Más de 400.000 españoles caen en la tentación de la peligrosa práctica del escaneo de iris a cambio de criptos

"Se nos está quedando un mundo bastante distópico", comenta Francisco José García-Ull, experto en ciberseguridad. Sam Altman, CEO de OpenAI y creador de Chat GPT, ha creado un nuevo proyecto, el primero cripto, para construir la mayor red financiera y de identidad digital: Worldcoin. En diferentes centros comerciales de España se han formado colas para poder acceder a estos puntos donde se escanea el iris a través del 'orb', una bola que recoge los datos biométricos del receptor. Una acción que hace que los usuarios se vean con 60 euros o más en su cuenta al realizarla, pero que también ha levantado polémica respecto a la ciberseguridad y las políticas de privacidad.

En toda España ya son más de 400.000 personas, según EFE, las que han escaneado su iris a cambio de las monedas digitales, cuyo valor puede cambiar cada día. En noviembre se batió un récord nacional con 10.000 verificaciones por semana. Detrás de este éxito se esconden las cuatro denuncias que ha recibido la Agencia Española de Protección de Datos procedentes de Madrid y Cataluña, las cuales aún se encuentran en fase de análisis.

Con la ley de Inteligencia Artificial europea aprobada, pero aún en desarrollo y prevista para entrar en vigor en 2026, Worldcoin ha podido dar pie a su proyecto sin tener que pasar por los parámetros indicados en la legislación. Dentro de esta futura ley, el uso de datos biométricos está catalogado con un nivel de riesgo alto, "por lo tanto, requieren una valoración rigurosa, transparente y medidas para asegurar la privacidad de los datos", explica a Vozpópuli Francisco José García-Ull, experto en ciberseguridad y profesor de Privacidad de Datos y Comunicación en la Universidad Europea de Valencia.

La ciberseguridad y protección de datos en el escaneo del iris de Worldcoin

Si por algo ha sido señalado Worldcoin ha sido por la incertidumbre respecto a lo que ocurre con los datos biométricos, las imágenes del iris y la diferente información que los usuarios de este ID digital comparten con la plataforma. Por su parte, desde la compañía han asegurado que estas fotografías son eliminadas una vez el iris es escaneado y convertido en hash (función o método para generar claves o llaves que representen de manera casi unívoca a un documento, registro, archivo, etc). La información biométrica queda encriptada y almacenada de forma anónima.

By default, iris images are promptly deleted by the Orb after the creation of the iris code—all without ever leaving the device.

— Worldcoin (@worldcoin) August 7, 2023

El acceso a este ID digital es para los mayores de 18 años y desde la compañía han asegurado que verifican la edad de los usuarios. Sin embargo, según han compartido otros medios y ha podido comprobar Vozpópuli, al menos mayoritariamente, no comprueban los documentos de identidad que corroboren esa mayoría de edad y más de un menor se ha registrado su iris sin ningún problema.

En una comparecencia este viernes 23 de febrero con otros periodistas, Ricardo Macieira, director para Europa de la empresa Tools for Humanity (TFH) -colaboradora en desarrollar la tecnología utilizada en este proyecto-, ha declarado que el objetivo es diseñar una tecnología capaz de distinguir entre un "humano único" y un "bot" y que Worldcoin "no quiere saber quién es cada usuario". En esta comparecencia Macieira ha querido dejar bien claro que los datos biométricos no se asocian a documentos de identidad, ni correos electrónicos o números de teléfono.

El director para Europa de TFH ha comentado además que es el propio usuario el que permite el consentimiento para el acceso a esta información personal. De la misma manera, ha aclarado que estos datos son opcionales y no es necesario introducirlos para realizar el escaneo del iris o recibir la recompensa económica por ello. Macieira ha añadido que el usuario puede borrar los datos, si así lo desea, a través de pasos "muy sencillos" en la app.

En cuanto al dinero que reciben los usuarios registrados, Maceira ha querido reiterar en múltiples ocasiones que Worldcoin no paga a los usuarios por hacer el escaneo del iris. Esta recompensa económica consiste en un "token": una criptomoneda creada por ellos que pueden convertir en dinero o almacenarla. En este universo del dinero digital, las transacciones quedan registradas, pero de forma anónima. "En un mercado, por ejemplo, de iris, si esta empresa, Worldcoin, lo vende a una tercera, se podría ver cómo va aumentando o bajando el precio. Pero no sabríamos quién hace la transacción", explica Francisco José.

"Nuestros datos los vendemos todos los días por Internet", comenta García-Ull a Vozpópuli. "Aquí el cambio es que se trata de información biométrica y por eso es mucho más llamativo y los problemas relativos a la seguridad escalan porque no hablamos de que puedan acceder a tu número de teléfono o correo electrónico para mandarte spam", añade el experto en ciberseguridad.

La Generalitat catalana ha querido advertir del escaneo del iris. "La información de reconocimiento del iris es un dato personal especialmente sensible y su mal uso puede provocar numerosos perjuicios", avisan desde la Autoridad Catalana de Protección de Datos. Asimismo, han comunicado que "este tipo de datos están especialmente protegidos por la normativa de protección de datos" y "su tratamiento conlleva un riesgo elevado de vulneración de los derechos y libertades de las personas".

Desde la Generalitat han dejado claro que "con el consentimiento no es suficiente". Quién trata los datos y para qué, el contacto del delegado de Protección de Datos y base jurídica o si se ceden a terceros, especialmente si es fuera de la Unión Europea, son algunos de los aspectos que debe compartir la organización que recoge datos biométricos, en este caso, Worldcoin.

La Agencia Española de Protección de Datos y la Generalitat de Cataluña no son los únicos organismos en el mundo que tienen un ojo puesto sobre Worldcoin y su escaneo de iris. En Alemania, las autoridades de supervisión financiera BaFin también están investigando las actividades de la compañía, Francia también está analizando la situación y en Kenia los han prohibido por no quedar claro si vulneran la legislación.

Pese a que Ricardo Macieira ha comentado que no se ceden datos a terceros, en las condiciones de privacidad de Worldcoin expresan que tienen limitaciones en su responsabilidad por fallos de seguridad. "Esto supone una preocupación en la relación de los datos de los usuarios y condena del sistema", comenta García-Ull. "Se eximen por fallos en su sistema", añade.

El experto aclara que "cualquier sistema es vulnerable y ellos lo dicen abiertamente en su política de protección de datos". Asimismo, explica que "una máxima de la ciberseguridad es que no te preguntes si tu sistema será vulnerado, sino cuándo lo van a vulnerar".

El mal de los datos biométricos puede suponer que "te suplanten la identidad", pero la polémica aquí va más allá. Según explica García-Ull, a través del iris se pueden saber ciertas predisposición médicas, "por lo tanto son datos que van más allá de identificar a una persona". "Uno puede averiguar ciertas tipologías genéticas a través del iris, según he leído", comenta Francisco José García-Ull.