva tiempo y no siempre es evidente si grupos de usuarios intentan protegerse.

Esa dificultad, esa fricción, es una garantía. Es una especie de presunción de inocencia codificada en el mundo digital.

La historia ayuda a calibrar el riesgo. En 1942, el gobierno de los Estados Unidos internó a 120.000 personas de origen japonés —la mayoría ciudadanos norteamericanos— usando datos del Censo de 1940. Ese censo había sido recolectado con fines estadísticos completamente legítimos. Los investigadores Margo Anderson y William Seltzer documentaron que el Census Bureau no solo compartió datos agregados sobre dónde vivían los japoneses-americanos: también entregó nombres y direcciones individuales al Servicio Secreto. (Scientific American, 2007). Ningún nuevo racismo, ningún hackeo, ninguna filtración: la misma infraestructura, otro gobierno, otra decisión política.

Hoy el sistema funciona como lo describe la empresa que lo diseñó. Pero las leyes cambian, los gobiernos cambian y las arquitecturas técnicas (junto a los intereses corporativos) se actualizan silenciosamente. Un sistema de identificación digital benigno bajo un gobierno democrático es exactamente la misma infraestructura que hereda el gobierno siguiente, sea cual sea.

Pero un sistema de verificación universal elimina la dificultad por completo. Sería como andar por la vida con un cartel colgado al cuello con el nombre completo y el DNI. Cuando todos están identificados por defecto, cuando cada cuenta está vinculada a un documento oficial, la represión se vuelve sencilla: se pone a mano de cualquiera y se transforma en algo automatizable. Escalable.

Pensemos en las consecuencias concretas. Un activista que denuncia corrupción. Un periodista que investiga crimen organizado. Una adolescente que busca información sobre su identidad de género en una familia que no la aceptaría. Alguien que se mete a un foro para buscar información de un problema de salud que no quiere que otros conozcan. Todos dependemos del anonimato o del seudónimo en algún momento de la vida para ejercer libertad de expresión, acceder a información, o simplemente existir con seguridad.

En América Latina esto no es teoría. En 2024, la violencia contra la prensa sumó 3.766 agresiones documentadas en 17 países. El 49,3% de los casos tuvo como responsable a actores estatales. 14 periodistas fueron asesinados (uno cada 26 días). En Nicaragua, 263 periodistas han sido forzados al exilio desde 2018. Y ya conocemos la situación en Venezuela y el deterioro en Argentina.

En nuestra región, además tenemos memoria de lo que pasa cuando los Estados tienen listas de disidentes. Ahora, en la era digital, la cosa puede tomar dimensiones nunca vistas y el silenciamiento a través del acoso digital se ha vuelto un problema.

Por otro lado, con la polarización actual, cada vez más gente percibe la opinión del adversario como “desinformación” que amenaza a la democracia. No faltan voces que proponen criminalizar cierto tipo de contenidos. Cuando ese discurso se combina con la capacidad técnica de identificar automáticamente a quien expresa ciertas ideas, el resultado es predecible.

Si todos los usuarios están verificados con identidad real, un gobierno que quiera perseguir a activistas de un movimiento social no necesita infiltrar organizaciones ni hackear chats cifrados. Simplemente pide a las plataformas las identidades de usuarios que participan en ciertos grupos, usan ciertos hashtags, expresan ciertas opiniones. Y con esas identidades en mano, puede bloquear cuentas en todas las plataformas simultáneamente, congelar cuentas bancarias, o proceder directamente a la detención.

La diferencia entre la Internet de hoy y la del mañana con identificación obligatoria no es cuantitativa. Es cualitativa. Pasaríamos de un modelo donde la vigilancia requiere recursos y decisiones deliberadas, a uno donde la vigilancia es el estado por defecto y la privacidad es la excepción que hay que justificar.

Un diagnóstico que elige quedarse corto

La narrativa que impulsa estas leyes tiene una premisa aparentemente sólida: las redes sociales están causando una epidemia de enfermedades mentales en adolescentes. Haidt lo dice con convicción. Los datos parecen claros. La urgencia parece justificada. Pero la evidencia científica no presenta tal convicción.

Candice Odgers, psicóloga experta en salud mental adolescente de la Universidad de California en Irvine, publicó una crítica demoledora del libro de Haidt en Nature. Su conclusión: “la sugerencia repetida de que las tecnologías digitales están recableando los cerebros de nuestros niños y causando una epidemia de enfermedades mentales no está respaldada por la ciencia”.

Odgers no está sola. Múltiples investigadores cuestionaron la metodología de Haidt. Los datos muestran correlaciones débiles, hallazgos mixtos, causalidad no establecida. Los propios estudios de Haidt son correlacionales y cualquier científico sabe que correlación no es causalidad. En un editorial en Science, Holden Thorp escribió que Haidt admitió estar “promoviendo un programa de cambio social antes de que la comunidad científica haya alcanzado un acuerdo completo”.

Esto no significa que las redes sociales sean inofensivas. Hay aspectos preocupantes: comparación social perjudicial (especialmente en niñas), cyberbullying, algoritmos diseñados para maximizar engagement con contenido divisivo y emocional. Estos problemas existen y merecen regulación.

Pero acá está el nudo: las redes sociales no son la causa principal de los problemas de los niños y jóvenes. Son amplificadores de una crisis más profunda a la que no atenderemos si nos enceguecemos en un sólo aspecto bajo una urgencia fabricada.

Los adolescentes de hoy crecen con crisis climática y futuro incierto, precariedad económica intergeneracional, violencia institucional normalizada, polarización política extrema, desigualdad creciente y falta de espacios físicos y emocionales de socialización. ¿Sorprende que estén ansiosos? ¿Sorprende que estén deprimidos?

Las redes sociales no causan estos males pero los visibilizan, los magnifican y los hacen imposibles de ignorar.

Cuando se diagnostica mal y se dice que las redes sociales son “la” causa, se autoriza a implementar soluciones simples para problemas complejos, lo que sigue paradójicamente la lógica de apelación emocional que propone el mundo hiperconectado y ansioso que se critica. Y hay actores represivos que cuentan con ello. Si el aspecto identificatorio y represivo prevalece, se prohibirán accesos, se verificarán identidades y se construirá una infraestructura de vigilancia. Y cuando nada mejore sustancialmente (porque los problemas estructurales siguen ahí), vendrá la frustración y se pedirá más control, más restricción, más vigilancia.

Ya hay un laboratorio en tiempo real. En 2025, la mitad de los estados de Estados Unidos implementó leyes de verificación de edad para contenido adulto o redes sociales. La evidencia sobre su eficacia es contundente: las búsquedas de plataformas que bloquearon el acceso cayeron, pero las búsquedas de sitios offshore no regulados crecieron al mismo ritmo. Florida registró un aumento del 1.150% en el uso de VPNs cuando su ley entró en vigor. Los adolescentes no dejaron de ver pornografía: migraron a sitios sin ningún estándar de moderación. La respuesta política a ese fracaso no fue revisar el enfoque sino profundizarlo: legisladores de Wisconsin propusieron directamente prohibir el uso de VPNs. El ciclo que describíamos como hipotético ya está en marcha.

Este ciclo es lo que suele llamarse “pánico moral”: cuando la ansiedad social sobre un problema se desconecta de la evidencia y se vuelve justificación para medidas represivas que, a su vez, son aprovechadas por actores con otros intereses.

Lo que habría que regular (pero no genera engagement)

Existe un camino alternativo. Uno que no requiere sacrificar privacidad ni construir panópticos a mano del represor comercial o institucional de turno. En lugar de regular quién puede acceder a las plataformas, regulemos cómo funcionan y en manos de quien queda el control.

He tenido la oportunidad de colaborar con organizaciones que impulsan el enfoque de regular el poder de las plataformas sin caer en censura o la violación de otros derechos fundamentales como la privacidad. Organizaciones de la sociedad civil han desarrollado propuestas concretas que apuntan a cambiar el producto sin vigilar al usuario.

¿Qué implicarían algunas de esas ideas?

Prohibir diseños manipuladores. Como los dark patterns, los feeds infinitos diseñados para maximizar tiempo de pantalla, las notificaciones algorítmicas para generar ansiedad y retención. Estas no son características accidentales sino decisiones de diseño deliberadas.

Transparencia algorítmica. Obligar a las plataformas a explicar, dentro de lo técnicamente posible, qué criterios usan sus algoritmos de recomendación. Por qué cierto contenido es amplificado y otro no. Saber qué privilegian: engagement emocional, controversia, tiempo en pantalla, etc.

Acceso a datos anonimizados para investigación. Permitir que investigadores externos estudien cómo funcionan realmente estas plataformas, sin depender de lo que las empresas quieran revelar. Esto sería clave para entender los algoritmos de recomendación.

Prohibir publicidad dirigida a menores. Una de las razones por las que las plataformas quieren usuarios jóvenes es porque son valiosos para anunciantes. Eliminar este incentivo afectaría el modelo de negocio, uno de los centros neurálgicos de los problemas del mal funcionamiento de las plataformas.

Herramientas de control parental a nivel de dispositivo. Obligar a las plataformas a crear herramientas para que las familias gestionen acceso mediante herramientas en el propio teléfono o computadora del menor, sin revelar información a terceros. En lugar de sistemas centralizados de verificación de identidad que sólo crean un botín para el robo de información y por lo tanto, un problema de seguridad.

Este enfoque no es hipotético y algunos de sus aspectos ya están en marcha. La Unión Europea ya legisló en esta dirección con la Digital Services Act, que de todas maneras no debe tomarse al pie de la letra: requiere conjurar peligros institucionales y adaptar soluciones a nuestra realidad latinoamericana.

Pero existe una razón por la que estos caminos más razonables encuentran más resistencia que las prohibiciones de acceso: son más complicados y no entregan más datos de los usuarios. Esto afectaría el modelo extractivista de datos de algunas plataformas digitales y la sed de información para el control de lo que se hace en internet por parte de los estados.

Las preguntas que deberíamos estar haciendo

Antes de normalizar la verificación universal de identidad en Internet, habría que hacer algunas preguntas clave a quienes proponen estas soluciones. De modo de poner sobre la mesa los peligros para los derechos y libertades fundamentales que traen aparejadas.

¿Quién audita los sistemas de verificación? Si Meta, Google o una empresa tercerizada implementan sistemas de verificación de edad, ¿quién garantiza que funcionan como prometen? ¿Quién garantiza que los datos biométricos son realmente eliminados? ¿Quién controla que la información no se filtre o se use para otros fines?

¿Qué pasa cuando cambia el gobierno? La infraestructura que construimos hoy será heredada por gobiernos futuros. ¿Confiamos en que ningún gobierno futuro, en ningún país, va a abusar de esa infraestructura? Como dijimos, nuestra historia sugiere lo contrario.

¿Por qué es más fácil prohibir acceso que regular modelos de negocio? Esta pregunta revela la economía política detrás de estas leyes. Regular cómo funcionan las plataformas requiere enfrentarse a algunas de las corporaciones más poderosas del mundo. Y a menudo limitar el propio poder del estado de perseguir a sus ciudadanos.

¿Estamos dispuestos a entregar el anonimato permanentemente a cambio de una protección temporal? Porque una vez que la infraestructura de la vigilancia existe, es muy difícil desmantelarla. La economía de las plataformas es un ejemplo de eso. El anonimato, en cambio, una vez perdido, no se recupera.

¿Qué activista, qué periodista, qué adolescente queer va a pagar el precio? Porque alguien va a pagarlo. Siempre son los más vulnerables quienes pagan el costo de las políticas represivas implementadas con buenas intenciones.

Pensar los matices es una obligación moral

Australia dio el primer paso. Otros países observan. Si esta normalización continúa, en pocos años podríamos vivir en una Internet donde el anonimato sea la excepción, donde cada acción esté vinculada a nuestra identidad legal, donde la vigilancia sea el estado por defecto.

No tiene por qué ser así. Internet fue, es y puede seguir siendo también un refugio para jóvenes que quieren aprender más allá de lo que tienen disponible, conectar con sus pares y encontrar grupos de apoyo y pertenencia.

Podemos proteger a los adolescentes sin construir un panóptico digital. Podemos regular plataformas sin vigilar usuarios. Podemos exigir transparencia algorítmica sin destruir privacidad. Podemos cambiar el producto sin identificar a cada persona que lo usa.

Pero requiere tomar decisiones difíciles. Requiere enfrentar intereses corporativos y gubernamentales poderosos. Requiere rechazar soluciones simples para problemas complejos. Requiere resistir el pánico moral y mantener la cabeza fría.

La pregunta no es si regulamos las redes sociales. La pregunta es si lo hacemos desarmando el poder que nos explota o construyendo un poder de vigilancia aún mayor. En temas de derechos, pensar los matices es una obligación moral. Porque las reglas son para todos, para todos los usos y quedan para la posteridad. Y la letra chica de los derechos fundamentales es más importante que los títulos de la mesa de los best sellers.