MENÚ
Si alguien se hace con la contraseña de nuestro correo electrónico, la podemos cambiar. Si alguien se hace con nuestra huella dactilar… no. Los datos biométricos, como los rasgos faciales, el ADN o el iris de nuestro ojo, son inmutables. Eso significa que, si alguien se hace con ellos, nuestra seguridad estará mucho más comprometida porque no hay manera de sustituirlos o desvincularlos de nuestra identidad. Por eso, si los cedemos a una empresa, significa que le estaremos dando información sensible sobre nosotros, y es conveniente estar seguros de que solo se va a usar para el fin que indican.
Es el caso del proyecto Worldcoin, del CEO de OpenAI, en el que el registro se hace mediante escaneo ocular para obtener la información biométrica de nuestro iris. A cambio, ofrece criptomonedas y una identidad digital. Analizamos los posibles riesgos de facilitar nuestros datos biométricos (a esta u otras empresas).
Los datos biométricos son de carácter sensible porque no se pueden modificar y si alguien se hace con ellos quedarían inservibles
Los datos biométricos son especialmente sensibles debido a la manera inequívoca que tienen de identificarnos. Podemos cambiar el patrón de un móvil o la contraseña de acceso a un correo electrónico todas las veces que queramos, pero no podemos modificar nuestra huella dactilar ni las características de nuestro ojo: los datos biométricos son inmutables, nuestro iris siempre va a ser el mismo (salvo raras excepciones).
Que sean únicos es bueno para la seguridad, pero es un arma de doble filo: si los datos biométricos son robados o suplantados “quedarían inservibles porque no se pueden cancelar y crear uno nuevo como si nos clonaran la tarjeta de crédito”, explicó a Maldita.es Jorge Francos, consultor, analista de sistemas y maldito que nos ha prestó sus superpoderes.
Por eso, los datos biométricos tienen que guardarse y tratarse con mayor precaución que otro tipo de datos. Como nos explicó Carolina Torrent, especialista en ciberseguridad y ciberinteligencia, los datos biométricos son “considerados de carácter sensible y esto significa que básicamente no pueden ser tratados a no ser que cumplan con una serie de requisitos”.
Hay que valorar si el fin para el que se van a usar los datos biométricos es proporcional a los riesgos de exponerlos
El uso de datos biométricos que puedan identificar de manera unívoca a una persona física (como el iris) tiene aplicada una capa de protección extra en el artículo 9 del Reglamento General de Protección de Datos (RGPD), como ya contamos en Maldita.es. Si se van a usar, se tiene que hacer una revisión muy precisa sobre si el fin es proporcional.
En el caso de Worldcoin, Elena Gil, abogada experta en derecho digital y protección de datos y cofundadora de Tech and Law cree que “acudir a un tipo tan complejo de biometría (que quiere captar el iris de forma presencial con la persona a través de un dispositivo concreto), con el objetivo de saber si quien está tras una interacción digital es un ser humano o un bot, es un poco desproporcionado y más complicado de lo necesario”.
En el marco de la Unión Europea, la abogada recuerda que un proyecto que use datos biométricos debería “cumplir otras obligaciones, como haber realizado una evaluación del impacto que este tratamiento de datos personales puede tener [tal como requiere el artículo 35 del RGPD], informar de modo transparente, proteger qué finalidad se le da a los datos, y por supuesto, que esas finalidades no sean diferentes de las inicialmente comunicadas”. Sobre Worldcoin “aún hay muy poca información y asegurar que usarán los datos para otras finalidades solo es una posibilidad”, matiza Gil.
Puede haber posibles brechas de seguridad y vulnerabilidades del sistema que hagan que quien no debe tenga acceso a nuestros datos
Confiar nuestros datos biométricos a empresas significa perder el control sobre ellos y creer que los custodiarán bien, pero los ciberataques están a la orden del día. En concreto, Francos nos contó que “el precio de los datos biométricos en el mercado negro es muy alto, por lo que en los ataques a empresas son un objetivo prioritario”.
Ya ha habido casos de ciberataques. TechCrunch publicó que ciberdelincuentes consiguieron robar contraseñas de los dispositivos de varios operadores de orbes de Worldcoin Orb, y esto les dio acceso completo al panel de control del operador en Worldcoin. No está claro en qué medida el operador puede acceder a los datos del usuario, pero una investigación de MIT Technology Review dice que en algunas regiones la información recopilada por los operadores incluye direcciones de correo electrónico, números de teléfono y escaneos de tarjetas de identificación nacionales.
También hemos visto que, entre esos datos, el orbe toma imágenes del cuerpo y la cara y datos del latido del corazón y otros signos vitales, y que si se acepta en el consentimiento pueden almacenar las imágenes. Al final, “se capturan desde el orbe, un dispositivo de la propia compañía, y el usuario pierde control sobre ello”, añade Gil.
No solo pierde el control, sino que no sabe realmente quién está tratando esos datos: Jorge Louzao, experto en ciberseguridad y maldito que nos ha prestado sus superpoderes, señala a Maldita.es que los operadores no son empleados de Worldcoin, sino intermediarios de otras empresas o autónomos. “Tenemos que confiar en que no han alterado el Orb y que no están haciendo otras cosas con tus datos. Y realmente no sabemos qué se hace porque no hay auditorías independientes”, subraya Louzao.
Worldcoin reconoce en sus términos y condiciones que “el software utilizado para los Servicios sigue siendo relativamente nuevo y podría presentar errores o vulnerabilidades de seguridad”, y que puede haber “riesgo de seguridad de la información: los tokens digitales y el uso de los Servicios podrían sufrir expropiación o robo”. En caso de que se produzca un error o una debilidad en el software, añaden, “es posible que no exista ningún recurso y que no se garantice a los usuarios ninguna solución, reembolso o compensación”. Tanto Louzao como Gil recuerdan que la sede central de la Fundación Worldcoin está en las Islas Caimán, un paraíso fiscal, lo cuál influye a la hora de reclamar responsabilidades desde Europa.
El hash que guarda el código del iris puede tener riesgo si se acompaña de otros datos
Los hash son muy seguros porque solo funcionan en una dirección: una vez que has aplicado la función para crear la secuencia criptográfica, no puedes volver atrás. En el caso de los datos biométricos, no podrías “volver a crear el iris o tu huella digital a partir de esos datos, al menos no con la tecnología actual”, puntualiza Louzao.
Eso hace que nuestra identidad digital esté segura… a no ser que se almacene asociada a ella más información. “Conociendo el algoritmo del hash y otros datos, como la imagen de la cara en 3D, la imagen en bruto del iris, tu email o tu número de teléfono, se podría engañar a sistemas que confíen en Worldcoin para identificar personas o cruzar datos”, considera el experto en ciberseguridad. Louzao dibuja varios escenarios en los que esto podría ser problemático.
Gobiernos y empresas podrían usar el sistema de identificación de Worldcoin, pero algunos expertos consideran que puede acabar en un sistema de vigilancia masiva
Otro riesgo que sale en la conversación sobre el sistema de identificación mundial que quiere crear Worldcoin es el tema de los gobiernos. Worldcoin ya ha dicho que ofrece a las empresas y gobiernos usar su sistema de identificación. Ricardo Macieira, manager regional de Tools for Humanity, puso un ejemplo que recoge Reuters: “Las empresas podrían pagarle a Worldcoin para usar su sistema de identidad digital si una cafetería quiere dar a todos un café gratis, entonces la tecnología de Worldcoin podría usarse para garantizar que las personas no soliciten más de un café sin que la tienda necesite recopilar datos personales”.
Pero esto puede tener sombras. “En mi humilde opinión, el principal riesgo es que esta empresa pueda monopolizar la identificación de personas por encima de Estados, pudiendo vender información a países con dudosas prácticas dictatoriales o a otras empresas”, asevera Louzao. Por ejemplo, “gobiernos no democráticos podrían usar esta tecnología para mayor control de sus ciudadanos”.
En El País, la periodista especializada en tecnología Marta Peirano escribe que los datos biométricos “ofrecen gran potencial para el abuso porque permiten identificar personas de forma remota sin su consentimiento y se pueden asociar a parámetros discriminatorios, como demuestra el sistema automático de identificación de uigures, implementado por Huawei para el Gobierno chino”. También cuenta el ejemplo de Aadhaar, la base de datos biométrica del Gobierno indio, que “los críticos denuncian como el sistema de vigilancia masiva de un Gobierno totalitario en vías de radicalización”.
En cualquier caso, lo mejor siempre es tomar una decisión consciente con toda la información en la mano
Entonces, ¿qué? Ceder o no ceder datos biométricos, esa es la cuestión. Lo primero es tener toda la información posible en la mano.
Torrent nos recomendó en este artículo que “la mejor forma de que nuestros datos no se vean comprometidos o expuestos siempre va a ser hacer un uso responsable de ellos y no cederlos a la ligera, ya sea para hacer uso de un simple descuento, para un evento o para fines cuyo beneficio no sea tan alto como el valor del dato que cedes”. También aconsejó leer siempre “con detenimiento cómo se hará el tratamiento de estos datos y una vez tengamos la imagen completa, hacer una decisión consciente”.
Por si te encuentras delante de un orbe de Worldcoin y te planteas registrar tus datos biométricos, aquí tienes una explicación de cómo funciona el proyecto y qué hay detrás, aquí qué es eso del reconocimiento de iris y aquí las investigaciones sobre protección de datos y privacidad que hay abiertas sobre Worldcoin. También te dejamos la cobertura que han hecho otros compañeros en elDiario.es, El País, Xataka, El Español y La Vanguardia.
Imagen de portada: montaje a partir de una fotografía de Victor Freitas en Unsplash y una imagen del orbe de Worldcoin.
En este artículo ha colaborado con sus superpoderes el maldito Jorge Louzao.
Gracias a vuestros superpoderes, conocimientos y experiencia podemos luchar más y mejor contra la mentira. La comunidad de Maldita.es sois imprescindibles para parar la desinformación. Ayúdanos en esta batalla: mándanos los bulos que te lleguen a nuestro servicio de Whatsapp, préstanos tus superpoderes, difunde nuestros desmentidos y hazte Embajador.
Primera fecha de publicación de este artículo: 10/08/2023
