19 millones de datos robados el día en que la UE lanzó su verificación de edad por IA: la señal que nadie leyó

El 15 de abril de 2026, dos eventos ocurrieron simultáneamente en Europa. La Comisión Europea anunció que su solución de verificación de edad estaba técnicamente lista y disponible para los estados miembros. Al mismo tiempo, el portal de la Agencia Nacional de Títulos Seguros de Francia sufrió un ciberataque que expuso los datos de 18 a 19 millones de ciudadanos franceses, mediante una vulnerabilidad que cualquier desarrollador junior debería haber detectado en horas.

Lo que ocurrió: sin ambigüedades

La ANTS gestiona las solicitudes de pasaportes, carnets de conducir, matrículas y documentos de identidad. El 15 de abril, un hacker bajo el seudónimo "breach3d" explotó una vulnerabilidad IDOR en la API del portal moncompte.ants.gouv.fr.

Una vulnerabilidad IDOR significa que el sistema no verificaba si la persona que hacía una solicitud tenía derecho a acceder al recurso solicitado. Bastaba con modificar un identificador en la URL para acceder al perfil de otro ciudadano. Esta vulnerabilidad figura en el Top 10 de OWASP desde hace más de una década. El propio hacker la calificó de "realmente estúpida".

Este tipo de vulnerabilidad se enseña en el primer año de desarrollo web. Encontrarla en una plataforma gubernamental que gestiona millones de documentos de identidad plantea una pregunta simple: ¿dónde estaba la evaluación de seguridad documentada?

ANTS como eje del sistema francés de verificación de edad

Francia se comprometió a desplegar un sistema de verificación de edad para las redes sociales antes del 1 de septiembre de 2026. La infraestructura de identidad nacional, de la que ANTS es un componente central, debía servir de base para este sistema. El mismo día que la brecha, la Comisión Europea anunció que su solución de verificación de edad estaba "técnicamente lista para su implementación".

Lo que dice el Reglamento IA sobre los sistemas de verificación de edad

Un sistema de verificación de edad basado en inteligencia artificial no es una herramienta ordinaria bajo el Reglamento (UE) 2024/1689.

Clasificación: alto riesgo sin excepción posible

El Anexo III, punto 1 del Reglamento IA clasifica como sistemas de alto riesgo todos los sistemas de IA destinados a la identificación biométrica y categorización de personas físicas. La verificación de edad mediante análisis biométrico cae directamente en esta categoría. No existe cláusula de excepción cuando hay perfilado biométrico implicado.

Las obligaciones que se derivan son las más exigentes del reglamento: documentación técnica conforme al Anexo IV, sistema de gestión de riesgos documentado (Artículo 9), gobernanza de los datos de entrenamiento (Artículo 10), supervisión humana formalizada (Artículo 14), marcado CE, registro en la base de datos europea (Artículo 49).

La línea roja biométrica a vigilar

El Artículo 5(1)(h) del Reglamento IA prohíbe la identificación biométrica remota en tiempo real en espacios de acceso público. Un sistema que realiza un escáner facial en tiempo real para estimar la edad de un usuario en una plataforma de consumo masivo entra potencialmente en esta zona prohibida.

Lo que el Reglamento IA habría exigido - y lo que exige a los desarrolladores

Artículo 9: gestión de riesgos documentada

El Artículo 9 obliga a los proveedores de sistemas de IA de alto riesgo a mantener un proceso iterativo de identificación, estimación y mitigación de riesgos, incluyendo explícitamente los riesgos de seguridad y acceso no autorizado. Una vulnerabilidad IDOR es exactamente el tipo de riesgo que este proceso debería haber identificado.

Artículo 10: gobernanza de datos sin concesiones

El Artículo 10 impone una gobernanza estricta de los datos: trazabilidad, controles de calidad y medidas de seguridad adecuadas. Este entregable puede ser solicitado por la AEPD como autoridad de supervisión en cualquier momento después del 2 de agosto de 2026.

Lo que los desarrolladores de soluciones de verificación de edad por IA deben hacer ahora

1. Clasificar el sistema con precisión - determinar si la solución cae bajo el Anexo III (biometría) o se acerca a las prácticas prohibidas del Artículo 5.
2. Producir la documentación técnica del Anexo IV - las 9 secciones obligatorias, incluyendo descripción de arquitectura, gobernanza de datos de entrenamiento, sistema de gestión de riesgos y plan de seguimiento post-despliegue.
3. Documentar las medidas de seguridad bajo el Artículo 9 - listar formalmente los riesgos identificados y las medidas de mitigación. Esta es la sección que habría forzado la identificación de la vulnerabilidad IDOR en ANTS.
4. Anticipar la EIFDD (Artículo 27) - si la solución es desplegada por un organismo público, es obligatoria una evaluación del impacto en los derechos fundamentales.
5. Verificar la compatibilidad con el Artículo 5 - confirmar que el método de verificación elegido no constituye una identificación biométrica remota en tiempo real en un espacio de acceso público.

Plataformas como AiActo ayudan a los equipos de desarrollo a estructurar esta documentación sección por sección, con generación asistida por IA y un editor de validación humana antes de la exportación.

La verdadera señal a retener

El incidente de ANTS del 15 de abril de 2026 no es una lección sobre la ciberseguridad del sector público. Es una lección sobre lo que ocurre cuando sistemas críticos operan sin una gobernanza documentada y auditable. Los sistemas de verificación de edad por IA de los próximos meses están sujetos al Reglamento IA. Los Artículos 9, 10 y el Anexo IV existen precisamente para evitar que un sistema crítico entre en producción con una vulnerabilidad que su creador nunca evaluó formalmente.

¿Desarrolla o implementa un sistema de IA de verificación de edad? El diagnóstico gratuito de AiActo identifica su nivel de riesgo y sus obligaciones según el Reglamento IA en menos de 3 minutos.