Lo que iba a ser la "joya de la corona" de la seguridad infantil en el entorno digital europeo se ha convertido, en cuestión de horas, en un caso de estudio sobre fallos de diseño fundamentales. La App de Verificación de Edad Digital de la UE, presentada el pasado 14 de abril de 2026 por Ursula von der Leyen como un sistema "técnicamente listo" y con los "estándares de privacidad más altos del mundo", ha sido vulnerada casi instantáneamente por investigadores de seguridad.
¿Cómo fue posible el hackeo?El consultor de seguridad Paul Moore demostró que es posible eludir completamente la autenticación de la app en menos de 120 segundos. La vulnerabilidad no reside en un error de código oscuro, sino en una arquitectura de seguridad sorprendentemente débil:
Manipulación de archivos locales: La app guarda el PIN de seguridad de forma cifrada en el dispositivo (archivo shared_prefs), pero no vincula ese cifrado a la identidad del usuario.
El truco del reinicio: Un atacante con acceso al teléfono puede simplemente borrar los valores del PIN en el archivo de configuración. Al reiniciar la app, esta permite crear un PIN nuevo sin borrar las credenciales de identidad ya verificadas. Esto permite que cualquier persona que tome el móvil pueda hacerse pasar por el usuario original con un PIN que ellos mismos acaban de inventar.
Desactivación de Biometría: El sistema incluye un interruptor interno (un simple valor "verdadero/falso") que controla si se requiere huella dactilar o reconocimiento facial. Al cambiar este valor a "falso" manualmente, la app simplemente deja de pedir biometría.
Sin límite de intentos: El contador que bloquea la app tras varios intentos fallidos también reside en un archivo editable localmente. Si se resetea a cero, se pueden realizar ataques de fuerza bruta infinitos.
Ante la evidencia, la Comisión Europea ha tenido que matizar sus declaraciones triunfalistas. Thomas Regnier, portavoz digital de la CE, afirmó que la versión publicada en GitHub era una "versión demo" u operativa de prueba, y que el hecho de ser código abierto permitió precisamente que la comunidad detectara estos fallos rápidamente.
Un debate que va más allá de lo técnico"Hemos tomado medidas inmediatas y una nueva versión será actualizada pronto. El código será mejorado constantemente", declaró Regnier.
El fallo ha reavivado las críticas de figuras como Pavel Durov (CEO de Telegram), quien sugiere que estas debilidades podrían ser "intencionales" para, tras un gran hackeo inevitable, justificar la eliminación de la privacidad en favor de una vigilancia más estricta.
Por otro lado, países como España, Francia e Italia, que planeaban integrar esta tecnología en sus carteras digitales nacionales este mismo año, se encuentran ahora en una posición delicada, evaluando si el sistema es realmente maduro para un despliegue masivo.