Productos FTTH

Tienda FFTH desde 2004

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon Logran saltar app de verificación de edad de la UE con extensión de Chrome


El investigador de seguridad Paul Moore ha revelado nuevamente debilidades críticas en el sistema de verificación de edad de la UE. En esta ocasión, logró evadir la versión más reciente de la aplicación (2026.07-1) mediante el uso de una extensión de Chrome potenciada por ClaudeAI. Esta prueba de concepto demuestra que, a pesar de los esfuerzos de seguridad, persiste un fallo de diseño fundamental en el modelo de verificación anónima.





El investigador de seguridad Paul Moore ha expuesto una vez más debilidades críticas en el sistema insignia de verificación de edad de la UE, esta vez saltándose la última versión de la aplicación (versión 2026.07-1) mediante una extensión de Chrome impulsada por ClaudeAI.

La prueba de concepto demuestra que, a pesar de meses de "endurecimiento de la seguridad", un fallo de diseño fundamental en el modelo de verificación de edad anónima sigue permitiendo atestaciones de mayores de 18 años reutilizables sin vincularlas a una identidad de usuario real.

En un vídeo publicado recientemente en X, Paul demuestra cómo la aplicación de verificación de edad actualizada de la UE puede ser engañada para aceptar repetidamente el mismo token de "mayor de 18" en el navegador, sin ninguna verificación nueva ni vinculación de identidad.

En lugar de atacar la criptografía o romper los controles del lado del servidor, la extensión de Chrome intercepta y reproduce la prueba de edad anónima cada vez que un sitio solicita la verificación, reutilizando efectivamente una única atestación exitosa en múltiples sesiones.

Debido a que la aplicación está diseñada para confirmar únicamente que un usuario supera cierta edad, mientras retiene deliberadamente la información personal, el sitio web que confía en el proceso nunca sabe si la prueba pertenece a la persona que está realmente frente al teclado. Esta separación entre la afirmación de la edad y la identidad del usuario se convierte en la debilidad central que explota la extensión.

En el corazón del problema está el objetivo político de la UE: controles de edad "que preserven la privacidad" y que no compartan nombres, identificaciones u otros datos sensibles con los sitios web. Técnicamente, esto se traduce en un modelo de atestación anónima, donde el verificador recibe una declaración binaria como "el usuario es mayor de 18" en lugar de un perfil de identidad completo.

El bypass de Paul demuestra que, en la práctica, este anonimato impide una vinculación robusta entre la atestación, el usuario y la sesión específica. Si se puede capturar y reproducir un único token válido de mayor de 18 años, el sistema no puede distinguir el uso legítimo del abuso.

El resultado es una situación en la que cualquier usuario técnicamente capaz o un actor malicioso puede convertir efectivamente una verificación genuina en un "pase de acceso para adultos" genérico para múltiples sitios y contextos.

Los funcionarios de la UE han afirmado que la aplicación ha pasado por tres meses de mejoras de seguridad, incluyendo un mejor almacenamiento de secretos y protecciones más fuertes en el lado del cliente.

Sin embargo, Paul dijo que los parches incrementales no pueden resolver el problema arquitectónico subyacente: el modelo de confianza sigue dependiendo de pruebas anónimas y reutilizables con un contexto limitado y una resistencia débil a la reproducción o la automatización.

Desde el punto de vista de la ingeniería de seguridad, esto no es tanto un "bug" sino más bien un desajuste estructural entre los requisitos de privacidad y las necesidades de cumplimiento.

Para los operadores de sitios web que se preparan para los mandatos de verificación de edad de la UE, el trabajo de Paul es una advertencia de que confiar únicamente en la aplicación oficial podría no ofrecer la protección pretendida.

Los atacantes no necesitan exploits de día cero ni malware complejo; pueden aprovechar la automatización del navegador y la lógica de las extensiones para saltarse los controles de política en la capa de integración.



Fuentes:
https://cybersecuritynews.com/researcher-bypass-of-eu-age-verification/

0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.