Blog

Utah SB 73: Ahora eres responsable de las VPN de tus usuarios

Utah es el primer estado de EE. UU. que responsabiliza a los operadores cuando los usuarios usan VPN para eludir la verificación de edad. Un bloqueo por IP no resuelve esto. Aquí está lo que sí funciona.

May 05, 2026 • 8 min read

Mike Kutlu Author

Portada oscura de cside con puntos sobre responsabilidad por bypass con VPN

La Ley del Senado 73 de Utah entró en vigor en mayo de 2026 y convirtió a Utah en el primer estado de EE. UU. que responsabiliza a los operadores de sitios web cuando los usuarios usan una VPN o un proxy para eludir controles de verificación de edad. La ley no apunta a los proveedores de VPN. Apunta a ti, el operador, y no acepta "usaron una VPN" como defensa.

NordVPN describió la ley como "una paradoja de cumplimiento irresoluble". La Electronic Frontier Foundation la llamó "un juego técnico del topo que probablemente ninguna empresa pueda ganar". Ambos describen el mismo problema: la detección tradicional de VPN no funciona lo bastante bien para satisfacer un estándar de responsabilidad por infracción.

Para esto se creó la detección de VPN de cside.

Qué exige realmente Utah SB 73

Respuesta rápida: Utah SB 73 exige que los operadores de sitios con contenido perjudicial para menores traten a los usuarios ubicados físicamente en Utah como usuarios de Utah, aunque enruten su tráfico mediante una VPN, un proxy u otra herramienta que oculte la ubicación. Los operadores siguen siendo responsables del acceso que se produzca mediante una conexión enmascarada. La ley también prohíbe que los operadores publiquen instrucciones sobre cómo usar VPN para eludir sus propios controles de edad.

La ley modifica los requisitos existentes de verificación de edad de Utah para sitios con una "porción sustancial de material perjudicial para menores". La adición central es una regla de ubicación presunta: un usuario físicamente dentro de Utah es legalmente un usuario de Utah aunque su dispositivo presente una dirección IP fuera de Utah.

Esa única regla cambia por completo el problema de cumplimiento. Antes, la pregunta era si tenías un control de edad. Ahora, la pregunta es si tu control de edad funciona contra usuarios que intentan derrotarlo activamente. Una lista estática de nodos de salida VPN conocidos no responde de forma fiable a ninguna de las dos preguntas.

La ley también prohíbe a los operadores compartir instrucciones que ayuden a los usuarios a eludir el control de edad. Publicar un artículo de ayuda que mencione VPN en el contexto del control de acceso se convierte ahora en un riesgo de responsabilidad separado.

Por qué una lista de bloqueo por IP no puede resolver esto

Respuesta rápida: Las listas estáticas de bloqueo VPN fallan porque los proveedores comerciales de VPN rotan rangos de IP más rápido de lo que cualquier lista puede actualizarse, los servicios de proxy residencial enrutan tráfico a través de IP reales de consumidores que nunca aparecen en listas de bloqueo, y cada día surgen nuevos servicios VPN. Un enfoque de lista de bloqueo es reactivo por definición. Utah SB 73 exige una detección que funcione con servicios VPN desconocidos, no solo con los catalogados.

La industria VPN opera a escala. Los principales proveedores rotan millones de direcciones IP en miles de nodos de salida. Las redes de proxy residencial son aún más difíciles: enrutan tráfico a través de direcciones IP asignadas a conexiones domésticas reales, que por IP son indistinguibles de usuarios legítimos.

Las listas de bloqueo estáticas apenas eran adecuadas cuando el uso de VPN era un comportamiento minoritario. Ahora no lo son. Después de que Florida HB3 entrara en vigor en noviembre de 2025, el uso de VPN creció con fuerza entre la población exacta que la ley pretendía controlar, ya que los usuarios buscaron vías de elusión. Los operadores de Utah deberían esperar el mismo patrón.

La crítica técnica de la EFF y NordVPN es correcta en un sentido: no se puede ganar una guerra de listas de bloqueo. La respuesta es dejar de combatir el problema en direcciones IP.

La ola creciente de leyes estatales de verificación de edad

Respuesta rápida: Utah SB 73 es la tercera gran ley estatal estadounidense de verificación de edad que crea responsabilidad para operadores, después de Texas HB1181 (confirmada por la Corte Suprema en junio de 2025) y Florida HB3 (cuya aplicación comenzó en noviembre de 2025). Más de 25 estados de EE. UU. han aprobado o están impulsando requisitos de verificación de edad. La tendencia es constante: los legisladores pasan de "construye una puerta" a "la puerta debe funcionar de verdad".

Texas HB1181 exige que los sitios comerciales en los que más de un tercio del contenido sea "material sexual perjudicial para menores" verifiquen que los usuarios tienen 18 años o más. La Corte Suprema de EE. UU. confirmó la ley el 27 de junio de 2025 en Free Speech Coalition, Inc. v. Paxton, estableciendo que los mandatos de verificación de edad para contenido adulto son constitucionalmente permisibles.

Florida HB3 restringe que menores de 14 años creen cuentas en plataformas cubiertas, exige consentimiento parental para usuarios de 14 y 15 años, y obliga a verificar la edad para acceder a material perjudicial. El Tribunal de Apelaciones del Undécimo Circuito levantó una orden de suspensión el 25 de noviembre de 2025, permitiendo que la aplicación completa siguiera adelante.

Utah SB 73 va más allá que sus predecesoras. Texas y Florida crean responsabilidad para los sitios que no aplican controles de edad. Utah crea responsabilidad para los sitios cuyos controles de edad son eludidos, incluso mediante herramientas que controla el usuario. Es un estándar de cumplimiento materialmente distinto.

La dirección es clara. Los legisladores no se conforman con controles que los usuarios sofisticados puedan rodear. Los operadores que dependían de una simple comprobación de IP o de una lista de bloqueo tendrán que revisar su enfoque.

Cómo es la detección conductual de VPN

Respuesta rápida: La detección conductual de VPN analiza cómo accede un usuario a un sitio en lugar de limitarse a comparar su IP con una lista de VPN conocidas. Examina señales de red, patrones de comportamiento y consistencia del dispositivo entre solicitudes para identificar uso de VPN y proxy incluso desde servicios que aún no figuran en ninguna lista. cside procesa más de 100 millones de solicitudes al día, construyendo el reconocimiento de patrones que hace que este enfoque funcione a escala.

La idea central es que el tráfico de VPN y proxy tiene firmas conductuales consistentes que persisten aunque cambien las direcciones IP. El tráfico enrutado por una VPN se comporta de forma distinta al tráfico orgánico a nivel de red: las características de la ruta, los patrones de latencia y la relación entre los atributos declarados y reales del dispositivo aportan señal.

El tráfico de proxy residencial es más difícil de detectar solo por IP, pero no por comportamiento. Una sesión de proxy residencial sigue mostrando las asimetrías propias del tráfico retransmitido: comportamiento temporal, consistencia de la huella del dispositivo y patrones de sesión que difieren de los de un usuario en su propia conexión doméstica.

La detección de VPN de cside identifica este tráfico tanto en servicios VPN comerciales como en proxies residenciales, incluidos servicios que aún no aparecen en ninguna lista pública de bloqueo. Cuando se activa una detección, los operadores eligen la respuesta: bloquear la sesión directamente, exigir verificación adicional como CAPTCHA o 2FA antes de conceder acceso, o registrar la detección con fines de auditoría de cumplimiento sin interrumpir al usuario.

Esta última opción importa para documentar la responsabilidad. Utah SB 73, como Texas HB1181, crea riesgo por infracción. Los operadores que pueden demostrar un programa de detección y respuesta de buena fe están en una posición materialmente distinta de quienes no pueden.

Qué deben hacer ahora los operadores

Respuesta rápida: Los operadores que gestionan contenido con restricción de edad en cualquier estado de EE. UU. deberían auditar su enfoque actual de detección de VPN con una prueba sencilla: ¿funciona contra proxies residenciales y nuevos servicios VPN, o solo contra nodos de salida catalogados? Si la respuesta es lo segundo, no satisfará una ley estatal que te responsabiliza por accesos eludidos. Sustituye o complementa las listas estáticas con detección conductual antes del próximo ciclo de aplicación.

Empieza con una auditoría de tu configuración actual:

¿Tu flujo de verificación de edad compara la IP con una lista de bloqueo o analiza el comportamiento de la sesión?
¿Registras las detecciones de VPN en un formato que cree una pista de auditoría de cumplimiento?
Si un usuario elude tu control mediante un proxy residencial, ¿tu sistema lo detecta?
¿Publicas en tu sitio algún contenido que explique vías de acceso con VPN?

Si la respuesta a la última pregunta es sí, elimínalo. Utah SB 73 prohíbe explícitamente que los operadores publiquen orientación que facilite la elusión.

Para las demás preguntas, la respuesta honesta en la mayoría de configuraciones basadas en listas de bloqueo es que no detectarán proxies residenciales ni servicios VPN recién lanzados. Esa es la brecha que cierra la detección conductual.

Conclusión

Utah SB 73 cambia la pregunta de cumplimiento de "¿tienes un control de edad?" a "¿tu control de edad funciona realmente contra usuarios que intentan eludirlo?". Una lista de bloqueo por IP responde a la primera pregunta. No responde a la segunda.

La detección conductual de VPN es el enfoque que sí lo hace. Si gestionas contenido con restricción de edad en cualquier estado de EE. UU., ahora es el momento de auditar si tu detección actual satisfará un estándar de responsabilidad por infracción.

Descubre cómo funciona la detección de VPN de cside o reserva una demo para verla con tu tráfico.

Author Mike Kutlu

Client-side security consultant at cside. 10+ years of experience implementing technology solutions for enterprises (previously at Oracle, Cloudflare, and Splunk). Now helping teams use client-side intelligence to catch & reduce fraud.

Don't just take our word for it, ask AI

FAQ

Frequently Asked Questions

La Ley del Senado 73 de Utah es una norma de 2026 que modifica los requisitos estatales de verificación de edad en línea. Responsabiliza a los operadores de sitios web cuando usuarios ubicados físicamente en Utah acceden a contenido con restricción de edad mediante una VPN o un proxy. La dirección IP del usuario no importa; la ubicación física en Utah hace responsable al operador, independientemente de cómo enrute el usuario su tráfico.

Los proveedores de VPN y otros críticos usan esa expresión porque las herramientas VPN están diseñadas precisamente para hacer que los usuarios no sean detectables por dirección IP. Una lista estática de nodos de salida VPN conocidos no puede seguir el ritmo de proveedores que rotan millones de IP. La ley no es paradójica si se detectan las VPN por comportamiento en lugar de catálogos de IP, pero no puede resolverse solo con una lista.

Texas y Florida crean responsabilidad para los operadores que no implementan verificación de edad. Utah añade otra capa de responsabilidad: si un usuario elude tu control de edad usando una VPN, sigues siendo responsable. Es la diferencia entre exigir una cerradura en una puerta y exigir que esa cerradura realmente impida el paso.

Las opciones dependen de tu postura de riesgo. Puedes bloquear por completo el acceso de las sesiones con VPN detectada, exigir verificación adicional antes de conceder acceso o registrar la detección para una pista de auditoría de cumplimiento sin interrumpir al usuario. cside admite los tres modos de respuesta y permite configurarlos por tipo de contenido o jurisdicción.

Sí. El tráfico de proxy residencial se enruta a través de direcciones IP reales de consumidores que nunca aparecen en listas de bloqueo VPN. El enfoque conductual de cside detecta las características de sesión del tráfico proxificado con independencia de la dirección IP asignada, cubriendo tanto nodos de salida VPN comerciales como servicios de proxy residencial.

Monitorea y Asegura tus Scripts de Terceros

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Reservar una demo

Comenzar gratis

Comienza gratis, o prueba Business con una prueba de 14 días.

Interfaz del panel de cside mostrando monitoreo de scripts y análisis de seguridad

Banner oscuro de cside que muestra un ataque de cadena de suministro tipo gusano en npm

El efecto bola de nieve: cómo Mini Shai-Hulud convierte npm en una red de distribución de gusanos

Mini Shai-Hulud convirtió paquetes npm en un bucle de robo de credenciales. Así se propagó la ola de AntV y qué deben vigilar los equipos.

Por qué los CAPTCHAs ya no son una defensa fiable contra bots

Los CAPTCHAs ya no son una defensa principal fiable contra bots. Aprende por qué fallan y cómo elevar el coste del atacante.

Banner ilustrado del blog sobre sanciones a Funnull, blanqueo de infraestructura y riesgo de cadena de suministro en el navegador

Funnull sancionada: lo que Polyfill[.]io reveló sobre el blanqueo de infraestructura

Las sanciones de OFAC contra Funnull muestran que Polyfill fue parte de un riesgo mayor de blanqueo de infraestructura.

Ilustración del stack de seguridad con inferencia en el dispositivo

La inferencia en el dispositivo llega a tu stack de seguridad: para bien y para mal

La IA local puede proteger datos sensibles y mejorar la defensa endpoint, pero crea nuevos riesgos de prompt injection, telemetría y navegador.

Portada oscura de cside con puntos sobre herramientas de detección de agentes de IA

4 herramientas para detectar agentes de IA en tu sitio web (prevención de fraude)

Comparación de cside, HUMAN Security, DataDome y Cloudflare para detección de agentes de IA. Descubre cómo cada herramienta aborda la prevención de fraude, precios e implementación.

Portada oscura de cside con puntos sobre bloquear bots de prueba de tarjetas con IA

Bots de prueba de tarjetas basados en agentes de IA | Cómo detenerlos

Los agentes de prueba de tarjetas con IA usan navegadores reales para validar credenciales robadas a escala. Aprenda a detectarlos y bloquearlos antes de que se complete el pago.

Portada oscura de cside con puntos sobre usos y bloqueo de navegadores stealth

Qué son los navegadores stealth (o 'anti-detect') y cuándo bloquearlos

Los navegadores stealth evaden la detección de bots. Los navegadores anti-detect falsifican huellas digitales. Aprende las señales que revelan ambos, incluso cuando parecen humanos.

Insignia SourceForge Spring 2026 Top Performer junto a un gráfico de dashboard de cside

cside nombrado SourceForge Spring 2026 Top Performer en seguridad del lado del cliente

cside fue nombrado SourceForge Spring 2026 Top Performer, señal de confianza de usuarios en seguridad del lado del cliente y PCI.

Portada oscura de cside con puntos sobre detección de tráfico de agentes de IA

Cómo detectar agentes de IA en tu sitio web | Guía completa

Esta guía cubre la detección de agentes de IA a través de señales de identidad, red, navegador y comportamiento. Incluye métodos gratuitos como el análisis de logs del servidor y herramientas especializadas.

Globo de red azul e iconos de seguridad del navegador sobre una portada oscura de cside

cside copreside la seguridad antifraude del navegador en W3C

Simon Wijckmans ahora copreside el AFCG del W3C mientras cside ayuda a definir señales privadas contra el fraude con IA.