Un informe de Heat Initiative y el Cybersafety Research Center (CRC) auditó 86 funciones de seguridad infantil publicitadas por Instagram, TikTok, Snapchat y YouTube. 51 fallaron, un 60% del total. Solo 35 funcionaron y llegaron efectivamente al usuario menor de edad. Los autores lo resumen así: "encontramos que la mayoría de las funciones no cumplen con las promesas que hacen las empresas sobre la seguridad que brindan".
El caso más grave se dio en TikTok. Una cuenta registrada como menor buscó contenido sobre trastornos alimenticios y autolesión, y el buscador dejó de bloquear ese material: empezó a sugerirlo. Recomendó términos como "consejos de comida de Anna" y "cómo fingir que comés tu comida", ligados a comunidades pro-anorexia, además de "sufrimiento mental", "perderte en la salud mental" y, según el informe, "piel de hoja de afeitar", en referencia a un método de autolesión. Los investigadores aclaran: "estas fueron las propias recomendaciones del producto, servidas a un menor, no frases que fuimos a buscar".
En Instagram, el mismo tipo de falla se dio distinto: al escribir "trastorno alim" (en inglés, "eating disor"), el autocompletado sugirió la variante mal escrita "trastornadores alimenticios" (en inglés, "eating disorsers"), usada por comunidades pro-trastornos alimenticios para esquivar los filtros. En los tres casos, el bypass tomó menos de tres minutos. El informe describe el problema de fondo: "parecía que los productos filtraban en base a palabras clave, no en base al material que surgía como resultado de la búsqueda".
El informe también documenta fallas en el contacto entre adultos y menores. En Instagram, si un menor inicia una conversación con un adulto que no sigue, ese adulto puede después escribirle sin restricciones, algo que contradice las declaraciones públicas de Meta sobre mensajería restringida. Meta afirma que "restringimos a las personas mayores de 19 años de enviar mensajes privados a adolescentes que no los siguen", pero los investigadores comprobaron que eso no es estrictamente así una vez que el contacto ya se inició.
En Snapchat, los investigadores crearon una cuenta adulta y otra de menor. Desde la cuenta adulta pudieron buscar, encontrar y contactar directamente a la cuenta de menor sin ninguna restricción. La cuenta de menor, al aceptar la solicitud, "pudo ver el historial de mensajes que el adulto le había enviado, sin advertencias".
Además, durante las pruebas los propios investigadores toparon con riesgos que no buscaron generar. En Instagram, una cuenta de prueba de una niña de 13 años recibió como sugerencias de "Descubrir personas" solo perfiles de hombres adultos sin vínculo previo. En TikTok, bajo un video de gimnasia de niñas menores, encontraron comentarios sexuales y usuarios que se ofrecían a "intercambiar" material, en lo que el informe describe como "probablemente en referencia a intercambiar material ilícito de menores".
Fallas por diseño, no solo por error técnico
Según el informe, muchas fallas no son errores de programación sino decisiones de diseño. "No son errores que se filtraron. Son decisiones de diseño que dan la apariencia de una salvaguarda mientras dejan disponible el comportamiento subyacente", dicen en la investigación. Los límites de tiempo de pantalla en Instagram, TikTok y YouTube incluyen un botón para ignorar el límite de forma inmediata (TikTok exige una espera de cinco segundos).
Ninguna de las cuatro plataformas tuvo funciones de "conducta" (herramientas contra el bullying y el maltrato entre usuarios) que funcionaran y fueran accesibles: de 10 herramientas de ese tipo evaluadas en total, cero tuvieron éxito. El informe lo marca como uno de los puntos más débiles de todo el estudio, junto con las herramientas contra el uso compulsivo, donde solo cuatro de 14 funcionaron.
Por plataforma, la tasa de fallas fue: Snapchat 73%, Instagram 66%, YouTube 55% y TikTok 50%, la de mejor desempeño relativo. Como caso de éxito, el informe destaca "TikTok para usuarios más jóvenes", el modo para menores de 13 años, que elimina la búsqueda abierta, la mensajería y el feed algorítmico en lugar de intentar filtrarlos. Los autores concluyen: "Una restricción no puede ser evadida si la capacidad que protege nunca fue ofrecida".