Blog

El sistema de verificación de edad en internet del Reino Unido explicado desde la ciberseguridad

El objetivo del sistema de verificación de edad en internet del Reino Unido es proteger a los menores que navegan por la red. Sin embargo, estas comprobaciones traen consigo nuevos riesgos de ciberseguridad y preocupaciones sobre la privacidad.

Jul 29, 2025 • 6 min read

Simon Wijckmans Founder & CEO

UK-Internet-Age-Verification-Blog-Banner

El gobierno del Reino Unido creó una nueva ley de verificación de edad en el marco de la Online Safety Act 2023, que entró en vigor el 25 de julio de 2025.

Estas normas exigen que los usuarios demuestren ser mayores de 18 años antes de acceder a determinados contenidos en línea, principalmente sitios web pornográficos o plataformas que promuevan la autolesión, el suicidio, los trastornos alimentarios y otro material potencialmente dañino.

El objetivo del sistema de verificación de edad en internet del Reino Unido es proteger a los menores que navegan por la red.

Aunque el propósito de proteger a los menores es positivo, una verificación de edad rigurosa implica con frecuencia exponer información personal sensible. Estas comprobaciones traen consigo nuevos riesgos de ciberseguridad y preocupaciones sobre la privacidad.

Ventana emergente de verificación de edad que solicita la creación de una cuenta

Cómo funciona el sistema de verificación de edad en internet del Reino Unido

Los usuarios deben demostrar su edad para acceder a sitios web con contenido para adultos o que promuevan temas perjudiciales.
Los sitios web deben emplear métodos estrictos para verificar la edad de los usuarios, como:

Subir un documento de identidad (pasaporte o permiso de conducir)
Hacerse un selfie y usar software para verificar la edad mediante reconocimiento facial
Confirmar la edad con una tarjeta de crédito o débito

Plataformas como Reddit, X (Twitter) y otros sitios de uso general deben garantizar que los menores no puedan ver contenido para adultos.
Los sitios web que no cumplan pueden ser:

Bloqueados en el Reino Unido
Multados con hasta 18 millones de libras o el 10 % de los ingresos globales

Qué significa esto en la práctica (y para la ciberseguridad)

1. Los usuarios recurrirán a VPN para eludir las leyes de verificación de edad del Reino Unido

Los sitios web utilizan la IP del solicitante para verificar el origen de la solicitud, algo que se puede eludir fácilmente. Para evitar estas comprobaciones, muchos usuarios están recurriendo a VPN y cambiando su ubicación aparente fuera del Reino Unido. Los datos de búsqueda en la App Store ya muestran un aumento significativo en las descargas de VPN tras el despliegue de la ley.

2. Proliferación de sitios VPN falsos, páginas de phishing y malware

Los ciberdelincuentes son conscientes de este cambio y ya están lanzando servicios VPN falsos dirigidos a menores y sitios de phishing que imitan portales reales de verificación de edad.

Estos suelen contener spyware, malware o mineros de criptomonedas.

Incluso los anuncios de Google Search han mostrado en el pasado enlaces patrocinados maliciosos que conducen a descargas peligrosas. Es probable que volvamos a ver esto.

Esto abre la puerta a un fuerte aumento del robo de identidad, la recolección de credenciales y las infecciones por malware, especialmente entre los usuarios que intentan evitar la verificación.

3. JavaScript malicioso y abuso de scripts de terceros

Muchos sitios web externalizan las comprobaciones de edad a SDKs de terceros o widgets integrados. Esto introduce enormes riesgos en la cadena de suministro del lado del cliente. Al igual que con otras dependencias, los atacantes pueden lanzar ataques al estilo Magecart para recopilar:

Documentos de identidad subidos como foto
Datos de tarjetas de crédito
Selfies subidos
Otra información personal

Ejemplos de métodos de ataque:

Inyectar etiquetas <script> maliciosas en los flujos de verificación
Usar superposiciones <input> falsas para suplantar formularios de identidad
Manipular el DOM para exfiltrar datos antes de que se cifren o envíen

Todo esto es bien conocido en el ámbito de la seguridad del lado del cliente, donde se ha convertido en el ataque más habitual, y uno que las auditorías tradicionales suelen pasar por alto.

4. Extensiones de navegador peligrosas

Volviendo al punto de las VPN, los usuarios que intentan saltarse las restricciones pueden instalar extensiones de navegador VPN de dudosa procedencia. Recientemente escribimos en detalle sobre por qué las extensiones de navegador son tan peligrosas.

Pueden:

Secuestrar el tráfico
Inyectar anuncios o enlaces de afiliados
Registrar el historial de navegación
Ser vendidas a actores maliciosos — es una práctica habitual

5. Exploits de API y tokens

Allí donde se recopila información de identificación personal (PII), los ataques no tardan en aparecer. Como vimos recientemente con la aplicación Tea, su backend fue vulnerado y toda la PII de los usuarios quedó expuesta. De forma similar al sistema de verificación de edad en internet del Reino Unido, Tea también recopilaba verificación mediante foto de documento de identidad y otra información personal. Dado que las propias plataformas son responsables de esta verificación de edad, eso simplemente significa más objetivos para posibles ataques.

Amenazas futuras que podemos esperar

Tipo de amenaza	Descripción
Robo de identidad mediante phishing	Portales falsos de verificación de edad que recopilan los documentos de identidad subidos
Deepfakes y cambios de cara	Selfies robados utilizados para crear suplantaciones generadas por IA
SDKs de verificación de edad maliciosos	Ataques a la cadena de suministro del lado del cliente dirigidos a bibliotecas de verificación de edad integradas
Vigilancia y rastreo	Herramientas de verificación de edad que rastrean a los usuarios en distintos sitios web bajo la apariencia de seguridad
VPN trampa (honeypots)	VPN falsas que registran la actividad del usuario y recopilan datos personales
Relleno de credenciales (Credential Stuffing)	Credenciales de inicio de sesión reutilizadas robadas mediante phishing o SDKs falsos
Skimming de PII al estilo Magecart	Scripts maliciosos que extraen imágenes de documentos de identidad y datos sensibles de formularios
Ataques de superposición de formularios	Campos de formulario falsos utilizados para robar datos del usuario antes del envío

Buenas prácticas

Para usuarios:

Utiliza únicamente proveedores de VPN de confianza
Nunca subas documentos de identidad a sitios web no verificados
Evita instalar extensiones de navegador de desarrolladores desconocidos y asegúrate de que la extensión tenga reseñas positivas y legítimas
Borra regularmente las cookies y los datos de sesión. Esto ayuda a reducir el rastreo pasivo y la exposición a filtraciones de datos entre sitios

Para desarrolladores:

Audita todas las bibliotecas JavaScript y SDKs de terceros: lado del cliente, middleware y lado del servidor
Implementa una estrategia estricta de Content Security Policy (CSP), si es posible
Usa Subresource Integrity (SRI), si es posible
Configura Cross-Origin Resource Sharing (CORS)
Prevén el Cross-Site Scripting (XSS) saneando la entrada del usuario y usando frameworks de plantillas seguros
Añade un sistema de tokens seguros
Monitoriza el DOM y las solicitudes de red

cside puede ayudarte con varios de estos puntos.

Founder & CEO Simon Wijckmans

Founder and CEO of cside. Previously a product manager on Cloudflare Page Shield (now Cloudflare Client-Side Security). Co-chair of the W3C Anti-Fraud Community Group and a Forbes 30 Under 30 honoree. Building accessible security against client-side attacks — web security is not an enterprise-only problem.

Don't just take our word for it, ask AI

FAQ

Frequently Asked Questions

La Online Safety Act 2023 obliga a los sitios web que alojan contenido para adultos y material potencialmente dañino a verificar que los visitantes son mayores de 18 años. Esto puede hacerse permitiendo que los visitantes suban un documento de identidad emitido por el gobierno, mediante estimación de edad facial a través de un selfie o validando la titularidad de una tarjeta de crédito o débito.

Tanto los sitios web con sede en el Reino Unido como los internacionales accesibles desde el Reino Unido están obligados a cumplirla. Las plataformas que no lo hagan se arriesgan a ser bloqueadas o multadas por Ofcom (Office of Communications).

Los usuarios pueden eludir el sistema usando una VPN para aparentar que se encuentran fuera del Reino Unido. Esto ya ha provocado un aumento notable en las descargas de VPN. Usar una VPN tampoco elimina los riesgos de ciberseguridad que introducen estos sistemas de verificación.

La ley fue creada para proteger a los menores, pero conlleva riesgos para la privacidad si la verificación se gestiona de forma deficiente. Se pide a los usuarios que suban datos sensibles, que pueden quedar expuestos a través de sitios de phishing, VPN infectadas con malware o herramientas de verificación de terceros comprometidas. Estos sistemas de verificación de edad se convertirán en objetivos para el robo de identidad y la vigilancia.

La verificación de edad introduce una nueva superficie de ataque para los ciberdelincuentes, especialmente porque muchas plataformas tuvieron que implementarla rápidamente o arriesgarse a perder ingresos. La documentación de identidad es un activo de gran valor. Aumentarán los ataques mediante el secuestro o la suplantación de sistemas de verificación de identidad. El uso de información personal sensible se ha normalizado aún más, lo cual es en general algo negativo.

Para los usuarios: ten cuidado al subir documentos de identidad a sitios web. Verifica siempre que sea necesario y, si tienes la opción, utiliza métodos menos arriesgados. El robo de identidad es difícil de corregir; cancelar y reemitir una tarjeta bancaria puede ser más sencillo. Si decides usar una VPN, opta por proveedores de confianza. Evita instalar extensiones de navegador desconocidas. Los desarrolladores deben tratar el navegador como un límite de seguridad crítico, auditando todos los scripts de terceros y adoptando soluciones de seguridad en el lado del cliente.

La verificación de edad es un requisito de la Online Safety Act 2023. La nueva ley tiene como objetivo impedir que los menores accedan a contenido dañino en línea. Los tipos de contenido dañino incluyen pornografía, así como material relacionado con la autolesión, el suicidio y los trastornos alimentarios.

Cualquier sitio o aplicación que aloje contenido para adultos o material considerado perjudicial para los menores debe cumplirla. Esto incluye también plataformas sociales donde se puede compartir dicho material, como Reddit, Discord, Bluesky, X/Twitter y similares; actualmente más de 6.000 plataformas.

Monitoriza y Asegura tus Scripts de Terceros

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Reservar una demo

Comenzar gratis

Comienza gratis, o prueba Business con una prueba de 14 días.

Interfaz del panel de cside mostrando monitorización de scripts y análisis de seguridad

Cómo Prevenir la Creación de Cuentas Falsas: Por Qué la Detección en la Capa del Navegador Captura lo que la Verificación de Email Pasa por Alto

La verificación de email confirma que existe un buzón. No puede ver el navegador. Aquí te explicamos por qué la detección en la capa del navegador captura la creación de cuentas falsas que ella pasa por alto.

Ataque a la cadena de suministro de Polyfill.io: cronología completa, análisis y lecciones (2024–2026)

Una cronología completa y documentada del ataque a la cadena de suministro de Polyfill.io, desde la venta del dominio en 2024 hasta las sanciones a Funnull en 2025, y cómo eliminarlo hoy.

Portada oscura del blog cside con fondo de píxeles azules y tres marcas de verificación: por qué las reglas de velocidad fallan contra los agentes de prueba de tarjetas con IA, las señales del navegador que los exponen y cómo bloquear el pago antes del checkout

Cómo Bloquear Agentes de Prueba de Tarjetas con IA

Los agentes de IA de prueba de tarjetas sondean flujos de pago con navegadores reales. Aprende las señales del navegador que los exponen antes de completar una transacción.

Plataforma de seguridad cside clasificando múltiples conexiones de agentes de IA — detección de agentes a nivel de navegador y gestión de confianza

Cómo elegir una solución de detección de agentes de IA

Guía de cinco pasos para CISOs que evalúan soluciones de detección de agentes de IA: arquitectura, clasificación, perfiles de proveedores y metodología de POC.

Portada del blog de cside mostrando una interfaz de navegador que filtra el tráfico de bots y agentes de IA en rutas de confianza y bloqueadas

Mejores Plataformas de Gestión de Confianza de Bots y Agentes Comparadas (2026)

Forrester define la categoría. cside, DataDome, HUMAN Security, Kasada y Arkose Labs comparadas en capa de detección, intención y cobertura agéntica.

escudo de seguridad de cside monitorizando la ruta del cursor del navegador — detección de agentes de IA en la capa del navegador

Cómo Bloquear OpenAI Operator en Tu Sitio Web

OpenAI Operator navega tu sitio como un usuario real. Aprende a detectarlo y bloquearlo con señales de capa de navegador y cuándo no bloquearlo.

DBSC frente a huella digital del dispositivo: lo que la seguridad de sesión de Chrome no cubre

DBSC de Chrome frena el reenvío de cookies robadas, pero es solo Chrome, posterior al login y sin identidad de dispositivo. Mira el fraude que deja.

Detectar y bloquear Perplexity Shopper en tu sitio web — blog de cside

Cómo bloquear Perplexity Shopper en tu sitio web

Perplexity Shopper navega y compra en tiendas online en nombre de usuarios Pro. Aprende a detectar sus señales en el navegador y gobernar el tráfico.

Ilustración de una petición a la API de Claude y una respuesta devuelta que pertenece a otro usuario, marcada como «la respuesta no coincide con la petición», entre los logotipos de Anthropic y cside

Cuando una API de IA devuelve la respuesta de otro usuario: cachés compartidas y filtraciones entre clientes

Una incidencia de la API de Claude parece haber devuelto respuestas de otros usuarios. Por qué las cachés compartidas provocan fugas entre clientes.

Un token de acceso OAuth 2.0 en el centro de un diagrama que conecta un dispositivo legítimo con el dispositivo de un atacante

MFA no falló, falló el modelo de confianza: phishing por código de dispositivo y robo de tokens OAuth (Kali365)

Kali365 abusa de la concesión de autorización de dispositivo de OAuth 2.0 para robar tokens de Microsoft 365 tras MFA. Análisis técnico del flujo, FOCI y detección.