Cómo encajan las soluciones de verificación de edad en un sistema moderno de IDV

La verificación de edad es la parte de un sistema de verificación de identidad (IDV) que responde a una pregunta específica: ¿esta persona cumple con un umbral de edad definido? “18+” es el ejemplo más común, pero el umbral también puede ser “menor de 16” o “21+”, según la política que se esté aplicando.

El resultado debe estar respaldado por evidencia y por controles que vinculen esa evidencia con la persona que realiza la verificación, en la misma sesión en la que se solicita el acceso. De lo contrario, un usuario podría utilizar la prueba de otra persona o reutilizar un resultado exitoso previo.

Cabe señalar que la verificación de edad puede confundirse fácilmente con términos similares. Los equipos de producto, los abogados y los reguladores pueden usar las mismas palabras para referirse a cosas distintas; por ello, también exploraremos algunos términos relacionados y veremos qué pueden implicar.

Importante: la estimación de edad no es una prueba. Es una predicción automatizada de la edad probable o de un rango de edad, generalmente basada en una imagen del rostro o en un breve video selfi. Es útil porque puede ser rápida y de baja fricción, pero siempre conlleva incertidumbre.

A continuación, una forma práctica de utilizarla como señal inicial:

• Si la estimación está claramente por encima del umbral, el sistema puede permitir el acceso o aceptar un paso de confirmación ligero.

• Si la estimación está cerca del umbral, el sistema dirige al usuario a un método de mayor certeza.

Por eso existe la “edad de desafío”. En lugar de fijar el umbral exactamente en 18, el sistema establece un margen (por ejemplo, 21 o 25) para que los usuarios en el límite no pasen inadvertidos. El margen no es arbitrario: normalmente se basa en el error medido alrededor del umbral en condiciones reales de captura.

La garantía de edad es el término general que abarca todo el sistema de control que previene el acceso de menores en el uso real. Incluye los métodos, la lógica de enrutamiento, el monitoreo y el plan de respuesta cuando los usuarios intentan nuevamente después de fallar.

Esto es lo que normalmente se incluye en la garantía de edad:

• Lógica de escalamiento para casos en el límite

• Gestión de reintentos y detección de repeticiones sospechosas

• Controles contra el uso compartido de cuentas después de una verificación exitosa

• Activadores de verificación periódica cuando cambia el riesgo (por ejemplo, comportamiento inusual, nuevo dispositivo o una función de alto riesgo)

El control de acceso por edad es la versión más básica del concepto: una casilla de verificación, un campo de año de nacimiento o una confirmación mediante clic. Puede ser aceptable en contextos de bajo riesgo, pero no está respaldado por evidencia.

El año pasado fue decisivo para la verificación de edad, ya que los reguladores de todo el mundo comenzaron a imponer normas cada vez más estrictas para realizar esta operación.
Solo la Ley de Seguridad en Línea del Reino Unido generó titulares en decenas de medios importantes, avivando el debate público sobre el equilibrio entre seguridad y privacidad.

Con esto en mente, analicemos los grandes desarrollos de 2025, que ya están preparando el camino para lo que vendrá en 2026.

Desde el 10 de diciembre de 2025, las “plataformas de redes sociales con restricción de edad” deben tomar medidas razonables para impedir que los australianos menores de 16 años creen o mantengan cuentas. El riesgo legal recae en las plataformas, con sanciones civiles impuestas por los tribunales que pueden alcanzar los 49,5 millones de AUD (150.000 unidades de penalización) para las corporaciones.

Además, Australia añadió un segundo punto de presión: el acceso a contenido para adultos a través de proveedores de búsqueda e infraestructura. Los Códigos de Material con Restricción de Edad fueron registrados el 27 de junio de 2025 y están programados para entrar en vigor el 27 de diciembre de 2025, aplicándose a servicios de alojamiento, servicios de transporte de internet y servicios de motores de búsqueda. En la práctica, esto significa que los principales motores de búsqueda tendrían que aplicar garantía de edad para usuarios autenticados que intenten acceder a pornografía y otros materiales restringidos, respaldado por sanciones que pueden alcanzar “casi 50 millones de dólares por infracción”.

Es importante señalar que la ley no prescribe un único método técnico, dejando a las plataformas la responsabilidad de demostrar que sus controles cumplen con el estándar de “medidas razonables”. Algunas grandes empresas han adoptado medidas radicales: por ejemplo, Snap afirma que bloqueará las cuentas identificadas como pertenecientes a menores de 16 años en Australia.

También describe múltiples opciones de verificación de edad para los usuarios que necesitan confirmar que tienen la edad suficiente, incluyendo una opción de identidad basada en el banco y opciones de procesamiento por terceros que pueden incluir identificación con foto y estimación de edad facial. Snap también declara que, para esas verificaciones de terceros, recibe únicamente el resultado de la verificación y no el escaneo del documento de identidad ni los datos bancarios subyacentes.

La mencionada orientación del Reino Unido de 2025 bajo la Ley de Seguridad en Línea es una de las principales razones por las que la verificación de edad llegó a los titulares de la prensa general. Estableció explícitamente qué tipo de garantía de edad se considera suficientemente eficaz para cumplir con sus requisitos, fijando así expectativas muy específicas para los proveedores de IDV.

Un proceso se considera altamente eficaz solo si cumple con los cuatro criterios: precisión técnica, solidez, fiabilidad y equidad. Más específicamente:

• La precisión técnica se refiere a la clasificación correcta en condiciones controladas, similares a pruebas de laboratorio. La orientación de Ofcom vincula este criterio con la evaluación frente a métricas adecuadas y con la evidencia de que el método puede determinar correctamente si un usuario es menor de edad en pruebas tipo laboratorio.

• La solidez es donde la orientación se vuelve específica respecto a la vinculación y los controles anti-elusión. Para verificaciones basadas en fotografía, relaciona la captura de la foto en el momento de la carga y la prueba de vida con la reducción de intentos de “adulto prestado”, y menciona explícitamente la prueba de vida como defensa contra niños que utilizan imágenes fijas de adultos para superar estimaciones basadas en el rostro.

• La fiabilidad se refiere a que los resultados sean reproducibles y estén respaldados por evidencia sólida. Ofcom define la fiabilidad en términos de reproducibilidad y “fortaleza de la evidencia”, y explica por qué esto es importante: sin ello, la misma persona podría ser clasificada de manera diferente en distintos intentos.
  Para métodos basados en aprendizaje automático (incluyendo estimación facial de edad y coincidencia de foto con documento de identidad), va más allá y aborda la varianza y la deriva del modelo con el tiempo, con la expectativa de realizar pruebas durante el desarrollo, además de monitorear continuamente indicadores clave de desempeño una vez implementado, y reentrenar cuando aparezcan problemas de rendimiento.

• La equidad se define como evitar o minimizar sesgos y resultados discriminatorios.
  Ofcom analiza diferencias de rendimiento entre grupos (utiliza la estimación facial de edad como ejemplo) y espera pruebas y entrenamiento con conjuntos de datos que reflejen la población objetivo. También introduce la paridad de resultados/errores como una forma de examinar el desempeño en características como raza y sexo.

La orientación europea de 2025 es interesante porque trata la privacidad como parte del estándar técnico para una garantía de edad “eficaz”. La guía de la Comisión sobre la protección de menores en el marco de la Ley de Servicios Digitales menciona la precisión y la fiabilidad, pero también la resistencia a la elusión. Luego va más allá y nombra la no trazabilidad y la minimización de datos como objetivos explícitos.

En la práctica, esto puede cambiar el proceso de elección de producto: en lugar de preguntar “¿Puede verificar la edad de manera fiable?”, los equipos pueden preguntar “¿Puede verificar la edad respetando las directrices de privacidad?”.

El concepto de “doble ciego” recomendado por la Comisión es un buen ejemplo de esta mentalidad. Implica una separación del conocimiento: el servicio debería recibir únicamente el resultado que necesita para aplicar una regla, y la parte que emite o valida la prueba no debería saber dónde el usuario la está presentando. Cuando la orientación menciona mecanismos como tokens criptográficos anonimizados y pruebas de conocimiento cero, es una señal de que los reguladores esperan que los desarrolladores apunten hacia una ingeniería que preserve la privacidad.

No todas las pilas de IDV incluyen verificación de edad, ya que algunas empresas simplemente no requieren este tipo de controles. Sin embargo, en vista de los cambios regulatorios mencionados anteriormente, estamos viendo cada vez más implementaciones de esta medida de seguridad.

¿Cómo funciona exactamente dentro de una pila de IDV? Desglosemos el proceso de verificación de edad en línea paso a paso:

El cliente captura un breve video selfi o una ráfaga de imágenes. Antes de que el sistema entre en la verificación de edad, primero ejecuta una evaluación de calidad para decidir si la entrada es utilizable:

• Tamaño del rostro y posición en el encuadre

• Nitidez y desenfoque por movimiento

• Restricciones de pose y expresión

• Oclusiones (cabello, reflejo en gafas, mascarillas, manos)

• Equilibrio de iluminación y sobreexposición

Si la calidad es demasiado baja, es posible que se le solicite al usuario repetir la captura. La calidad es importante, porque muchos errores cerca de un umbral de edad pueden provenir de condiciones de captura deficientes, y no de sistemas de verificación inadecuados.

Un consejo práctico: La guía de calidad debe ser específica. “Acérquese” y “más luz” le ayudarán a reducir los reintentos mucho más que el genérico “intente de nuevo”.

Este paso existe para eliminar imágenes fijas y reproducciones en pantalla como amenazas potenciales. Software como Regula Face SDK puede realizar comprobaciones robustas de prueba de vida (pasivas y/o activas) para asegurarse de que el usuario sea una persona viva, y no una imitación fabricada.

En paralelo, el sistema protege el propio canal de captura. La idea es simple: la aplicación no debería aceptar una señal de cámara reemplazada ni un flujo sintético. Una muestra “en vivo” solo debería aceptarse dentro de esa única sesión, en una ventana de tiempo corta y con comprobaciones de consistencia del lado del servidor.

Ahora el sistema prepara la muestra para la estimación de edad. Más específicamente, el sistema:

• Detecta el rostro y los puntos de referencia.

• Alinea el rostro a una pose canónica.

• Normaliza el recorte y la escala.

• Estandariza el color y la exposición en el formato esperado por el modelo.

• Produce una representación interna del rostro utilizada para la inferencia.

También hay una decisión de privacidad involucrada que afecta tanto el rendimiento como la percepción. Un recorte más ajustado reduce la captura del fondo y facilita justificar la minimización de datos. Si el recorte es demasiado ajustado, se pueden perder señales y aumentar el error.

El equilibrio correcto proviene de realizar pruebas con capturas reales de usuarios, especialmente en torno a las edades de umbral que son las más importantes.

Un flujo maduro no trata el resultado como “el usuario tiene 19”. Lo trata como “el usuario parece estar en el rango de edad X, con una confianza Y, bajo condiciones Z”.

Hay dos razones para esto:

1. El resultado del modelo es inherentemente incierto.

2. Su decisión de acceso se basa en el riesgo alrededor del umbral, y no en un número de edad “cosmético”.

Internamente, lo que importa es la probabilidad de que un usuario por debajo del umbral sea clasificado incorrectamente como si estuviera por encima.

Aquí es donde la etapa de estimación de edad se convierte en un flujo de verificación.

En lugar de usar directamente el umbral legal, el sistema establece un margen por encima de este (una edad de desafío). Los usuarios que claramente superan el margen pueden aprobar la primera etapa. Los usuarios que quedan por debajo del margen no fallan automáticamente, pero tampoco aprueban. Se les enruta hacia un método de mayor certeza.

Las opciones comunes de escalamiento incluyen:

• Controles de edad basados en documentos (extraer la fecha de nacimiento y confirmar la autenticidad).

• Pruebas de edad que preservan la privacidad (confirmar “por encima del umbral” sin revelar la fecha de nacimiento).

• Pasos adicionales de vinculación si el riesgo de “adulto prestado” es alto.

Este es uno de los puntos donde usted puede mantener una experiencia de usuario razonable sin debilitar el control. La mayoría de los usuarios no quedan cerca del umbral, y el margen mantiene el camino de alta fricción limitado a los casos en los que realmente reduce el riesgo.

Una vez que el sistema de verificación de edad llega a una decisión, el registro almacenado debe ser pequeño:

• Aprobado/rechazado para el umbral

• Etiqueta del método (solo estimación vs. estimación más escalamiento vs. documento vs. credencial)

• Hora de emisión y ventana de vigencia

• Una referencia de auditoría para trazabilidad interna

En 2026, una afirmación de que un modelo es preciso solo puede tomarse en serio si está respaldada por un evaluador de prestigio. En el mundo cada vez más regulado de hoy, las empresas necesitan evidencia de terceros en la que un regulador, auditor o equipo de riesgos pueda confiar.

En el contexto de un proceso de verificación de edad en línea, una organización confiable de este tipo es NIST (Instituto Nacional de Estándares y Tecnología). Su informe Face Analysis Technology Evaluation (FATE) Age Estimation and Verification (AEV) ofrece resultados detallados de los algoritmos de estimación y verificación de edad enviados, y mantiene el informe actualizado conforme se agregan nuevas presentaciones.

Lo que hace que los informes AEV sean especialmente relevantes para los equipos de garantía de edad es que profundizan realmente cuando se trata de métricas críticas:

• MAE (Error Absoluto Medio): Promedio de error de edad en años en todo el conjunto de prueba (la medida principal de precisión de estimación de NIST).

• MDAE (Error Absoluto Mediano): El error “típico” en años en el punto medio de los casos, menos sensible a valores atípicos extremos que el MAE.

• ACC(T) (Precisión dentro de una tolerancia): La proporción de muestras cuya estimación queda dentro de ±T años de la edad real (a menudo más fácil de interpretar que el MAE).

• Tasa de falsos positivos en Challenge-T: La tasa a la que usuarios por debajo del límite son estimados incorrectamente en o por encima del umbral de desafío y pasarían sin ser desafiados (riesgo de filtración de menores).

• Tasa de falsos negativos en Challenge-T: La tasa a la que usuarios en edad permitida son estimados por debajo del umbral de desafío y son enviados al escalamiento (tasa de fricción para adultos).

• FTP (Fallos de procesamiento): Con qué frecuencia el algoritmo declina o no logra devolver una estimación, lo que impulsa reintentos y volumen de escalamiento en producción.

• Coeficiente de Gini (variabilidad demográfica): Una medida compacta de qué tan desigual es la precisión entre grupos demográficos, útil para detectar riesgo de disparidad.

En general, los resultados AEV de NIST se alinean directamente con los dos resultados que más importan a reguladores y empresas: que menores se cuelen, y que usuarios legítimos sean empujados a fricción adicional.

En cuanto al posicionamiento de Regula en el informe de NIST, Regula Face SDK encabezó la lista de proveedores de verificación de identidad como el estimador de edad más preciso en seis regiones geográficas. En particular, Regula se ubicó entre los tres primeros en dos de los escenarios más críticos de garantía de edad: Challenge 25 y Child Online Safety (edades 13–16).

Con cambios regulatorios sísmicos en todo el mundo, seguramente veremos cada vez menos casillas simples para verificar la edad de los usuarios. Las empresas ya no podrán permitirse una garantía de edad ineficaz, ya que la presión sobre ellas aumentará.

Por eso veremos un uso más extendido de soluciones avanzadas de verificación de edad que no solo sean fiables, sino también compatibles con las leyes de privacidad. Una de estas soluciones es Regula Face SDK, una solución de verificación biométrica multiplataforma que puede respaldar su garantía de edad con:

• Rendimiento de estimación de edad evaluado por NIST: Resultados fiables, confirmados por pruebas públicas, gubernamentales y que usted puede citar en su documentación de cumplimiento.

• Resultados compatibles con la edad de desafío: Estimación de edad que respalda el enrutamiento basado en márgenes (edades de desafío) para que los casos en el límite puedan escalarse a un control de mayor certeza.

• Prueba de vida evaluada por iBeta: Opciones de prueba de vida integradas (pasivas o activas) para combatir el fraude biométrico de identidad que involucra fotos o capturas de pantalla, máscaras, reproducciones de video, deepfakes y ataques de inyección.
  Regula Face SDK ha superado las pruebas iBeta de Detección de Ataques de Presentación (PAD) en Nivel 1 y Nivel 2, alineadas con ISO/IEC 30107-3.

• Filtro por calidad: Evaluación de calidad del rostro (pose, desenfoque, iluminación, oclusiones) que evita que capturas de baja calidad se conviertan en un “aprobado” ruidoso cerca del umbral legal.

• Consistencia de captura multiplataforma: Un flujo unificado de captura y puntuación en las plataformas compatibles para que su política de edad se comporte de manera consistente.

• Sesgo casi inexistente: El SDK estima la edad del usuario con alta precisión en todas las demografías raciales, protegiendo por igual a menores y a empresas.

• Adaptabilidad a diversas condiciones de iluminación: El SDK opera eficazmente en casi cualquier luz ambiental.

¿Tiene alguna pregunta? No dude en contactarnos y le contaremos más sobre lo que Regula Face SDK tiene para ofrecer.