Las preocupaciones sobre privacidad por los escaneos de iris de Worldcoin han aumentado.
La imagen del iris se elimina tras convertirla en un hash, pero sigue habiendo riesgos para el usuario.
La empresa puede compartir datos con terceros y es susceptible a robos de información.
Un paseo por cualquiera de los principales centros comerciales de las grandes ciudades españolas tiene una parada común: la de comprobar por qué hacen cola cientos de personas, la mayoría muy jóvenes, frente a puestos en los que tan solo hay unos enigmáticos orbes cromados. Son los que están permitiendo que Worldcoin escanee su iris a cambio de una criptomoneda por valor de unas cuentas decenas de euros.
En su pico de hace tres meses llegó a tener 10.000 registros semanales. Hoy suman casi 400.000 usuarios verificados en España. Y con ese auge llegó también el de las preocupaciones crecientes sobre sus implicaciones para nuestra privacidad, denuncias ante la AEPD incluidas.
Así que hemos acudido a la política de privacidad y de tratamiento de datos de Worldcoin para saber qué aceptan exactamente sus usuarios.
De una imagen a un hash e incógnitas sobre el futuro
Cuando un usuario acepta que le escaneen el iris no firma un documento físico, pero sí da su consentimiento digital para que la empresa recopile la información biométrica de su iris. Worldcoin asegura que la imagen del iris se aloja en la memoria RAM de cada orbe, por lo que es descartada de inmediato en cuanto se convierte a un hash. Esto les permite crear un identificador único para cada persona a partir de la imagen del iris. Criptografía básica con un fundamento sólido.
Este enfoque, atendiendo al proceso que Worldcoin asegura seguir, evita que un atacante acceda a las imágenes de los iris ya registrados, pero queda la incógnita de qué ocurre si se hace con el control de los orbes sin que la empresa lo detecte y si eso le permitiría coleccionar los escaneos a partir de ese momento, incluyendo las imágenes de los iris.
En el caso de que ocurriese un robo de información a Worldcoin, lo que obtendrían los atacantes sería el hash, no una imagen del iris de cada usuario. Ese hash es una simple combinación de caracteres (por ejemplo, algo como __LKJmneERkYnV-9SddH7XMfsP-EXXK). Así es como el sistema del orbe, basado en el algoritmo de Daugman, traduce algo identificable, reconocible y atribuible a un humano —la imagen de su iris en detalle— a algo anonimizado. Worldcoin asegura que no es posible revertir la información y convertir el hash en el iris original.
No obstante, desconocemos lo que puede ocurrir a largo plazo y si llega una forma de comprobar, por ejemplo, si un hash se corresponde con el iris de una persona concreta. En ese caso sería imposible desvincular a esa persona de esa identidad.
Si alguien nos roba una contraseña o el número de nuestra tarjeta de crédito puede ocasionarnos un daño importante, pero son datos que podemos cambiar. Lo que no podemos cambiar es nuestro iris. ¿Podrían usarse estos datos biométricos para suplantar la identidad de una persona en cualquier sistema que utilice este método de autenticación? Es un riesgo que está ahí a largo plazo.
Otra forma de spoofing. En un momento dado nos parecería inverosímil que una persona lograse falsear el número de teléfono desde el que llama, pero se hizo posible para cualquiera con ciertos conocimientos. Y así tuvieron éxito estafas telefónicas que acabaron con los ahorros de una vida en bolsillo ajeno.
¿Quién puede asegurar que la información biométrica de nuestro iris no permite una usurpación de identidad dentro de unos años en caso de que un atacante logre acceder a la base de datos o al propio orbe que hace los escaneos?
Además, Worldcoin sí combina este hash con información personal del usuario. Concretamente, su número de teléfono móvil, algo que en un país como España va vinculado a la identidad de su titular. Y la empresa almacena estos datos combinados.
Esto lo hemos podido comprobar gracias a una de las personas que dejaron que Worldcoin escaneara su iris. Lo hizo en verano de 2023 y ha solicitado a la empresa la información que almacena sobre ella, una reclamación que tiene que atender en obligación del RGPD.
Este es el PDF que le facilitó Worldcoin, con los datos del usuario pixelados:
Por último, en su formulario de consentimiento de datos biométricos Worldcoin dice de forma explícita que la información que le damos puede ser compartida con terceros. Asegura que esos terceros la custodiarán de forma segura y prohiben que otras empresas lo usen para sus propios fines, además de garantizar que se manejará de una forma que encaje en su compromiso con nuestra privacidad.
Una buena voluntad acompañada de algunas medidas como garantías, pero que en última instancia añade potenciales vectores de ataque, ya que a la confianza que necesitamos depositar en Worldcoin para nuestra información biométrica se añade la que tenemos que depositar también en otras empresas que ni siquiera conocemos.
El listado de tipos de empresas con los que Worldcoin dice que puede compartir los datos incluye las de servicios en la nube, ciberseguridad, desarrolladores de software o bases de datos e infraestructuras, entre otros.
También merece la pena comentar que el hash creado a partir de nuestro iris no podrá ser eliminado una vez lo hayamos creado. Podremos darnos de baja de la aplicación, pero ese código se quedará ahí hasta que Worldcoin quiera.
Además, Worldcoin se blinda legalmente ante imprecisiones de su sistema y también ante robos de información. Por un lado admite que los orbes puedan dar falsos positivos y reconocer como usuarios registrados a quienes nunca han escaneado ahí su iris.
Por otro lado, explica que tanto los tokens como el uso del servicio podrían sufrir ataques y robos. En ese servicio es donde se encuentra WorldID, su mecanismo de verificación de identidad mediante el escaneo ocular.
Riesgos admitidos pero no asumidos
La empresa también deja claro en su texto de términos y condiciones que no habrá compensaciones ni reembolsos para los usuarios en caso de robo producido por un error o una debilidad del software.
Algunos reguladores de países concretos, como Francia, ya anunciaron investigaciones a Worldcoin. En España, la AEPD ha confirmado que ha recibido algunas denuncias relacionadas con el tratamiento de datos y están en fase de análisis.
Hay otros precedentes delicados. Según publicó el MIT Technology Review en 2022 tras una investigación, la empresa usó prácticas de marketing “engañosas” y recopilaron más datos de los que admitían. Comenzar a operar en países en desarrollo, donde muchos de sus habitantes tienen una especial urgencia de ingresos económicos, no ayudó a rebajar las suspicacias.
Uno de esos países fue Kenia, donde este servicio se hizo popular rápidamente… y donde algunos de los operadores de los orbes se aprovecharon de un exploit que les permitía crear varias identidades para la misma persona. Esto ocurrió antes de que el gobierno del país suspendiera todas sus operaciones.
Worldcoin ha construido el sistema de WorldID y del escaneo de iris de una forma que maximiza la seguridad y se adhiere al cumplimiento de las regulaciones sobre privacidad, pero no está exenta de riesgos que la propia empresa admite en sus textos legales y se blinda ante ellos desentendiéndose de las consecuencias, y será cada usuario quien valore si le compensa afrontar esos riesgos potenciales a cambio del pago obtenido.
Esos riesgos, al contrario que con la contraseña de un servicio web o un número de teléfono que en definitiva se puede cambiar, van aparejados a una prueba de identidad basada en una información biométrica que no podemos modificar ni descartar: nuestro iris.
Javier Lacort