El pasado viernes 25 de julio, al mismo tiempo que el Reino Unido activaba la primera fase de su Online Safety Act exigiendo que cualquier web con contenido considerado explícito compruebe la edad de cada visitante mediante tarjetas bancarias, pasaportes o reconocimiento facial, las descargas de servicios VPN se dispararon un 1 ,400% y coparon la mitad del Top 10 de apps gratuitas en iOS. La app suiza Proton VPN, considerada una de las mejores de las VPN freemium, desbancó a ChatGPT como aplicación más popular del país en cuestión de horas, y la búsqueda «VPN» multiplicó por diez su frecuencia en Google. Es la respuesta previsible cuando la ley pretende obligarte a desnudar la identidad para ver cualquier contenido adulto: bastan cinco minutos y un clic en «conectar» para que la norma pierda sentido tecnológico. Y la resistencia no es sólo técnica: en menos de una semana, la petición parlamentaria que exige derogar la norma superó los 300,000 firmantes, triplicando el umbral que obliga a debatirla en Westminster. Cuando la regulación se percibe como desproporcionada y peligrosa para la privacidad, la sociedad civil reacciona tan rápido como el tráfico cifrado. La película ya la habíamos visto anteriormente al otro lado del canal: el pasado 7 de junio, Pornhub cerró su segundo mercado mundial y abandonó Francia ante la inminente entrada en vigor de un sistema similar. Treinta minutos después, los registros en Proton VPN crecían un 1 000%: más altas que cuando TikTok amagó con irse de los Estados Unidos. La fuga de usuarios fue instantánea, mientras que la de datos personales, por fortuna, no llegó a producirse, porque la mayoría de los franceses optaron por reubicar su IP antes que mostrar su carte nationale d’identité. Los Estados Unidos llevan dos años poniendo en práctica de manera muy voluntariosa este mismo error. Louisiana inauguró la oleada en 2023 con una ley que el Capitolio aprobó por 96 votos a uno y que, en palabras de su impulsora, pretendía frenar una supuesta «crisis de salud pública» causada por la pornografía. El resultado fue inmediato: caídas de tráfico del 80% en el estado y una migración masiva de usuarios a webs no reguladas o a las siempre socorridas VPNs, mientras la industria emprendía demandas por inconstitucionalidad. Utah, Virginia, Misisipi o Arkansas replicaron la fórmula: Pornhub respondió desconectando el servicio y mostrando a los usuarios un vídeo (apto para todos los públicos) explicando su retirada. Cada cierre vino acompañado de picos de búsqueda de VPNs y de celebraciones entre legisladores que, según declaraban «entre high‑fives«, consideraban un éxito hacer desertar a la mayor plataforma mundial en lugar de afrontar el desafío tecnológico real. España tampoco se quedó quieta: su propuesta, bautizada popularmente con el irónico nombre de «pajaporte«, pretende integrar en la futura Cartera Digital un lote mensual de treinta credenciales anónimas que vencen a los treinta días y que pueden renovarse con un selfie y el DNI. En las primeras pruebas piloto, páginas como Cumlouder vieron desplomarse su tráfico un 85 %, y la mayoría de usuarios optó por irse, por tirar de VPN o por acudir a dominios espejo, mientras los expertos en privacidad alertaban de que centralizar datos biométricos y patrones de consumo sexual era una invitación al desastre. Mientras Bruselas observa con escepticismo un sistema que mezcla reconocimiento facial y documentación oficial, el Gobierno admite «dificultades técnicas» para escalarlo y los adolescentes, de los que cuatro de cada diez ya saben usar VPN con total soltura, continúan saltándose la verja. El «pajaporte» confirma así que, incluso cuando se reviste de tokens y plazos de caducidad, la verificación de edad sigue chocando con la realidad tecno-social de la red.¿Qué nos enseñan estos casos? Primero, que la lógica de los firewalls nacionales choca con una infraestructura diseñada para saltar fronteras. Las VPNs, los proxies o el mero cambio de DNS convierten fácilmente cualquier cortafuegos en un colador. Segundo, que obligar a entregar documentos oficiales a un tercero privado introduce un dramático vector de riesgo: las bases de datos de pornografía vinculadas a identidades civiles son un caramelo para ataques y chantajes, tal como advirtieron los propios legisladores de Louisiana al estrenar la medida. Y tercero, que el daño colateral lo pagan tanto los derechos fundamentales (libertad de expresión, anonimato) como la propia industria creativa, que ve desplomarse el tráfico legítimo mientras proliferan sitios clandestinos sin ningún tipo de control. La lección es clara: las políticas que intentan «cerrar» Internet desde la puerta de atrás empujan a los ciudadanos a herramientas de evasión, erosionan la confianza en las instituciones y, paradójicamente, dejan a los menores igual de expuestos o más, porque desplazan el consumo a rincones menos regulados y menos seguros. En lugar de repetir el ciclo, los reguladores deberían asumir tres principios básicos. Primero, que la educación digital y sexual temprana es más efectiva que cualquier pasarela de documentos. Segundo, que existen modelos de verificación anónima basados en tokens criptográficos o certificados de mayoría de edad emitidos por terceros independientes, que no implican la recopilación de datos sensibles. Y tercero, que cualquier norma tecnológica necesita diálogo con ingenieros, con expertos en privacidad y con la sociedad civil antes de imprimirse en el boletín oficial. Cuando las leyes se redactan con la ilusión de que el protocolo TCP/IP obedece a la geografía, acaban convertidas en tutoriales involuntarios sobre cómo instalar una VPN. Quizá ha llegado el momento de legislar con la realidad, en vez de hacerlo contra ella.