Ayer, 24 de julio de 2023, el lanzamiento del token Worldcoin (WLD) agitó al ecosistema de las criptomonedas. Se trata de una moneda digital emitida por la fundación homónima, que lidera Sam Altman (uno de los cofundadores de OpenAI, compañía desarrolladora de ChatGPT).
Tal como se informó en CriptoNoticias, la particularidad de Worldcoin es que, para obtenerlo es necesario escanearse el iris y el rostro en un dispositivo especial denominado «Orb» (en español, orbe). Quienes completan este sistema de verificación de identidad, semanalmente reciben en su World App (aplicación de Worldcoin para teléfonos móviles) un bono con cierta cantidad de WLD.
El bono de bienvenida es de 25 WLD (equivalente a unos USD 50 al momento de esta redacción). La idea de recibir semanalmente tokens que luego pueden ser intercambiados por otras criptomonedas o por dinero fíat, puede resultar tentadora, pero… ¿es algo carente de riesgos? Spoiler alert: la respuesta es no y, a continuación, se analizará el porqué.
¿Qué hace especial al iris de una persona?
El iris, esa porción coloreada del ojo que rodea la pupila, es mucho más que un elemento estético que define si nuestros ojos son azules, marrones, verdes o una mezcla de estos. En realidad, el iris es una huella biológica única e irrepetible, incluso en gemelos idénticos. Al igual que nuestras huellas dactilares, no hay dos iris iguales.
Esta unicidad se debe a la compleja estructura del iris, que se forma a partir de varias capas de tejido. Los patrones de pliegues, hendiduras, y colores son determinados por un proceso aleatorio durante el desarrollo fetal, lo cual resulta en una diversidad casi infinita. Incluso los cambios en la salud y el estilo de vida no alteran significativamente los patrones del iris después de que uno alcanza los dos años de edad.
Tal detalle único es lo que lo convierte en una herramienta de identificación biométrica increíblemente útil y precisa. La biometría del iris puede tener una tasa de error de tan solo 1 en 10 millones o menos, según algunos estudios. Es por ello que el escaneo del iris se utiliza en ámbitos que requieren altos grados de seguridad, como el control de accesos a áreas restringidas en algunas instalaciones gubernamentales o corporativas.
Como puede apreciarse, se trata de una información sensible, que no debería caer en manos de cualquiera. En caso de que esta se encuentre almacenada en la base de datos de una organización, hay varios potenciales riesgos y, como se verá más adelanta, Worldcoin reconoce que tales riesgos existen y no son solo teorías conspirativas.
Riesgo 1: filtraciones de datos
Vivimos en una era digital en la que los datos son oro. Y los datos biométricos, como el escaneo del iris, son particularmente valiosos. Pero cuanto más precioso es el tesoro, más codiciado es por los ladrones. En el mundo digital, estos ladrones están constantemente buscando formas de infiltrarse en bases de datos para acceder a información sensible.
A pesar de todas las medidas de seguridad que una empresa pueda tomar, siempre existe el riesgo de que pueda producirse una filtración de datos. Tales sucesos se han vuelto demasiado comunes en los últimos años, afectando a gigantes tecnológicos, entidades gubernamentales e incluso empresas de seguridad cibernética.
Si una base de datos que contiene información del escaneo del iris se ve comprometida, los hackers obtendrían datos biométricos que no pueden ser alterados o cambiados, a diferencia de las contraseñas o números de tarjeta de crédito.
Las consecuencias de esas filtraciones pueden ser de largo alcance y difíciles de corregir. Los datos del iris podrían utilizarse para suplantar la identidad de un individuo en cualquier sistema que utilice este método de autenticación (esta técnica se conoce como spoofing). Esto pone en riesgo la seguridad financiera y digital del individuo.
Además, la filtración de estos datos biométricos puede resultar en una violación grave de la privacidad personal, ya que son características inherentemente personales y sensibles. El escaneo del iris es una forma de identificación que no se puede ocultar ni cambiar, lo que lo hace particularmente invasivo si se usa sin consentimiento.
En el caso de Worldcoin, la empresa ha recopilado escaneos del iris de millones de personas en todo el mundo (2.069.591 al momento de esta redacción, según informa la World App). Si bien aseguran implementar medidas de seguridad para proteger estos datos, también reconocen que puede haber fallos. Si estos datos fueran a parar a las manos equivocadas debido a una filtración, las consecuencias podrían ser desastrosas.
Riesgo 2: venta de información
En un mundo donde los datos son una moneda de cambio, la venta de información se ha convertido en un negocio lucrativo para muchas empresas. Desde nuestras preferencias de compra hasta nuestros patrones de comportamiento, muchas empresas recopilan, analizan y venden nuestros datos a terceros para una variedad de propósitos.
Con la recopilación de datos biométricos, el riesgo de la venta de información se eleva a un nivel completamente nuevo. Mientras que puedes optar por no compartir tus hábitos de compra o tus preferencias de entretenimiento, no puedes optar por no tener un iris. Los datos de tu iris son permanentes, no cambian y están intrínsecamente vinculados a ti como individuo.
Si cualquier empresa que recopila datos biométricos, decidiera vender estos datos, las consecuencias podrían ser significativas. Los datos biométricos podrían utilizarse para rastrear y perfilarte de maneras que otros datos no pueden. Además, si estos datos caen en manos equivocadas, podrían ser utilizados para fines nefastos.
Aunque una compañía puede asegurar —tal como lo asegura Worldcoin— en sus términos y condiciones que no hará tal práctica, debe tenerse en cuenta que las políticas corporativas pueden cambiar. Las empresas pueden ser adquiridas, y las nuevas autoridades pueden no adherirse a las mismas normas. En una era donde los datos son tan valiosos, es necesario ser cautelosos sobre con quién y cómo se comparte información personal y sensible.
Riesgo 3: uso indebido de la información recolectada
Más allá de la venta de información o las potenciales filtraciones, otro riesgo preocupante es el uso indebido de la información del iris recolectada por una empresa.
Un escenario podría implicar el uso de estos datos para alimentar bases de datos de inteligencia artificial (IA). Los datos del iris, por ejemplo, son susceptibles de ser utilizados para entrenar sistemas de IA en reconocimiento de patrones y autenticación biométrica. Aunque esto puede parecer inofensivo e incluso útil en algunos contextos, también puede tener implicaciones negativas. ¿Qué pasaría si estas IA se utilizan en contextos de vigilancia o control? Podríamos estar contribuyendo inadvertidamente al desarrollo de sistemas de vigilancia masivos y potencialmente invasivos.
Además, en el caso de que estos datos se combinen con otra información personal, como el nombre, la ubicación o los datos bancarios, los riesgos aumentan exponencialmente, lo que aplica tanto a casos de filtración, hackeo o uso indebido de esa información).
Siempre hay que tener en cuenta que, una vez que los datos son recolectados, no podemos controlar completamente cómo se utilizan, quién tiene acceso a ellos o cómo se almacenan.
¿Qué dice Worldcoin al respecto?
«Worldcoin consta de una identidad digital que preserva la privacidad (World ID)», puede leerse en el sitio web de la organización. Las referencias a la seguridad y la privacidad están en toda la página. Por ejemplo, en otra sección, se detalla un caso de uso: «Utiliza ‘Iniciar sesión con Worldcoin’ para autenticarte en aplicaciones web, móviles y descentralizadas, y compartir de forma privada tus verificaciones personales, incluido el número de teléfono para mayor comodidad, o biometría para el máximo nivel de seguridad».
Además de estas referencias esparcidas en su sitio web, en sus términos y condiciones explican cómo es el tratamiento de los datos recopilados. Algo que allí se observa es que, quienes están dispuestos a escanearse el iris, deben completar un formulario de consentimiento de datos. En caso de aceptarlo, hay dos opciones: habilitar o no habilitar la custodia de esta información.
Si no se habilita la custodia de datos, el Orb (dispositivo de escaneo) eliminará (o, al menos, eso es lo que se informa) los datos de la imagen luego de que se cree el «IrisCode». Explica Worldcoin: «No conservamos ni transferimos datos de imagen a nuestra base de datos. Los datos de imagen no se transferirán fuera del Orb. Sin embargo, es posible que tenga que volver a visitar un Orb para que su IrisCode pueda verificarse de nuevo cuando actualicemos nuestros algoritmos».
En cambio, si se habilita la custodia de datos, el usuario acepta que se pueda transferir esa información a los equipos que Worldcoin asegura tener en la Unión Europea (Alemania y Polonia), los Estados Unidos, Brasil, India, Singapur y Sudáfrica. Se promete, a cambio, que el usuario «disfrutará de toda la funcionalidad y puede que no tenga que volver a visitar un Orb» en caso de que se actualicen los algoritmos. «Además, nos ayudará a desarrollar y mejorar nuestro producto», añade la organización.
En todos los casos, el código de iris, una vez que se cree «ya no podrá ser borrado». Se informa: «si lo borrásemos, la prueba de singularidad dejaría de funcionar».
¿Qué datos recopila Worldcoin?
Son tres los datos que el Orb escanea y —si hay autorización por parte del usuario— recopila la organización: imágenes de los iris y los ojos, imágenes tridimensionales de la cara y derivados de los datos anteriores.
Los mencionados derivados son «representaciones numéricas de las imágenes anteriores para permitir comparaciones informáticas e interacciones entre ellas». Aclara Worldcoin:
«No es posible invertir completamente los derivados a la imagen original. Y lo que es más importante, utilizamos nuestra versión personalizada del algoritmo de Daugman para calcular dicha cadena de números a partir de la imagen del iris. Este código del iris se utiliza para garantizar que los usuarios solo puedan registrarse una vez».
Worldcoin.
¿Qué hace Worldcoin con los datos recopilados?
Tras detallar qué datos se recopilan, el mencionado formulario se apresura a aclarar: «Recopilamos estos datos de imágenes para determinar que usted es un ser humano único. (…) No utilizamos los datos de imagen para saber quién es usted (identificación)».
Debe tenerse en cuenta que, a fines de registro, la app para teléfonos móviles solicita un número telefónico lo que podría servir para conectar identidades personales con los datos escaneados.
Los datos recopilados se etiquetan y se usan, entre otras cosas, para:
- Optimizar y mejorar el cálculo del IrisCode y los derivados.
- Formar y seleccionar al personal del etiquetado.
- Desarrollar y entrenar algoritmos para reconocer, segmentar y diferenciar entre imágenes de iris y rostros humanos.
- Detectar y eliminar el sesgo de los algoritmos.
- Desarrollar, entrenar y probar un sistema para detectar si un usuario es un ser humano que presenta un ojo humano real o si un registro es va´lido.
- Desarrollar, entrenar y probar modelos que mejoren el rendimiento y la experiencia del usuario del Orb.
- Formar y evaluar al personal que trabaja en estos sistemas.
Aclara Worldcoin en el formulario que nunca se venderán los datos ni se usarán para hacerle seguimiento al usuario o «para enviarle anuncios de productos de terceros» (nótese que no dice nada sobre productos propios).
Worldcoin puede compartir los datos con otras entidades y personas
Es de fundamental importancia tener en cuenta que la información que se le brinda a Worldcoin puede —según se indica explícitamente en el formulario de consentimiento— ser compartida con entidades fuera de la organización.
«Con vendedores y proveedores de servicios ajenos a nuestra organización: Solo divulgamos los datos a los proveedores de servicios en cuyos servicios confiamos para el tratamiento de los datos y para proporcionales nuestros Servicios. Solo divulgamos los datos con proveedores de verificación de identidad si lo exige la ley (es decir, los requisitos de conocer a tu cliente)».
Worldcoin
Aseguran que toman medida para garantizar que esos datos se utilizan, por parte de las otras empresas, de un modo tal que se preserve la privacidad. También indican: “Prohibiremos que otras empresas los utilicen para sus propios fines”. Aun así, es de recalcarse que al hacer esto se añaden potenciales vectores de ataque, debido a que hay que confiar ya no solo en Worldcoin sino también en otras entidades.
Entre estos proveedores de servicios con los que Worldcoin puede compartir datos están: servicios en la nube; bases de datos e infraestructuras; seguridad de datos; asistentes técnicos; expertos externos; desarrolladores de software especializados; y especialistas jurídicos, entre otros.
«El uso de los servicios podría sufrir expropiación o robo», dice Worldcoin
Los términos y condiciones de diversas empresas suelen aclarar —con el fin de cubrirse legalmente— que las cosas pueden salir mal, y Worldcoin no es la excepción. Allí se dice: «los tokens digitales y el uso de los servicios podrían sufrir expropiación o robo». Entre esos servicios, de acuerdo al mismo texto legal, se encuentra el protocolo WorldID, o sea, el mecanismo de verificación de identidad por escaneo facial.
Se añade: «hackers y demás grupos u organizaciones malintencionadas pueden intentar interferir con los servicios de diversas maneras, como, entre otras, con ataques de malware, ataques de denegación de servicio, ataques basados en algoritmos de consenso, ataques Sybil, smurfing y spoofing».
¿Y qué pasa si algo falla? El equipo legal de Worldcoin estuvo en todos los detalles y dejó claro lo siguiente:
«En caso de que se produzca un error o una debilidad en el software, es posible que no exista ningún recurso y que no se garantice a los usuarios ninguna solución, reembolso o compensación».
Worldcoin
¿Un usuario podría llevar a un tribunal al equipo de Worldcoin si considerara que algún derecho suyo fue vulnerado? Quizás sí, quizás no. Pero, en los términos y condiciones que acepta todo usuario de esta plataforma se determina: «usted acepta resolver toda controversia entre usted y la Fundación mediante arbitraje vinculante en lugar de en un tribunal judicial».
También el punto 11.2 del mencionado documento, debería ser tenido especialmente en cuenta por cualquiera que desee participar de Worldcoin:
«No declaramos ni garantizamos que: a) el acceso a la totalidad o parte de los servicios sea continuo, ininterrumpido, pertinente, seguro o sin errores; b) que los servicios o el contenido sean precisos, completos, fiables o actuales; c) que los servicios no contengan virus ni otros componentes dañinos; ni d) que los servicios o el contenido satisfagan sus requisitos, necesidades o expectativas».
Worldcoin.
¿Vale la pena asumir estos riesgos para recibir WLD?
La pregunta de este intertítulo final deberá ser respondida por cada lector en base a su propia investigación minuciosa, en la que se evalúen potenciales riesgos y beneficios. La empresa liderada por Sam Altman procura presentar esta nueva moneda digital como una gran novedad revolucionaria y, en este contexto, resulta saludable ejercer un sano escepticismo.
El principal problema, como se ha visto, radica en la recopilación de datos biométricos altamente sensibles. Aunque se pretende preservar la privacidad de los usuarios, los riesgos existen y la misma compañía lo admite sin disimulo en sus términos y condiciones. Incluso con elevadas medidas de seguridad, la historia ha demostrado que ninguna base de datos es infalible ante ataques de hackers o acciones negligentes de las propias empresas.
WorldCoin asegura que respeta la privacidad de sus usuarios, pero la posibilidad de compartir información con diversas entidades aumenta los riesgos potenciales y plantea dudas sobre la confidencialidad de la información recopilada.
Además, el hecho de que los usuarios no tengan opción de borrar su código de iris una vez creado puede ser preocupante. Esto prácticamente implica entregar una parte vital de nuestra identidad a una entidad centralizada.
A todo esto, Worldcoin se escuda en términos y condiciones que prácticamente eximen a la empresa de responsabilidad en caso de fallas o problemas. Por tales motivos, es fundamental estar informados y evaluar cuidadosamente de qué se trata este proyecto antes de involucrarse.