Insistiendo en su narrativa de compromiso con la privacidad, el controversial proyecto de criptomonedas Worldcoin permitió una auditoría especializada de los Orbs, los aparatos regados en varios países del mundo para el escaneo de iris. Y los resultados del chequeo de seguridad, demostraron que, en efecto, hay riesgos de privacidad por el manejo de los datos biométricos de las personas.
De acuerdo con lo informado por el proyecto, la Fundación Worlcoin y la empresa Tools for Humanity (TFH), contrataron a la firma de seguridad Trail of Bits para que se encargara de auditar el software que da vida a los Orbs. La empresa reveló los resultados de la auditoría en un contexto de denuncias, investigaciones y prohibiciones de países a las operaciones de Worldcoin, precisamente por temas de privacidad.
La auditoría contó con acceso completo al código fuente de los Orbs, así como la documentación de estos dispositivos. Se realizaron pruebas estáticas y dinámicas del código base utilizando procesos automatizados y manuales. La revisión se centró únicamente en el software que se ejecuta en el dispositivo Orb y fue desarrollado por TFH.
Según lo indicado por Trail of Bits en un informe con los resultados de la auditoría, no se descubrieron vulnerabilidades en el software de los Orbs de Worldcoin que se puedan explotar directamente en relación con los objetivos del proyecto, que es acceder a los datos biométricos para verificar la humanidad.
Sin embargo, entre sus hallazgos, Trail of Bits identificó que el software de los Orbs no bloquea la memoria en la RAM. Esto significa que, si los desarrolladores del código configuran el espacio de intercambio para expandir la capacidad de la memoria RAM de los escáneres, los datos confidenciales de los usuarios, así como sus datos biométricos, podrían persistir allí indefinidamente.
En otras palabras, si los desarrolladores de los Orbs deciden expandir a través del espacio de intercambio la memoria RAM de los aparatos, los datos privados de los usuarios que escaneen sus iris podrían verse comprometidos.
Para solventarlo, Trail of Bits recomienda a Worldcoin usar el código mlock para bloquear la memoria en la que se almacenan datos confidenciales en la RAM. Esto evitará que esa memoria sea intercambiada al disco si se configura el espacio de intercambio.
Trail of Bits también recomienda a Worldcoin hacer seguimiento para garantizar que los datos biométricos de los usuarios nunca se usen “de forma inesperada”.
El análisis del código de fuente de los Orbs de Worldcoin fue ejecutado por un equipo de tres consultores de Trail of Bits. Este estudio se extendió del 7 al 26 de agosto de 2023, pocos meses después de que el proyecto llegó al mercado.
No se evidencia un mal manejo de datos privados
En su informe, Trail of Bits indicó que no se hallaron problemas relacionados con el uso incorrecto de información de identificación personal o de los códigos de iris.
Sin embargo, advierten que “un cambio de código en el futuro podría introducir tales problemas”.
“Para evitar esto, recomendamos investigar y utilizar soluciones de seguimiento de contaminación para garantizar que estos datos nunca se utilicen incorrectamente (por ejemplo, que nunca se pasen a funciones de registro)”, señala la firma de seguridad.
El informe de Trail of Bits, por un lado, confirma las preocupaciones relacionadas con que los Orbs de Worldcoin almacenan información que puede ser explotada. Esto, considerando que está a una decisión de los desarrolladores dejar la información privada de los usuarios permanentemente acopiada en los escáneres de iris.
Pero, por otro lado, el informe apaga las alarmas con lo relacionado al mal manejo de la información biométrica de los usuarios, ya que confirman que no hay un uso incorrecto de tales datos (al menos hasta ahora). Ello, en consonancia con lo que dicen desde Worldcoin.
Tiago Sada, uno de los arquitectos detrás de Worldcoin, señaló a CriptoNoticias hace unos días que ellos no tienen intención de quedarse con la información privada de las personas que acudan al proyecto. Incluso aseguró que el escáner de iris no representa un riesgo a la privacidad y que Worldcoin es más privado que Facebook, Google y TikTok.
Calmando las aguas
Con la auditoría especializada de Trail of Bits, Worldcoin busca calmar las voces que claman por más transparencia, sobre todo a partir de la prohibición de España de que este proyecto siga operando y escaneando los iris de los usuarios de ese país.
La Agencia Española de Protección de Datos (AEPD) emitió una medida cautelar contra Worlcoin hace poco para impedir que siguieran accediendo a los datos biométricos de los usuarios en la nación ibérica. Esto a partir de cuatro denuncias, recibidas por esa oficina, en las que se manifiesta preocupación sobre el manejo de la información del iris.
Posteriormente, la decisión de la agencia española fue ratificada por la Audiencia Nacional, cuando rechazó el recurso de apelación interpuesto por Worldcoin y solicitó a la empresa que no utilizara los datos biométricos que ya han obtenido de los españoles.
Hasta el momento, 8 naciones del mundo abrieron investigaciones contra Worldcoin, llevadas por las preocupaciones de seguridad y privacidad. Solo 2 decidieron prohibir las operaciones. Kenia, a mediados del año pasado y recientemente España.
No obstante, Worldcoin parece tener toda la intención de seguir expandiéndose, considerando que ya hay más de 6 millones de usuarios en todo el mundo, con más de la mitad de ellos ya habiendo escaneado sus iris para obtener el puñado de tokens WLD.