El autor de esta columna analiza el anuncio de un Plan Nacional de Entornos Digitales Seguros, el que según informó el gobierno, busca regular el uso de plataformas digitales a menores de edad. Sostiene que la inclusión de la ClaveÚnica como mecanismo de verificación reviste un problema por el uso de datos y que «tal como está planteada, la propuesta es fácilmente eludible —y corre el riesgo de terminar siendo tan ineficaz como el modelo australiano—, y descansa sobre una infraestructura de acceso digital cuya seguridad puede terminar siendo tan débil como la contraseña guardada en el navegador de cualquier chileno».

Imagen de portada: Rafa Martínez / Agencia Uno

En el marco del Plan Nacional de Entornos Digitales Seguros, la pregunta que parece cobrar más relevancia es la siguiente: ¿es posible impedir el acceso de menores de edad a redes sociales sin vulnerar la privacidad de los demás usuarios? Según la ministra María Jesús Wulf, la respuesta es que sí. En un conversatorio reciente, señaló que uno de los principios del gobierno en este proyecto es la “verificación de edad y no de identidad”. En principio, la frase resulta tranquilizadora para cualquier crítico de la propuesta: si se verifica edad y no identidad, los riesgos para la privacidad parecen acotados. El problema es que, en esa misma instancia, la ministra mencionó la posibilidad de usar la ClaveÚnica como mecanismo de verificación. Y ahí aparece la letra chica: tal como está formulada, la idea tiene serios problemas tanto para cumplir su objetivo como para resguardar la privacidad y seguridad de los chilenos.

Uno de los ejemplos citados por la ministra Wulf es el de Australia, que desde el 10 de diciembre de 2025 estableció el programa del Social Media Minimum Age, que obliga a las plataformas de redes sociales a tomar “medidas razonables” para prevenir que menores de 16 creen o posean cuentas en sus plataformas. El problema es que se está invocando como antecedente una política que lleva apenas algunos meses en funcionamiento y cuyos primeros resultados son, por lo bajo, poco alentadores. Al entrar en vigencia, 4,7 millones de cuentas fueron removidas o restringidas; sin embargo, una parte importante de esas cuentas correspondía a personas que se habían registrado declarando ser menores de 16 años. Los reportes recientes sugieren que muchos adolescentes han podido crear cuentas nuevas sin verificar realmente su edad, y que la percepción entre ellos es que las medidas son relativamente fáciles de eludir. No es menor, además, que el propio eSafety Commissioner haya reportado que, entre los padres que declararon que sus hijos tenían cuentas antes de la entrada en vigencia de la medida, alrededor de 7 de cada 10 dijeron que todavía las conservaban en plataformas como Instagram, Snapchat, TikTok o Facebook. En palabras de la ministra australiana de Comunicaciones, Anika Wells, al tratarse de una medida pionera, “esto siempre iba a verse desordenado”.

Ahora bien, hay una particularidad del caso australiano que lo diferencia del enfoque que está siendo tanteado por la ministra. El gobierno australiano especifica explícitamente que ningún ciudadano será obligado a verificar su edad mediante documentos gubernamentales, dejando en manos de las propias plataformas digitales la responsabilidad de ofrecer mecanismos alternativos. Esto es, precisamente, una debilidad estructural del modelo: según expertos, resulta relativamente sencillo para las plataformas incumplir con estas exigencias, y una de las tecnologías más visibles en este debate —el reconocimiento facial— ha mostrado límites importantes.

En aras de resguardar la privacidad de sus ciudadanos, Australia optó por un enfoque descentralizado que terminó abriendo flancos importantes en materia de eficacia. Es comprensible, entonces, que la ClaveÚnica aparezca como una respuesta a ese problema: una forma de verificación centralizada y estandarizada que, al menos en teoría, sería más difícil de eludir. Pero la centralización tiene un costo —una mayor exposición de los datos de los usuarios— y la fórmula “edad y no identidad” es el intento de no pagarlo. El problema es que esta combinación no logra lo que promete. Por un lado, no cierra el flanco de la evasión; por otro, expone los datos de los chilenos a nuevos riesgos. El riesgo, entonces, es terminar con una medida tan eludible como la australiana —o incluso más sencilla de burlar—, pero más riesgosa para la privacidad y seguridad de los chilenos.

En términos concretos, limitarse a la verificación de edad implicaría un simple token que establezca si la ClaveÚnica corresponde o no a un mayor de edad. El vector de evasión es evidente: un menor puede acudir a un adulto para utilizar su ClaveÚnica y acceder así a las plataformas digitales, y nada impide, salvo restricciones adicionales de diseño, que una misma persona habilite múltiples cuentas con la misma clave. Una forma de cerrar ese flanco, sin replicar la descentralización australiana, sería ligar la verificación de edad a reconocimiento biométrico asociado a la cédula de identidad —lo cual traicionaría por completo la fórmula de “edad y no identidad”, y no parece estar dentro del horizonte de posibilidades del gobierno.

Aparte de que podría ser tan eludible como el modelo australiano, introducir la variable de la ClaveÚnica —incluso sin reconocimiento biométrico— no es trivial para la privacidad y seguridad de los chilenos. Hace poco más de un mes, miles de chilenos fueron víctimas de una filtración masiva de datos médicos sensibles a través de la plataforma Rutify. La versión oficial del gobierno es que la infraestructura y la base de datos de la ClaveÚnica no se vieron comprometidas en este incidente No hay ninguna razón para dudar de esa afirmación, pero tomarla como respuesta suficiente sería perder de vista el problema de fondo: Rutify no demuestra que la ClaveÚnica haya sido hackeada, sino algo más amplio y más relevante para esta discusión, que es que Chile posee un ecosistema de datos personales bastante poroso. Según la empresa de ciberseguridad CronUp, circularon aproximadamente 250.000 credenciales del portal de ClaveÚnica en el grupo de Telegram de los hackers detrás de Rutify. En el mismo sitio web de CronUp —donde se puede verificar si una credencial se encuentra en las filtraciones—, señalan que estas filtraciones provienen de malware instalado en los equipos de las víctimas. Por tanto, no es necesario que un grupo de hackers realice un ciberataque sofisticado a la plataforma de ClaveÚnica: basta con que una persona descargue un programa que infecte su computador. Y mientras más funciones críticas se acumulen sobre una misma credencial, mayor será también el incentivo económico para robarla.

Es entendible por qué la ministra señaló la intención de acudir al mecanismo de la ClaveÚnica: es un sistema con más de 16 millones de usuarios activos que, a la hora de realizar trámites en línea, ha demostrado ser altamente eficaz. Es el camino de menor resistencia. El problema es que ese camino tiene dos dificultades que no se cancelan entre sí: tal como está planteada, la propuesta es fácilmente eludible —y corre el riesgo de terminar siendo tan ineficaz como el modelo australiano—, y descansa sobre una infraestructura de acceso digital cuya seguridad puede terminar siendo tan débil como la contraseña guardada en el navegador de cualquier chileno. Y si en algún momento el gobierno decidiera cerrar ese primer flanco siendo más invasivo de lo que hoy parece estar dispuesto, lo haría sobre esa misma infraestructura, en un país en donde 250.000 credenciales ya terminaron circulando en un canal de Telegram. El camino de menor resistencia para el gobierno no puede ser, para los chilenos, el camino de mayor exposición.