Hackers exponen el software de verificación de edad que alimenta la red de vigilancia

Domingo 7 de junio de 2026

Tres hacktivistas intentaron encontrar una forma de eludir el software de verificación de edad de Discord. En cambio, descubrieron que su interfaz estaba expuesta a internet.

Hace diez días, la aplicación de chat Discord anunció el lanzamiento de una configuración predeterminada para adolescentes para su audiencia global.

Como parte de esta actualización, todos los usuarios, nuevos y existentes, en todo el mundo, tendrán una experiencia apropiada para adolescentes, con ajustes de comunicación actualizados, acceso restringido a espacios con límite de edad y filtrado de contenido que preserva la privacidad y las conexiones significativas, según informó la plataforma.

Esto, por supuesto, significa que para usar Discord como de costumbre, tendrás que permitir que escanee tu rostro, y la comunidad en internet no lo recibió bien.

Muchas comunidades anunciaron rápidamente su migración a otras plataformas. Otros, como la investigadora de seguridad Celeste, conocida como vmfunc, estaban convencidos de que habría una solución alternativa.

Junto con otros dos investigadores, se propusieron analizar Persona, la startup con sede en San Francisco que utiliza Discord para la verificación biométrica de identidad, y descubrieron una interfaz de Persona expuesta a internet en un servidor autorizado por el gobierno estadounidense.

En 2456 archivos de acceso público, el código reveló la extensa vigilancia que el software Persona realiza sobre sus usuarios, integrada en una interfaz que combina el reconocimiento facial con informes financieros, y una implementación paralela que parece diseñada para servir a agencias federales.

El lunes, Discord anunció que no seguirá utilizando Persona para la verificación de identidad.

Persona Identity, Inc. es una empresa respaldada por Peter Thiel que ofrece soluciones de Conozca a su Cliente (KYC) y Antilavado de Dinero (AML) que utilizan comprobaciones de identidad biométrica para estimar la edad del usuario mediante una «verificación de vitalidad» propia diseñada para distinguir entre personas reales e identidades generadas por Inteligencia artificial. 

Con una valoración de 2.000 millones de dólares, Persona impulsa los procesos de verificación de identidad de empresas como OpenAI, Roblox, Heritage Bank y el servicio de transporte compartido Lime.

Persona se beneficia de la creciente tendencia mundial de legislación sobre verificación de edad.

Desde la Ley de Control de Chats de la Unión Europea hasta la Ley de Seguridad en Línea del Reino Unido y las leyes KOSA y EARN IT propuestas en EE. UU., los gobiernos argumentan que, mientras podamos verificar la edad de cualquier persona en la World Wide Web, podremos proteger a los niños de los peligros de la información libre. Sin embargo, esto parece estar lejos de ser cierto.

Además de ofrecer servicios sencillos para estimar la edad, el código expuesto de Persona compara las selfies con fotos de listas de vigilancia mediante reconocimiento facial, analiza el contenido de los usuarios en 14 categorías de medios de comunicación adversos, desde menciones de terrorismo hasta espionaje, y etiqueta los informes con nombres en clave de programas de inteligencia activos, consistentes en asociaciones público-privadas para combatir la explotación infantil en línea, el tráfico de cannabis y fentanilo, el fraude romántico, el lavado de dinero y el comercio ilegal de especies silvestres.

Una vez que un usuario verifica su identidad con Persona, el software realiza 269 comprobaciones de verificación distintas y rastrea internet y fuentes gubernamentales en busca de posibles coincidencias, como la comparación de su rostro con el de personas políticamente expuestas (PEP), y genera puntuaciones de riesgo y similitud para cada individuo.

Se analizan y almacenan direcciones IP, huellas digitales del navegador y del dispositivo, números de identificación gubernamentales, números de teléfono, nombres, rostros e incluso fondos de selfies durante un máximo de tres años.

La información que el software evalúa en las imágenes incluye la detección de entidades sospechosas en selfies, la comparación de inconsistencias de edad en selfies, la detección de fondos similares (que parecen coincidir con los de otros usuarios en la base de datos) y la detección de poses repetidas en selfies (que parece utilizarse para determinar si se está utilizando la misma pose que en fotos anteriores).

En resumen, el software «lo marca como una «entidad sospechosa» basándose únicamente en su rostro», escriben los investigadores.

Un acto que podría resultar peligroso, ya que, según se informa, el software de Persona ha cometido errores significativos al intentar estimar la edad de los usuarios en el pasado. Combinado con los informes de prevención del blanqueo de capitales (PBC), este tipo de análisis sospechoso puede conducir rápidamente a la cancelación injustificada de cuentas bancarias. Y parece que ese es precisamente el propósito de Persona.

Además del reconocimiento facial, el software de Persona puede realizar comprobaciones de datos financieros, incluyendo la consulta de listas de sanciones, la verificación de la actividad de criptomonedas a través de las empresas de análisis de blockchain Chainalysis y TRM Labs, y una interfaz para presentar informes de actividades sospechosas (SAR) directamente ante agencias federales de EE. UU. y Canadá.

No es nada espectacular para un programa KYC/PBC, pero marca una tendencia creciente en el cumplimiento de la normativa PBC, donde los proveedores de servicios financieros utilizan cada vez más funciones de Inteligencia artificial, como el análisis automatizado de redes sociales, para determinar la identidad de los usuarios.