¿Prohibirá la UE las VPN?

Los empleados la utilizaban para acceder a los sistemas corporativos, los periodistas para proteger sus fuentes, los viajeros para usar las redes públicas con mayor seguridad y los usuarios que no querían que todos los sitios web vieran inmediatamente su dirección IP. Pero ahora, esta misma herramienta se encuentra en un contexto político muy diferente. En los debates sobre la verificación de edad en línea, las VPN se perciben cada vez más como un problema, no como una protección.

Actualmente, la prohibición total de las VPN no está sobre la mesa como ley europea, pero es evidente que se está abriendo un debate en Europa sobre la posibilidad de restringir el uso de VPN al acceder a contenido que requiere verificación de edad.

El cambio más significativo no es que Bruselas vaya a eliminar las aplicaciones VPN de las tiendas de aplicaciones de la noche a la mañana. Lo más preocupante es cómo los responsables políticos de la UE han empezado a describir las VPN: como un obstáculo para la protección de la infancia.

¿Por qué las VPN se han convertido de repente en un tema político?

La clave del asunto no reside en la piratería ni en el enmascaramiento de la ubicación para obtener suscripciones más baratas. En esta ocasión, el motivo es la protección de los menores en línea. Bajo el amparo de la Ley de Servicios Digitales, la Comisión Europea ha elaborado directrices para la protección de menores y un prototipo de aplicación de verificación de edad. El objetivo es permitir a los usuarios demostrar que son mayores de 18 años, por ejemplo, al acceder a contenido para adultos, sin tener que revelar su identidad completa ni su edad exacta. La Comisión subraya que la solución debe proteger la privacidad, otorgar a los usuarios control sobre sus datos personales e impedir el seguimiento del contenido que visitan.

En teoría, este es un objetivo racional. Nadie argumentaría seriamente que se debería permitir a los menores acceder a sitios pornográficos, plataformas de apuestas u otros servicios donde la ley exige que sean mayores de edad. El problema surge en la práctica. Si un sitio web verifica la edad del usuario según el país desde el que accede, una VPN puede cambiar rápidamente la situación. El usuario puede conectarse a través de un servidor fuera de la UE o de un país con normas estrictas, y el sistema deja de considerarlo un usuario local. Por ello, el Servicio de Investigación del Parlamento Europeo ha observado que el uso de VPN ha aumentado notablemente en países donde se han implementado sistemas de verificación de edad, y ha señalado que algunos abogan por restringir el acceso a los servicios VPN a usuarios mayores de cierta edad digital.

Con esta mentalidad, las cosas pueden complicarse. Una VPN no se trata solo de eludir las regulaciones; también es una capa de seguridad. Si el regulador considera la elusión como el objetivo principal, la seguridad se convierte rápidamente en un daño colateral.

¿Qué dice la Unión Europea?

Muchos titulares dan a entender que la UE ya está preparando una prohibición de las VPN. Esto es una exageración. Es más preciso decir que las instituciones y los políticos europeos reconocen que las VPN constituyen un obstáculo para la aplicación de las restricciones de edad. El Servicio de Investigación del Parlamento Europeo, en un informe sobre las VPN y la protección infantil, señaló que las VPN se utilizan para eludir los métodos de verificación de edad en línea y destacó el debate sobre si el acceso a los servicios de VPN debería restringirse a los usuarios mayores de edad digital. Esto no es una ley, no es una prohibición ni una orden directa a los Estados miembros, pero sí es un indicio de hacia dónde se dirige la reflexión.

Para mí, este cambio parece más importante que la palabra "prohibición". Una prohibición es legalmente clara, políticamente explosiva y técnicamente difícil de implementar. La restricción, en cambio, es más difícil de definir.

Podría implicar la verificación de edad antes de usar una VPN. Podría implicar obligaciones para los proveedores de servicios VPN. Podría implicar el bloqueo del acceso de servidores VPN conocidos a ciertos sitios. Podría implicar presión sobre las tiendas de aplicaciones. Podría implicar exigir a las plataformas que implementen «medidas razonables» contra la elusión, sin una definición clara de lo que es razonable y lo que es excesivo.

¿Por qué querría alguien restringir una VPN?

Si un país impone la verificación de edad y todos los adolescentes la eluden con una aplicación VPN gratuita, la ley pierde credibilidad. Las restricciones de edad solo funcionan si son difíciles de sortear. De lo contrario, toda la normativa se convierte en un espectáculo para adultos, y los niños aprenden rápidamente qué aplicación deben instalar.

El debate sobre las VPN también continúa en el Reino Unido, que ya ha implementado sistemas de verificación de edad, y en el estado estadounidense de Utah. En ambos países se ha observado un enorme aumento en el uso de VPN desde la introducción de la verificación de edad.

La UE tendrá muchas dificultades para encontrar una solución que satisfaga las demandas de los adultos, acalle a los usuarios que están principalmente preocupados por la privacidad en línea y, al mismo tiempo, haga que esa misma solución sea inquebrantable para los niños.

La verificación de edad tiene un problema de confianza.

La Comisión Europea describe su solución como respetuosa con la privacidad. Permitiría a los usuarios demostrar que son mayores de 18 años sin revelar más datos personales de los necesarios. La solución sería interoperable con las futuras carteras digitales europeas, y los Estados miembros podrían adaptarla a sus necesidades sin modificar sus medidas de protección de la privacidad.

Este es un buen objetivo, pero no elimina todas las preocupaciones. La verificación de edad no se trata solo de lo que promete el sistema, sino también de quién lo opera, cómo se verifica su seguridad, qué proveedores participan, cuánto tiempo se conservan los datos, si existen registros de acceso y qué sucede en caso de uso indebido. En las tecnologías de identidad, los errores rara vez son pequeños. Si un usuario confía en un sistema para probar su edad únicamente, y este sistema posteriormente se convierte en un permiso más amplio para acceder a Internet, la naturaleza misma de la navegación anónima cambia.

Por lo tanto, el debate sobre las VPN es en realidad un debate sobre cuánta identidad será necesaria para el uso normal de Internet en el futuro.

Una prohibición total sería problemática tanto técnica como políticamente.

Prohibir las VPN en la UE sería extremadamente difícil. En primer lugar, porque las VPN no son un producto único. Existen aplicaciones comerciales, sistemas VPN empresariales, servidores privados, soluciones de red corporativas, funciones de seguridad de navegador y protocolos que no se distinguen fácilmente del tráfico cifrado legítimo. Bloquear las direcciones VPN conocidas es posible, pero los proveedores pueden cambiarlas. El análisis exhaustivo del tráfico plantea nuevos problemas de privacidad y seguridad. Prohibir las aplicaciones en las tiendas no impide las instalaciones desde otras fuentes, pero también afecta más a los usuarios comunes que a los expertos en tecnología.

Políticamente, una prohibición total sería aún más difícil. La Unión Europea se presenta como un espacio de derechos fundamentales, protección de datos y privacidad digital. Las VPN se utilizan a menudo para proteger precisamente estos valores. Si la UE optara por una prohibición generalizada, sería difícil explicar la diferencia entre proteger a los niños y restringir, en general, las herramientas de privacidad.

"¿VPN sí o no?" es la pregunta equivocada

El debate suele plantearse de forma demasiado simplista. Por un lado están quienes quieren proteger a los niños y, por otro, quienes defienden las VPN. Este enfoque es erróneo. Proteger a los niños es una tarea legítima. La privacidad también es un derecho legítimo. La cuestión no es qué valor debe prevalecer sobre otro, sino si es posible construir un sistema que no desmantele todo el ecosistema de seguridad a causa de un solo problema.

Si tuviera que elegir la pregunta correcta, la formularía de otra manera: ¿Cómo evitamos que los menores accedan a contenido inapropiado para su edad sin crear una infraestructura para la verificación masiva de identidad y limitar las herramientas de privacidad? Esta pregunta es más difícil, pero más honesta.

Por ahora, la UE no prohíbe las VPN. Pero el debate sobre ellas ya no es marginal. Cuando las VPN surgen en conversaciones oficiales como una "laguna legal" que debe cerrarse, los usuarios, con razón, se muestran recelosos. No porque todas las aplicaciones de VPN vayan a ser prohibidas mañana, sino porque internet puede cambiar gradualmente. Primero, la verificación de edad para contenido para adultos. Luego, requisitos para evitar la elusión. Después, restricciones a las herramientas que permiten estas elusiones. Y finalmente, nuevos ámbitos donde se debe demostrar algo más que la edad.

Espero que Europa encuentre un camino que no la lleve al totalitarismo digital, pero las señales actuales no son nada alentadoras.