Son evidentes las potencialidades de la IA generativa, especialmente con el auge de ChatGPT, liderado por OpenAI y su CEO, Sam Altman. Sin embargo, también surgen problemas para el creador del famoso chatbot. En las últimas semanas, países como España y Portugal han prohibido su proyecto “Worldcoin”, el cual escanea el iris a cambio de un pago en criptomonedas.
Worldcoin, fundado en 2019, fue ideado para ayudar a construir una solución a la distinción de los humanos de la IA, con el objetivo de respaldar “procesos democráticos a nivel mundial” y “mejorar significativamente las oportunidades económicas”, según reporta TechCrunch.
Actualmente se encuentra en varios países a través de su dispositivo llamado ‘Orb’, el cual se encarga de escanear el iris de los usuarios. Esto ha provocado largas colas en algunas ciudades del mundo. No obstante, también ha generado controversia y prohibiciones en algunos países debido a las preocupaciones sobre la privacidad y la protección de datos biométricos. España, Portugal, Kenia, India y Francia son algunos de ellos.
¿Por qué hay inquietud respecto a Worldcoin y a la colecta del iris? Conversamos con Fabio Assolini, director del equipo de Investigación y Análisis para América Latina en Kaspersky.
Identificación biométrica
El iris forma parte de la identificación biométrica, que se fundamenta en datos únicos e irrepetibles de cada individuo, como las huellas dactilares de la mano y las características faciales.
“Muchas empresas de tecnología vieron en esta unicidad de nuestros datos biométricos una forma de crear la autenticación perfecta”, señala Assolini a El Comercio.
El experto explica que se busca el método de autenticación ideal para garantizar que la persona que intenta acceder a un servicio sea realmente quien dice ser. Mientras que, las contraseñas tradicionales han demostrado ser vulnerables al robo y la captura, lo que plantea riesgos significativos para la seguridad.
Aunque inicialmente la identificación biométrica se percibía como una forma infalible de autenticación, se han evidenciado preocupaciones asociadas con este método.
MIRA: Delincuentes le dan la vuelta a los AirTags: alertan el uso del dispositivo para el robo de automóviles
Los riesgos de ceder tu identificación biométrica
“Hay muchos riesgos, no solo en cuanto a la recolección del iris, sino también en relación con cualquier otro dato biométrico. ¿Por qué? ¿Cuál es la diferencia entre una contraseña y un dato biométrico? El dato biométrico no se puede cambiar”, responde Assolini.
Aclara que una persona no puede alterar naturalmente el color de sus ojos ni la forma de su iris. Tampoco puede cambiar el color ni las huellas dactilares de sus dedos. En cambio, si alguien roba o compromete la contraseña de tu Facebook, por ejemplo, sí puedes cambiarla. Sin embargo, con un dato biométrico, no existe esa opción.
En el caso que los datos biométricos caigan en las manos equivocadas, como en los cibercriminales, el peligro es inigualable ya que podrán acceder a toda la vida digital de un usuario. “Ya ha habido numerosos experimentos y ataques que han demostrado la posibilidad de capturar datos biométricos y utilizarlos en estafas y ciberataques”, alerta Fabio.
Un claro ejemplo de ello, es el reciente descubrimiento del troyano bancario llamado Gigabud que afecta a los iPhone y celulares Android. Fue hallado en Asia, pero ya llegó al Perú.
“Tiene la capacidad de capturar datos biométricos del teléfono, especialmente del sensor de huellas dactilares. Utilizamos nuestro teléfono y la huella dactilar para autenticarnos en aplicaciones bancarias, por ejemplo”, apunta el experto en ciberseguridad. “Ahora, imaginemos con la iris o con la cara que ya se usa para muchas cosas”.
Por lo tanto, compartir tus datos biométricos te expone al riesgo de ser blanco de los cibercriminales y, lo más preocupante, es que no hay opción para modificar esa información, ya que son inherentemente inmutables.
El especialista apunta que este riesgo nace desde la empresa o entidad gubernamental encargada de almacenar los datos.
“¿Ellos van a cuidarlo bien, protegiéndolo de manera que no esté fácilmente disponible para una banda criminal? La experiencia moderna nos indica lo contrario: las empresas, incluidas las entidades gubernamentales, no suelen proteger adecuadamente nuestros datos, ya sean contraseñas o datos biométricos”, sostiene.
Adentrándonos un poco más desde la perspectiva de la ciberseguridad, Fabio menciona que con los datos biométricos de alguien, una banda criminal puede cometer fraudes y estafas, accediendo a servicios que actualmente utilizan la autenticación biométrica. Y esta situación se agrava aún más cuando se añade el factor de la inteligencia artificial.
“Hoy en día es bastante fácil obtener un video de alguien que esté en YouTube, por ejemplo. Con esta pequeña muestra de video, se pueden capturar sus rasgos biométricos y utilizar la información para engañar sistemas de reconocimiento facial. Y esta burla se da usando herramientas generativas de inteligencia artificial”.
Respecto a Worldcoin, el experto de ciberseguridad aconseja que “es importante que las personas reflexionen antes de compartirlo (el iris). Personalmente, no lo haría de inmediato. Es prudente esperar para ver (...) los objetivos de esta empresa”
Cuestionar antes de permitir el escaneo del iris
En el caso concreto de Worldcoin, el vocero de Kaspersky señala que se trata de una “propuesta atractiva”, ya que la empresa ofrece su propia criptomoneda, la cual tiene una valoración alta. Pero, “la gente debe preguntarse: ¿por qué están ofreciendo dinero por mis datos personales? ¿Quién los está comprando? La realidad es que al proporcionar nuestros datos, los estamos vendiendo”.
Bajo la opinión del especialista, la empresa afirma que quiere crear una base de datos global en la blockchain con la finalidad de crear un sistema de autenticación global. Pero ello representa un problema. “¿Quién garantiza que estos datos estarán protegidos en un caso de un ciberataque?”, advierte.
Otro de los cuestionamientos que se le hace a Worldcoin en Europa tiene que ver con el control de los datos. Según la ley europea, las personas tienen el derecho de corregir, modificar o eliminar su información. No obstante, el sistema usado por la empresa está diseñado para retenerlo de forma permanente. Asimismo, como informa EL ESPAÑOL-Omicrono, el regulador de datos de Portugal sostiene que quienes manejan los dispositivos Orb en los centros comerciales no piden ninguna identificación para evitar que los menores usen esta tecnología o las criptomonedas sin permiso de sus padres.
Por su lado, la Agencia Española de Protección de Datos (AEPD) se está cuestionando si el consentimiento otorgado por aquellos que vendieron su iris fue adecuado. Es decir, si tenían suficiente información para tomar esa decisión, asegura El País.
MIRA: Robótica doméstica, la próxima gran apuesta de Apple tras el fracaso en la industria automotriz
¿Cómo aborda América Latina la protección de datos?
Worldcoin está presente en Chile, Argentina, México, pero en Perú y demás países de habla hispana todavía no aterriza, por lo que resulta importante preguntar, ¿las autoridades están listas?
“Los latinoamericanos, por naturaleza somos early adopters. Es decir, aceptamos muy bien las nuevas tecnologías”, afirma Assolini. Además, describe que el latino tiende a ser más abierto, mientras que el europeo suele cuestionarse qué se hará con sus datos y tiene una mayor preocupación por la privacidad.
“Es común encontrar personas que comparten detalles muy personales en redes sociales, como su dirección, dónde estudian sus hijos, dónde trabajan y su número de teléfono”.
A esto se le suma la poca valoración de la privacidad por parte de las empresas. Según el vocero de Kaspersky, con frecuencia en Latinoamérica se registran fugas de datos sin que la empresa notifique a los afectados. Incluso, niegan su responsabilidad en estos incidentes, a pesar que las pruebas indiquen lo contrario.
“Muchos países han aprobado leyes de protección de datos, lo cual es muy positivo y refleja una inspiración en la ley europea, que considero la más avanzada en el ámbito de la protección de datos a nivel mundial”, sostiene Assolini. Sin embargo, esclarece que aún falta establecer sanciones y multas para quienes no las cumplan.
“¿Dónde están las investigaciones de las autoridades encargadas de proteger los datos para responsabilizar a las empresas involucradas en fugas de datos? Es necesario que se implementen medidas de penalización para hacer cumplir estas leyes”, enfatiza.
En el caso peruano, rige la Ley Nº 29733, también conocida como la Ley de Protección de Datos Personales y la entidad encargada de velar por su cumplimiento es la Autoridad Nacional de Protección de Datos Personales (ANPDP).
En relación con Worldcoin, la legislación peruana la evaluaría en los siguientes aspectos:
- La Ley requiere que el tratamiento de datos se haga con consentimiento informado. En el caso de Worldcoin, se cuestionaría si los usuarios están bien informados sobre el uso de sus datos biométricos y si otorgan su consentimiento de forma consciente y voluntaria.
- La ley también requiere medidas de seguridad para proteger los datos personales contra pérdidas y accesos no autorizados. Se preguntaría a Worldcoin si asegura la confidencialidad y seguridad de los datos biométricos, dada su sensibilidad y el riesgo de uso indebido.
- La ley reconoce derechos a los titulares de datos, incluyendo acceso, rectificación, cancelación y oposición (derechos ARCO). Esto garantiza el poder de control de los usuarios sobre sus datos biométricos.