Discord posterga la verificación de edad después de una ola de críticas

Discord, al igual que varias otras grandes plataformas como Reddit y Roblox, ha estado enfrentando una presión regulatoria cada vez mayor para proteger mejor a los menores de edad del contenido para adultos.

Tras implementar verificaciones de edad en cumplimiento con la Online Safety Act del Reino Unido y la Online Safety Amendment Act de Australia —que prohíbe el acceso a redes sociales para usuarios menores de 16 años—, Discord intentó adelantarse a legislaciones similares en la UE, Estados Unidos y otros lugares al expandir globalmente su programa de verificación de edad.

El 9 de febrero, Discord anunció que “todos los usuarios nuevos y actuales en todo el mundo tendrán una experiencia apropiada para adolescentes, con configuraciones de comunicación actualizadas, acceso restringido a espacios con límite de edad y filtrado de contenido que preserva la privacidad y las conexiones significativas que definen a Discord.”

La forma en que se comunicó esto no fue bien recibida.

Muchos usuarios interpretaron el anuncio como si todos serían automáticamente degradados a una “experiencia para adolescentes” por defecto, a menos que verificaran su edad —ya fuera mediante un escaneo facial o enviando un documento de identidad emitido por el gobierno. El pánico se propagó rápidamente en foros, redes sociales y secciones de comentarios en YouTube.

Posteriormente, Discord aclaró que la “gran mayoría de las personas puede seguir usando Discord exactamente como hoy, sin que nunca se les pida confirmar su edad”. Pero para entonces el daño ya estaba hecho. La reacción negativa ya se había convertido en una crisis pública de confianza.

Discord rompiendo su promesa de procesamiento en el dispositivo

A lo largo del anuncio, Discord enfatizó las salvaguardas de privacidad. Entre los puntos clave destacaba el “procesamiento en el dispositivo” (on-device processing), con la empresa afirmando que las selfies en video utilizadas para estimar la edad facial “nunca salen del dispositivo del usuario”.

Cabe destacar que la empresa no hizo la misma afirmación explícita respecto a la verificación basada en documentos de identidad.

La impresión general que muchos usuarios tuvieron fue que los datos personales sensibles permanecerían localmente —procesados en el dispositivo y nunca transmitidos a terceros. Esa garantía debía tranquilizar las preocupaciones sobre privacidad.

En lugar de eso, terminó alimentando aún más esas preocupaciones.

Una antigua página de soporte de Discord (hoy accesible mediante archivo web) reveló que los usuarios en el Reino Unido “podrían formar parte de un experimento” que involucraba al proveedor de verificación de edad Persona.

El aviso decía:

“Importante: Si te encuentras en el Reino Unido, podrías formar parte de un experimento en el que tu información será procesada por un proveedor de verificación de edad, Persona. La información enviada se almacenará temporalmente hasta por 7 días y luego se eliminará. Para la verificación de documentos de identidad, todos los detalles se difuminan excepto tu foto y fecha de nacimiento, de modo que solo se utilice lo necesario para verificar la edad.”

Persona es un servicio de verificación de identidad basado en la nube. Por definición, esto significa que los datos del usuario se transmiten y procesan en servidores externos, y no únicamente en el dispositivo.

Aunque esta admisión no contradecía directamente la comunicación anterior de Discord —después de todo, la empresa nunca prometió explícitamente que todos los datos de verificación de edad se procesarían en el dispositivo— dejó algo claro: el sistema no era completamente local. Incluso si se limitaba a un experimento en el Reino Unido, esto generó la percepción de que Discord había comunicado solo medias verdades o, como mínimo, se había expresado de forma extremadamente confusa.

Las preocupaciones aumentaron aún más debido a las prácticas más amplias de recopilación de datos de Persona. Investigadores de internet que analizaron sus políticas señalaron referencias a verificaciones en “bases de datos de terceros, registros gubernamentales y otras fuentes públicas”.

El CEO de Persona, Rick Song, declaró posteriormente a Ars Technica que los datos de las personas verificadas durante la prueba de Discord se eliminaban inmediatamente. Sin embargo, el hecho de que los datos pudieran haberse almacenado hasta siete días, combinado con el modelo de procesamiento externo de Persona, solo intensificó el escepticismo.

La situación empeoró cuando reportes revelaron que un frontend de Persona había quedado expuesto, lo que potencialmente permitía acceso no autorizado a datos sensibles de verificación. Según Malwarebytes, la exposición ocurrió debido a un componente web mal configurado que hizo accesibles recursos internos en internet antes de que fueran protegidos. Aunque no hay evidencia confirmada de explotación en el caso de Discord, el momento del descubrimiento aumentó la desconfianza pública.

Mientras tanto, los críticos recordaron un episodio aún más perjudicial: una violación el 20 de septiembre en la que atacantes accedieron a datos mantenidos por un proveedor externo de atención al cliente de Discord. La información comprometida incluía imágenes de documentos de identidad enviadas por usuarios que estaban disputando verificaciones de edad, además de nombres de usuario, correos electrónicos, detalles limitados de facturación, direcciones IP y mensajes de soporte. Para muchos observadores, el incidente confirmó sus peores temores: que incluso si la verificación de identidad se concibe como algo puntual, obligar a los usuarios a reenviar documentos sensibles en ciertos casos aumenta significativamente el riesgo de exposición en el mundo real.

Aunque las referencias a Persona fueron eliminadas discretamente alrededor del 15 de febrero —como señaló The Verge— el daño ya estaba hecho. Para muchos usuarios, el simple hecho de que la asociación hubiera existido contradecía el espíritu del posicionamiento de Discord enfocado en la privacidad.

Disculpas y aclaraciones tardías: ¿serán suficientes?

Con la reacción negativa en aumento, el CEO de Discord, Stanislav Vishnevskiy, publicó el 24 de febrero un largo texto intentando calmar las preocupaciones.

Reiteró que para alrededor del 90% de los usuarios nada cambiaría. La mayoría de las personas, dijo, no accede a contenido con restricción de edad ni modifica la configuración de seguridad predeterminada.

Vishnevskiy también reveló que Discord ya utiliza un sistema interno para estimar la edad basándose en señales a nivel de cuenta, afirmando:

“La determinación de la edad funciona de la misma manera, utilizando la misma categoría de señales a nivel de cuenta: cuánto tiempo existe tu cuenta, si tienes un método de pago registrado, en qué tipos de servidores participas y patrones generales de actividad de la cuenta. El sistema no lee tus mensajes, no analiza tus conversaciones ni examina el contenido que publicas.”

Reconoció que “confía en nosotros” no es una garantía suficiente y prometió publicar un artículo técnico explicando la metodología antes de un lanzamiento global.

En cuanto a la asociación con Persona, Vishnevskiy confirmó que se trató de una prueba limitada en el Reino Unido realizada en enero y afirmó que Discord ya no utiliza el servicio, ya que “no cumplía con el requisito de procesamiento completamente en el dispositivo”.

La pregunta que queda es si estas aclaraciones llegaron demasiado tarde —o si todavía son suficientes.

Conclusión

La verificación de edad es uno de los temas más controvertidos que enfrentan hoy las plataformas en línea. Los reguladores la ven como una protección necesaria para los menores. Los usuarios, con frecuencia, la ven como un camino peligroso hacia la vigilancia.

Incluso cuando se implementa con protecciones de privacidad, la verificación de edad introduce inevitablemente nuevos riesgos. Crea flujos adicionales de datos, aumenta el número de entidades que manejan información sensible y amplía la superficie de ataque para posibles filtraciones. Cada proveedor adicional de verificación se convierte en un posible punto extra de fallo.

La experiencia de Discord ilustra una tensión más amplia: las plataformas intentan navegar por requisitos regulatorios cada vez más estrictos sin alienar a los usuarios preocupados por la privacidad. Pero al hacerlo, corren el riesgo de socavar la confianza que originalmente sostuvo su éxito.

Si el aplazamiento del lanzamiento global de Discord representa una lección aprendida —o simplemente una pausa antes de una nueva controversia— dependerá de cuán transparente y cautelosa sea la empresa en sus próximos pasos.