El dominio del mundo digital está migrando de «los dueños de Internet» a los «dueños de los datos digitales», multimillonarios con empresas que gestionan volúmenes gigantescos de información, clasificada en forma precisa y bien segmentada. La recopilación de datos biométricos arrincona el ejercicio de derechos humanos fundamentales.
Por Alfredo Moreno
Un mes de diciembre caluroso e inflacionario, una multitud hace largas colas bajo un implacable sol; en distintos lugares de la ciudad de Buenos Aires, en el conurbano bonaerense y en algunas provincias argentinas, las personas transpiran para obtener una cantidad de criptomonedas a cambio de la venta de sus Iris.
En la Avenida Cabildo al 2000, del barrio de Belgrano, en Perú al 500 de San Telmo, en la calle España al 300 en Avellaneda, en Pinar de Rocha, Ramos Mejía, Laferrere, José C Paz, Glew, Florencio Varela y en varios clubes de Córdoba, Mendoza y Mar del Plata, entre otros lugares, custodios de sacos negros organizan a jóvenes, cartoneros, mujeres con hijos y muchos desocupados, en una ordenada fila de personas registradas para escanearles el iris por lo que pagan con criptomonedas en la plataforma Worldcoin.
«Te escanean la cara, digamos el ojo, con un “orbe” y ellos te regalan diez monedas de bitcoin. Son entre 37 y 38 dólares. Los cobré, los cambié, y también ando comprando y vendiendo bitcoins». Otra joven amplió: «Nos pidieron bajar la aplicación después de dar todos los datos. Después nos escanean la cara. Luego nos dan un código y ahí ya nos dan el bono, que sería de las monedas. De hecho, en la esquina hay un par de personas cambiando, y ya tenés el efectivo en mano».
«Acerqué mi ojo a una esfera plateada (el orbe) que en menos de diez segundos y sin emitir sonido escaneó mi iris. Inmediatamente recibí mi «World ID», que se refleja en un pasaporte virtual en la app, y empecé a cobrar. Al principio me acreditaron un bono de bienvenida, por diez worldcoins. Por cada uno de los cinco primeros conocidos que logre convencer de que se sumen, me darán otros cinco. Y semanalmente recibo alertas para que valide mi existencia con un clic, a cambio de la aparición en mi cuenta de más monedas virtuales».
El sistema sigue la lógica de estafas encadenadas; una vez que la esfera plateada escanea el iris, quien recibe el dinero es quien trajo a la persona y no la dueña del ojo escaneado en ese momento. La continuidad de la cadena de escaneos depende de esta lógica del engaño. Es decir, para cobrar primero hay que escanear tu iris y luego “iniciar” a alguien más, recién entonces la persona recibe los diez worldcoins.
La World App (nombre de la aplicación para el registro del iris) es del creador de ChatGPT, Sam Altman; quien postula estar construyendo un sistema económico más humano. El objetivo, según Altman, es generar una «renta básica universal» a partir del desarrollo Wordlcoin, diseñada para convertirse en la red financiera y de identidad digital más grande del mundo, de modo que todos seamos propietarios. Worldcoin va a proporcionar un acceso universal a la economía global independientemente de tu país u origen y establecer un lugar para que todos los humanos nos beneficiemos en la era de la inteligencia artificial (IA), postula la plataforma.
En Argentina existen decenas de orbs activos (lugares donde te escanean el iris) y como su número y ubicación varía, pueden ser localizados desde la World App. Wordlcoin por ahora tiene presencia en 35 países, seis continentes, un planeta.
El límite de almacenamiento de iris estará dado por las capacidades tecnológicas de la plataforma. Según se puede ver en el sitio de wordlcoin están en 2.900.000 iris registradas y el contador cambia en aumento cada tres segundos y el crecimiento no se detiene. ¿Para qué almacenar tantas imágenes de iris de humanos? ¿Dónde se almacenan? ¿Qué podrá hacer como esta base de datos global?
Lo destacable en primera instancia es que este dato del humano es probabilísticamente único. No hay dos iris iguales, y esto es una ventaja para usarlo como sistema de identificación. El reconocimiento de iris es un proceso biométrico en el que se identifican los patrones que lo hacen único y permite codificarlo en una representación matemática; es decir, una secuencia numérica única.
Los datos biométricos son los que se refieren a las características físicas o de comportamiento de una persona y ya se usan para identificarse desde tu móvil en la app de tu banco o para pagar por la cara en supermercados o transportes públicos. Incluyen rasgos faciales, la voz, las huellas dactilares, el ADN, la forma de caminar, de escribir, y ahora el iris del ojo.
Servicios con acceso mediante reconocimiento digital
Amazon implementó en algunos de sus puntos de ventas en Estados Unidos un sistema de pago usando solo la mano. El funcionamiento de Amazon One es muy sencillo. Para comenzar, la persona deberá asociar su tarjeta de crédito a su mano, para lo cual hay que introducir la mano en la terminal de escaneo y seguir las instrucciones, que pedirán mover la palma sobre diferentes puntos para que quede registrada. Podrá registrarse una o las dos palmas. Una vez terminado el registro, la persona podrá comenzar a pagar sosteniendo en el aire la palma de su mano sobre un dispositivo con sensor de lectura.
¿Qué hay de la privacidad? Este es sin duda un aspecto crítico, dado que se trata de ceder los datos de la palma de la mano u otros más sensibles. Amazon asegura que estos no se guardan en ningún terminal, sino que son almacenados de manera segura en la nube. Además, el usuario podrá eliminar sus datos biométricos en cualquier momento si decide dejar de utilizar el servicio.
El Ayuntamiento de Madrid, presentó un proyecto piloto para crear un sistema de transporte personalizado. El mismo, indaga en el potencial del reconocimiento facial como opción para eliminar el pago en metálico en los autobuses públicos, como ya han hecho un gran número de ciudades europeas. La iniciativa público – privada se gestó en Madrid in Motion, un hub de innovación en el que participa el Ayuntamiento de Madrid, la Empresa Municipal de Transporte (EMT) y empresas como Cepsa, Cabify, Repsol o Banco Santander. De la primera edición de Madrid in Motion salieron seis proyectos para introducir nuevas tecnologías en el transporte público y la movilidad urbana, uno de los cuales era el pago con reconocimiento facial impulsado por Mastercard y Saffe.
La instrumentación de un sistema de reconocimiento facial en un servicio público tiene el gran riesgo de promover «sistemas de control social». Además, la Agencia Española de Protección de Datos ha manifestado que el uso de sistemas biométricos (basados en el análisis y reconocimiento de rasgos físicos de las personas, como la huella dactilar) para identificar a socios o clientes abonados a un servicio «resulta desproporcionado», ya que «dicho servicio puede prestarse con otros medios menos intrusivos en los derechos y libertades de los clientes, tales como el uso de las tarjetas».
Los datos biométricos son más seguros que otro tipo de datos porque son únicos para cada persona, como el iris. Eso sí, esa es un arma de doble filo: si los datos son robados o suplantados quedarían inservibles porque no se pueden cancelar y crear uno nuevo como si nos roban la tarjeta de crédito. Si te roban tus huellas dactilares estas no se pueden cambiar, y además es difícil enterarte si te las han robado.
En países como Francia o Alemania, los gobiernos ofrecen resistencias a las acciones que desarrolla Worldcoin, con argumentos vinculados a los riesgos que podrían causar a la seguridad pública y a la violación de derechos relacionados con la protección de los datos personales. Las autoridades de Kenia, por su parte, han sido las primeras en intimar a la plataforma de Altman, allanando sus instalaciones en el país y suspendiendo el registro de nuevos usuarios. En la Argentina existe un proyecto de ley de protección de los datos personales que hasta la fecha no fue tratado en la Cámara de Diputados.
Ante la ausencia de regulaciones, Wordlcoin no está obligada a describir los fines para los cuales recolecta los datos y compartir públicamente aspectos tales como el plazo de conservación, y condiciones de seguridad y confidencialidad del producto. Tampoco se puede esperar que revele detalles sobre el mínimo de edad establecida como requisito para participar de la actividad e informar la ubicación de los servidores en los que se almacena la información recolectada.
El juez de la Suprema Corte de Justicia de Mendoza, Mario Adaro, alertó a los mendocinos que se realizaron el escaneo de Worldcoin que, si tienen problemas con la compañía de Altman, tendrán que presentar una denuncia en Islas Caimán, país donde está radicada.
«Me gustaría que los mendocinos que se hicieron escanear el iris sepan qué es lo que han firmado, al acceder a los términos y condiciones: si hay algún problema y no sos ciudadano europeo, se resuelve con leyes, ¿saben de dónde? De las Islas Caimán”, dijo Adaro, especialista en ciberseguridad de la Suprema Corte de Justicia.
¿Cómo podrían llegar a robarnos un dato identificativo tan personal?
La Oficina de Seguridad del Internauta (OSI) lo explica en una publicación en su blog: primero es necesario «tener acceso» a él. La dificultad varía según el dato biométrico. En el caso de la huella dactilar, nos pasamos el día toqueteando cosas, pero si se necesita la palma de la mano completa se requiere otro tipo de análisis. Nuestros rasgos faciales, por otro lado, serían incluso más difíciles de suplantar en directo (si vas a pagar en el autobús, por ejemplo). A pesar de ello, ya hay estudios preliminares que concluyen que un deepfake puede engañar a sistemas de reconocimiento facial, por lo que una identificación podría darse por buena aunque estuviese manipulada. La excepción es el iris.
En definitiva, los datos biométricos son más seguros que otro método de autentificación a la hora de hacer un pago, ya que robarlos o suplantarlos es mucho más difícil que acceder a una tarjeta de crédito. Aun así, hay que tener en cuenta dos factores importantes: si alguien se hace con ellos, nuestra seguridad estará mucho más comprometida porque no hay manera de sustituirlos o desvincularlos de nuestra identidad. Y segundo, supone confiar totalmente en que la empresa que usa tus datos biométricos solo los va a usar para el fin que te dicen, ya que supone darle acceso a otra intermediaria a una información muy sensible sobre una persona.
El iris es un dato biométrico de carácter personal recogido en el Reglamento Europeo de Protección de datos. Todos estos rasgos biométricos son datos de carácter personal y vienen recogidos en el Reglamento Europeo de Protección de datos (RGPD) y en la Ley orgánica de protección de datos y garantía de derechos digitales de España.
En el caso de los datos biométricos del iris, se trata de identificar los patrones en cada una de estas partes del ojo, a saber: el diafragma musculoso, opaco y contráctil, situado delante del cristalino del ojo y en cuyo centro está la pupila (la parte con color). Aunque el color en este reconocimiento biométrico no importa tanto, lo que se mira es la estructura, todas esas fibras que enmarcan la pupila como si fueran los rayos del sol.
Como es el procedimiento de reconocimiento de iris
El primer algoritmo de reconocimiento del iris se llamó Iris Code (código de iris) y su creador fue el físico de la Universidad de Cambridge John Daugman, y es el mismo sistema que utiliza ahora Worldcoin. Una vez que se captura la imagen del iris mediante cámaras de alta resolución e infrarrojos, se procesa para extraer patrones y otras características, como la posición de la pupila, el iris, los párpados y las pestañas.
Después, esta información se «codifica» y se crea el código de iris. Aquí interviene una función hash, una secuencia criptográfica usada para convertir un conjunto de datos en una línea aleatoria de caracteres. Lo que se hace es conseguir una representación matemática del iris, como si todas esas medidas y patrones se tradujeran en una expresión en números y letras.
Ese código matemático se almacena en una base de datos, eso es lo que se comparará con el escaneo del iris cuando, por ejemplo, una persona vaya a utilizarlo para identificarse o autenticarse en una aplicación. En el caso de Worldcoin, el código se contrasta con la base de datos para comparar si hay otro igual: si no lo hay, se genera un World ID (un identificador digital asociado a este rasgo genérico); sí lo hay y todo ha funcionado bien, es porque ese usuario ya se ha registrado. El iris es único para cada persona (uno para cada ojo) y a priori dura para toda la vida, pero esto también tiene riesgos.
Cada individuo tiene su propio iris (dos iris), y hasta los gemelos lo tienen diferente y sus características duran para toda la vida, salvo casos excepcionales como, por ejemplo, que se produzca un traumatismo o haya alguna enfermedad. Hay investigaciones centradas en cómo puede afectar al reconocimiento del iris el envejecimiento, el crecimiento y otros factores, pero sin resultados concluyentes.
La identificación biométrica se basa en probabilidades. En el caso del reconocimiento por iris, habrá un determinado porcentaje de correspondencia con el individuo. Es decir, aunque sea pequeña, hay posibilidades de fallar y dar por buena una sustitución o rechazar a la persona correcta.
Detrás del aparente altruismo de Altman, está el interés en gestionar la creación de un nuevo sistema financiero basado la verificación humana del acceso mediante la constatación del ojo humano que quiere acceder. El ingreso se autoriza mediante una lectura del iris y la búsqueda del hash en la base de datos de códigos producidos a partir de registros digitales del Iris.
Las corporaciones necesitan datos porque en la sociedad del conocimiento los datos son el nuevo petróleo que materializa el dinero. El escaneo del iris permite hace lo que se denomina proof of humanity; es decir, comprobar que una persona es, efectivamente, el humano que dice ser y no un dispositivo de IA o un robot que genera códigos aleatorios para acceder.
La enorme concentración servicios digitales en corporaciones deja a los ciudadanos en una soledad que solamente puede ser protegida por Estado fuertes que apliquen leyes que cuiden los datos personales de la población. No hay más tiempo de espera es ahora porque en muy poco tiempo no seremos soberanos sobre nosotros mismos.
Para asegurar la privacidad, los Estados deben proponer descentralizar los sistemas de digitalización y de almacenamiento de datos. La guarda de los datos debe ser local; esto es, en territorios nacionales con centro de datos de empresas cuyo territorio jurídico y fiscal sea en el país donde desarrollan sus actividades. Worldcoin registra iris en América Latina y África, en regiones en donde hay más necesidades económicas y menos barreras legislativas de protección de datos personales.
Si estos datos son utilizados como deepfake o robados, las consecuencias podrían ser graves como que una persona podría quedar vulnerable a formas de identificación falsa o mal uso de sus datos biométricos, sin tener ninguna posibilidad de modificar los datos biométricos y sus características físicas para arreglarlo. Esto podría llevar a violaciones de seguridad, robo de identidad, o extorsión. También, la captura masiva y global de este tipo de datos genera preocupaciones sobre la vigilancia y el seguimiento indebido, ya que estos datos constituyen virtualmente una forma infalible de identificación.