Què ha passat amb la Cartera Digital Beta? Aquesta aplicació hauria d’haver vist la llum de forma oficial a finals del passat estiu, però diversos canvis de cadires al govern espanyol van provocar que quedés encallada i que es quedés simplement en un projecte. Segons ha publicat El País, l’executiu liderat per Pedro Sánchez ha estat treballant amb l’empresa asturiana Techpump, gestora de la pàgina de pornografia Cumouder, per participar en una prova d’una versió beta de l’anomenada pajaporte o pajapp. Els resultats serien els esperats per a l’administració, ja que segons el cap de tecnologia de la companyia, Javier Fernández, en declaracions al mateix diari afirma que han perdut un 85% del trànsit a la web. De moment només s’ha aplicat el filtre a usuaris de Barcelona i Madrid, i ha reconegut que si s’arriba a fer a tot Espanya, haurien “abaixat la persiana”. Però el missatge no s’hauria de llegir com una victòria, perquè apunta cap a Xvídeos i Pornhub com a pàgines cap a on migren aquestes persones afectades.

La proposta havia de servir de barrera per al consum de continguts pornogràfics, ja que les xifres no feien més que generar alarma: el mateix govern assenyalava que prop del 70% dels joves de menys de 18 anys en consumeixen. La dada demostra que ni els avisos ni el mecanisme que alguns llocs utilitzen basat a preguntar l’any de naixement o, directament, si es té l’edat suficient serveixen per fer-hi front. Per això, es mirava cap a l’ús de credencials com un sistema eficient. El problema ha vingut per les garanties i el rebombori que va generar, que van traslladar la proposta al Centre Criptològic Nacional (CCN) per a la “revisió” per oferir “total seguretat a la ciutadania”, tal com ha afirmat recentment el ministre de Transformació Digital Óscar López.

La idea inicial de l’app era que funcionés amb credencials i amb una doble verificació. El primer pas consisteix a donar-s’hi d’alta amb el DNI electrònic, el sistema Cl@ve, un certificat digital o algun altre document digital que permeti verificar la identitat de la persona. Aquesta informació es desa a l’aplicació per a quan l’interessat vulgui accedir a una pàgina amb contingut pornogràfic amb un codi QR que cal escanejar amb la càmera del telèfon a partir de l’app. Així, s’encreua l’edat amb el contingut de la pàgina; si el ciutadà té menys de 18 anys, l’accés al web queda bloquejat. Les credencials canvien segons les plataformes que s’utilitzin i tenen una caducitat, de manera que cal renovar-les.

Amb aquesta versió beta en marxa, també s’ha incorporat l’ús de la intel·ligència artificial per fer una estimació de l’edat de la persona mitjançant una fotografia. Aquesta segona és l’opció predilecta per a l’accés, tal com afirma Fernández a El País, que també revela que només acaba accedint als continguts un 15% dels usuaris que accedeixen al web. Però tot plegat es troba en una fase massa incipient que no ha fet més que generar dubtes: “Ens van dir si volíem entrar al programa de beta, ens van donar accés i realment és un procés de gran dificultat tècnica. Hem tingut reunions amb ells, no hi ha un full de ruta clar, és tediós a l'hora de programar, entenc que és molt difícil muntar un sistema així".

Anonimat i seguretat

Amb l’anunci de l’aplicació, diverses veus van emetre un crit d’alerta. El principal argument que esgrimien és que s’està utilitzant un model de certificacions que es troba al “mateix nivell de seguretat que s’empra, per exemple, en el sistema Cl@ve per fer la declaració de la Renda”, alerta l’expert en ciberseguretat Facundo Mauricio. La seva desconfiança rau en el fet que els tokens són personals i només funcionen amb l’aplicació que té cada persona al seu telèfon mòbil: “Aquí sorgeixen una infinitat de riscos, des de la possibilitat que el govern faci alguna mena de seguiment de la teva activitat en línia, fins que les pàgines hagin de donar informació dels usuaris que consumeixen porno. Per tant, la idea que la informació és anònima no és certa, i existeix un elevat grau de perdre les dades si hi ha un ciberatac”.

Malgrat la seva posició contrària, sap que tota primera versió neix amb mancances i que el marge de millora és ampli. “Aquí estem parlant de riscos a curt i mitjà termini que s’aniran solucionant amb actualitzacions, però el dany ja està fet. Hi ha un cert nivell d’incompetència que un assumeix quan sorgeixen mesures com aquesta, que posa en risc ja des d’un inici la informació”, assumeix. A més a més, ara s’inclou a la fórmula la intel·ligència artificial, la qual treballa amb uns algoritmes que no poden donar una edat exacta, sinó una predicció que pot obrir la porta a menors d’edat i la pot tancar a persones que superen els 18 anys.

Mauricio: “Aquí sorgeixen una infinitat de riscos, des de la possibilitat que el govern faci alguna mena de seguiment de la teva activitat en línia, fins que les pàgines hagin de donar informació dels usuaris que consumeixen porno”

Tot aquest relat és el que ha anat llegint, des de la presentació de la mesura, l’advocat i expert en dret i tecnologia, Nacho Alamillo, que treballa amb la Comissió Europea per dissenyar la xarxa de la identitat digital i firma electrònica comunitària, basada en el marc eIDAS2. Encara que aquest estàndard europeu encara no ha finalitzat la fase d’investigació per trobar el millor sistema, ja hi ha una arquitectura bàsica, que és la mateixa que ha utilitzat l’executiu espanyol per basar la versió beta de l’aplicació coneguda com a pajaporte i que s’ha posat a prova amb altres funcionalitats arreu d’Europa. “Tot està dissenyat per acreditar les identitats sense necessitat de documents físics. Aquí no apareix ni el teu nom, ni dades confidencials, i és una prova que pots presentar com a posseïdor de documentació oficial. En el cas de la pornografia, aquests certificats serveixen per dir que ets major d’edat”, explica.

Alamillo recorda que “cal llegir les especificacions tècniques” abans d’emetre judicis i lamenta que s’hagi posat en dubte les garanties de seguretat que ofereix el sistema. “És cert que no garanteix un anonimat 100% entre l’emissor, el govern i el verificador –la web-, i que el risc de perdre la credencial existeix sempre perquè depens d’un tercer, però la credencial mai podrà funcionar sense la clau que tu tens”, detalla. I és que aquesta mena de sistemes operen amb entre dues i tres contrasenyes, segons l’arquitectura, que només es poden llegir des dels dispositius o plataformes acreditades. “A la cartera digital, per cada credencial, tens una parella de claus diferents: la teva i la que llegeix el verificador. Però si presentes n credencials diferents, cadascuna té una pròpia clau i la pàgina web no pot correlar que ets tu en aquestes n vegades. Ni tampoc es podria fer aquesta correlació amb el robatori de dades en un ciberatac”, assenyala l’advocat. Així mateix. En la documentació publicada pel govern amb les especificacions tècniques -sense cap actualizació des del juliol del 2024-, detallen que la Secretaria General d'Administració Digital “no guardarà vinculació entre la identitat dels usuaris i les claus públiques emeses”. D’aquesta manera, si no es compleix amb l’estipulat, incorreria en una vulneració de la privacitat i de la promesa feta en la presentació.

Alamillo: "Si presentes 'n' credencials diferents, cadascuna té una pròpia clau i la pàgina web no pot correlar que ets tu en aquestes 'n' vegades"

Davant el context actual, Alamillo recorda que “la seguretat total és molt difícil”, però sí que es poden dissenyar eines adequades per a cada situació. En aquest cas, considera que la proposta és adequada en comparació amb la resta d’opcions: “Podríem haver recorregut a la verificació biomètrica, però és molt més agressiva. Som en un escenari on saber si ets major d’edat o no és suficient, amb les actualitzacions i millores que vagin sortint veurem si cal anonimitat del tot o podria existir una corrosió de la privacitat”. Tanmateix, té plena confiança en el model que s’està desenvolupant a Europa amb l’eIDAS 2. “No està pensat per garantir un anonimat al 100%, sinó per ser un espai on tenir tots els atributs que acrediten que ets tu i poder compartir-los a trossets, triant què mostres a cada entitat. Tot i això, s’estan estudiant algoritmes matemàtics perquè realment es pugui generar una veritable operativa anònima, ja que Europa va forçar un epígraf dient que el marc tecnològic hauria de garantir la no observabilitat i la no vinculació de les persones, afegint la idea de crear mecanismes d’anonimat potents”, defensa. Per això la proposta encara està en fase de recerca i no s’espera que fins a mitjans del 2025 es dictamini quina és la millor arquitectura per garantir una operativa plena i segura.

Accés restringit, risc d’escletxa digital?

Un segon element que l’especialista en ciberseguretat esgrimeix contra la Cartera Digital Beta en la limitació de l’accés a les pàgines web amb continguts de pornografia és la trava que pot suposar per a les persones amb poques competències digitals o sense un dispositiu que obri aquesta porta. “Una de les idees d’internet és que podies accedir lliurement a la informació, així que amb aquests certificats, estàs trencant aquesta premissa”, critica, “aquí hi ha clarament una mesura que afectarà els adults que hi vulguin accedir, però que no estan familiaritzats amb internet”. A l’altra cara de la moneda hi ha els més joves, els quals “tenen o poden accedir al coneixement per accedir a la web fosca o a eines que els permetin saltar-se la restricció com les VPN o les pàgines que estiguin en altres països”, afirma Mauricio.

Garrido: “Segurament en tindrem de molt espavilats que sabran com saltar-se la barrera, però no serà la gran majoria"

Des de la seva perspectiva, Mauricio advoca per mesures que eduquin en el consum d’aquests continguts mitjançant l’educació sexual a les aules i una consciència sobre els riscos que comporta la pornografia. Una visió “vàlida”, per a la sociòloga Marina Garrido, però “insuficient”: “Els joves cada cop entren amb menys edat a la pornografia perquè tenen un accés molt ràpid i sense cap cost a aquestes pàgines. És adequat posar barreres, però és cert que tot ha d’anar acompanyat d’un programa educatiu”. Sense entrar a valorar la part tècnica de la Cartera Digital, considera que és aviat per treure conclusions sobre l’afectació que pot tenir entre els adults o els mecanismes que poden trobar els menors d’edat per accedir-hi, i demana “un vot de confiança”. Així mateix, reconeix que hi ha joves amb una ment “molt àgil i amb capacitats per trobar escletxes per accedir a la pornografia”, però assegura que els nadius digitals han demostrat “uns continguts limitats de l’ús d’eines electròniques”. “Segurament en tindrem de molt espavilats que sabran com saltar-se la barrera, però no serà la gran majoria, perquè a les aules ha quedat molt clar que hi ha dificultats per utilitzar Google, Excel o Word i que, si els treus el mòbil, van molt perduts”, afegeix.