Escanear el iris a cambio de criptomonedas: los jóvenes atiborran las colas mientras los expertos piden andarse con ojo
Worldcoin recopila este dato biométrico de miles de personas, una práctica que plantea dudas sobre cuál es su propósito, la protección de datos y posibles riesgos de ciberseguridad. La empresa recalca que cumple con la legislación.
Miércoles, 11:45 de la mañana. Interior de un conocido centro comercial de Madrid capital. Unas 15 personas hacen cola, pero no ante ninguna tienda de moda, sino en un stand de los pasillos para que les hagan una foto de su iris a través de una misteriosa bola plateada. Todas ellas han tenido que solicitar cita para venir y evitar las largas colas que, según algunos de los asistentes, llegaban a acumular a un centenar de personas, especialmente los fines de semana.
Dos empleados se encargan de controlar la cola e ir preguntando la hora de su cita a los presentes, mientras que otros tres trabajadores de Tools for Humanity —empresa de Sam Altman, director ejecutivo de OpenAI, responsable de estos populares lectores de iris a cambio de criptomonedas que se enmarca en el proyecto Worldcoin— van haciendo las fotos. Esta casi distópica escena se repite día tras día en cada vez más centros comerciales de toda España. De hecho, 400.000 españoles ya han escaneado su iris y la app que lo gestiona, World App, está entre las 10 más descargadas de España en Play Store.
El 20 de febrero la Agencia Española de Protección de Datos (AEPD) informó de que está analizando cuatro denuncias, procedentes de la Comunidad de Madrid y de Cataluña, relacionadas con el tratamiento de datos por parte de esta empresa. "Y hay varios países, como Francia y Alemania, que ya están analizando el caso", apunta Eduard Blasi, abogado especialista en internet, profesor colaborador de Derecho y Ciencia Política de la UOC y cofundador de TechAndLaw. Para él, esta práctica "presenta dudas razonables, sobre todo teniendo en cuenta que estamos hablando de datos sensibles, que son los biométricos".
"Luego es muy importante saber la forma y la finalidad para la que se van a tratar estos datos: ¿qué va a hacer Worldcoin? ¿Qué hará con esa información? ¿Va a tener finalidades comerciales? ¿Va a haber varias finalidades?", se pregunta Blasi.
Según la información facilitada por Worldcoin a El HuffPost, su empresa "cumple plenamente todas las leyes y normativas que rigen la recopilación y transferencia de datos biométricos, incluido el Reglamento General de Protección de Datos de Europa". En la Unión Europea, la compañía indica que está bajo la supervisión de la Oficina Estatal de Baviera para la Supervisión de la Protección de Datos.
Tal y como detalla Ricardo Macieira, Regional Manager para Europa en Tools for Humanity a El HuffPost, actualmente están trabajando para explicar cómo funciona el proyecto y recalcar que cumplen la regulación. "Lo que hacemos es que al entrar a un país nuevo como España es hablar con las entidades que operan aquí, es una cuestión de educación. La tecnología es innovadora y el proyecto es innovador y es importante mantener el contacto", detalla.
"Para nosotros es muy importante clarificar que no estamos comprando datos biométricos, que es una información que se ha compartido mucho y que es muy errada", enfatiza Macieira. "Una persona se puede apuntar a esta red de forma completamente anónima y una vez que esté puede decidir cuál es el destino del proyecto", añade y recalca que no hace falta ningún dato personal para registrarse.
Señala además que el objetivo por el que están recopilando iris es "proporcionar una red financiera y de identidad global, propiedad de la mayoría de la humanidad". Argumentan que su propósito es "mejorar la confianza en el entorno online y el acceso a la economía global".
Según Macieira, los datos biométricos del iris son la opción más factible para identificar a un ser humano y distinguirlo de un bot o de una máquina. Incluso descartaron el uso de la huella dactilar por las modificaciones que puede sufrir —por ejemplo, con heridas o quemaduras— y los falsos positivos que pueden darse.
"Además, queríamos hacerlo de forma privada a través del Orb, que mire si eres humano, si no eres un gato, un animal con ojo, un cartel con una cara de una persona... Recoge imágenes del iris y de la cara de la persona. Con ellas va a generar un código, que es una representación numérica de estas imágenes", explica Macieira, quien recuerda que a raíz de ese código no se puede generar una imagen del iris.
"Worldcoin no pretende saber quién eres, sólo que eres un ser humano único, una distinción cada vez más importante dado el avance de la IA (inteligencia artificial)", añaden. Apuntan que los robots y la IA "ya son capaces de generar captchas y suplantar la identidad de humanos en entornos en línea": "Nos dimos cuenta de que había un problema y creamos una oportunidad". En la cola, para muchos el reclamo no es tanto esa tecnología, sino la compensación en criptomonedas.
"No creo que pase nada"
En la cola del centro comercial está José (nombre ficticio), de 30 años, que asegura a El HuffPost que ha ido por la recomendación de un amigo. Aunque en un primer momento era reticente a este escáner del iris, asegura que se informó "buscando en internet". "No creo que pase nada. Al final es una foto del iris, tampoco creo que sea un timo o algo peligroso. Si no, estarían perdiendo pasta", detalla.
"Me dijeron que si lo canjeas en el momento te dan 75 y si esperas un año consigues hasta 100", dice sobre la cantidad de dinero que espera ganar. Tanto él como otras dos personas de la cola no tienen claro para qué se usará su iris ni qué consentimiento informado aceptan al hacerse la foto y abrirse una cuenta en Worldcoin.
Al preguntar a los propios empleados del stand, responden que tienen la orden de no comunicar nada a la prensa ni dar ni siquiera la información que ofrecen a los usuarios a la hora de hacerse la foto. Cuentan con un folleto en el que explican el tratamiento de los datos y en qué consiste este escáner, llamado Orb, pero que "no se puede fotografiar ni tomar notas de él".
Precisamente ahí radicaría el posible problema, tal y como explicaba a EFE Borja Adsuara, abogado experto en derecho digital. "Lo que dice el Reglamento General de Protección de Datos y el derecho a la intimidad es que tiene que haber un consentimiento libre e informado en la cesión de los datos, y el mejor ejemplo de que en este caso no se cumplen es que, en los testimonios que conocemos, los usuarios no saben para qué ceden sus datos", señalaba.
El ubicar el Orb en centros comerciales es, según explica el portavoz regional de Tools for Humanity, una decisión de acercarlo al público: "Es un proyecto que está en las calles hablando con las personas y acercándoles las nuevas tecnologías, elegimos centros comerciales porque es donde están y es de fácil acceso".
Entre los citados del día está otro joven, de 25 años, que ya se escaneó el iris hace un año, antes de que se empezara a hablar tanto de esto. "He visto que ahora lo están haciendo en Brasil o en Portugal, hay más boom", explica. Ha acudido de nuevo al stand después de que se le bloquease su cuenta de acceso que tenía con iCloud y tener que instalarla de nuevo en Android. En esa cuenta asegura que tiene ya cerca de 100 euros, ya que la criptomoneda que le dieron al escanearse el iris se ha revalorizado. Sobre el conocimiento del tratamiento de datos, asegura que tampoco conoce grandes detalles, pero tampoco le resultó "peligroso" ni que le fuera a producir un "daño físico".
No solo jóvenes se agolpan en esta cola. María, de 61 años, también lo hizo hace dos meses y ahora acude porque no consigue sacar el dinero que obtuvo con la criptomoneda. "Me lo envió una amiga, me lo hice pero ahora vengo a que me expliquen cómo sacar el dinero", comienza diciendo. Para conseguir retirarlo tiene que hacerse una cuenta en una determinada entidad bancaria y verificar su identidad mediante el escaneo de su DNI y un vídeo con su cámara selfie en el que, mediante movimientos de cabeza, verifica su identidad.
Tras hacerlo, consigue extraer el saldo que tenía en Worldcoin a la cuenta corriente creada. Ella admite que hay "mucho secretismo" en el proceso. "No les conviene tampoco dar mucha información", señala, pero admite que no le preocupa. "Yo tengo 61 años, me da más igual, pero la gente joven que hay en la cola igual sí tendría que tener más cuidado", se justifica. "No sé muy bien qué pueden hacer con el iris, no creo que tampoco sea nada excesivamente grave", señala. "Creo que pasó como con el Bitcoin, que te lo vendían como que era una moneda internacional y que podías ganar dinero con ella", recuerda, algo a lo que también accedió hace unos años.
Macieira entiende el incentivo económico que supone la participación en el proyecto, pero desde Worldcoin ponen el foco en una "participación colectiva en el proyecto" y en que las personas que formen parte pueden decidir "hacia dónde va la iniciativa". "Al final, las personas tienen el poder de tomar sus decisiones y eso es lo que queremos hacer. Tienen el valor de que si están apuntando puedes formar parte del proyecto. Eso nunca ha pasado en el pasado", destaca.
La importancia de los datos biométricos
En los últimos días, algunos expertos han llamado la atención acerca de potenciales riesgos de ceder el iris y que esos datos puedan llegar a manos inadecuadas, como un tercero no autorizado o incluso ciberdelincuentes que puedan suplantar la identidad.
¿Sería comparable a ceder nuestra huella dactilar? "Cuando damos el iris, depende de cómo se procese la imagen, podemos dar mucha más información", advierte Eduard Blasi, quien apostilla que "no todo dato biométrico es igual". "La huella dactilar se ha visto que es un dato biométrico unívoco, pero puede tener algunas variaciones que hagan que eso conduzca a falsos positivos a la hora de identificar a un usuario. El iris es un dato que prácticamente no cambia durante toda nuestra vida y lo hace de los más unívocos", resalta.
Según este abogado especialista en internet, "el iris es un dato biométrico que ofrece más información, en función del procesado de imagen, incluso datos de salud". "Es decir, a través de iris, en función de cómo se recogen estos datos, podría saberse si una persona tiene o no un buen estado de salud", recalca.
Esta es una posibilidad que descartan totalmente desde Worldcoin, donde insisten en que ni venden ni comercializan los datos de los usuarios. "El Orb procesa esas imágenes del iris y del rostro y se eliminan inmediatamente, genera el código y lo elimina. Por eso borramos por defecto, porque es muy sensible y lo único que queremos probar es que son humanos", explica Macieira.
Blasi, preguntado acerca de un hipotético escenario futuro en el que quizá esta información del iris pueda suponer que un seguro médico deje fuera o no a un usuario, puntualiza que ahí la información tendría que traspasarse o facilitarse a terceras empresas: "Yo creo que si se acaba justificando o viendo que Worldcoin cumple con la normativa, todo este escenario que estamos barajando realmente no existirá. Lo que sí es cierto es que cuando se facilita cierta información, hay muchas veces que hay cierta pérdida de control y no sabemos dónde acabará". "Deberían pedirnos autorización para tratar el dato para otras finalidades", incide.
"Muchas veces, el usuario tiene que aplicar un principio de cautela. Cuando no tiene toda la información o el contexto, es decir, es algo muy novedoso, muy atractivo, hay que mirarlo con un prisma de cautela", aconseja el abogado.
La protección de los datos ahora y en el futuro
Por su parte, sobre el tratamiento de los datos que maneja, Worldcoin asevera que "información como el nombre, correo electrónico, teléfono no son necesarios para descargar y utilizar World App, para verificar y utilizar World ID o para participar en la red Worldcoin". Precisa además que "el código iris está diseñado para demostrar la unicidad, no información sobre una persona o su identidad".
En su información, recogen que es requisito ser mayor de 18 años, algo que en España hacen "mediante comprobación de su fecha de nacimiento en el DNI".
Si en el futuro alguna persona se arrepintiera de haberse escaneado el iris, Blasi recuerda que "a esta empresa, en tanto trata datos de europeos, aplicaría el principio de extraterritorialidad de los datos: a pesar de que los servidores se encontraran fuera del espacio de la Unión Europea, se debería poder ejercitar el derecho de supresión u oposición al tratamiento". Worldcoin asegura que el usuario siempre tiene "pleno control" sobre sus datos y si se quiere "dejar de formar parte de la red", se pueden eliminar los datos "en tan solo dos pasos" desde el menú de privacidad de World App.
Si alguien quiere volver a registrarse en un futuro, el Orb reconocerá su código previo. "La única cosa que no se elimina es el código de iris, por lo que si una persona acude de nuevo al Orb después de haber borrado sus datos en la app, se detecta con el código alfanumérico generado cuando acudió antes", recuerda Macieira.
De cara a un futuro, desde Worldcoin desmienten cualquier comercio con los datos personales y subrayan que a lo que aspiran es a sustituir los captcha de verificación de identidad usados en webs y apps. De hecho, ya han iniciado su desarrollo con plataformas como Reddit, Discord, plataformas de gaming o Telegram, donde se pueden crear grupos "sólo de humanos únicos verificados, sin menospreciar proyectos locales como Tech Barcelona o pymes".
Ante una realidad que parece sacada en ocasiones de un capítulo de Black Mirror, Blasi recomienda cautela, especialmente para los jóvenes. Su mensaje para ellos es claro: "Que realmente lo pensaran dos veces y que tuvieran en cuenta que ciertos actos que se toman en un presente pueden tener consecuencias en un futuro".