Aunque no lo parezca, tu iris es uno de tus datos más sensibles. Cualquier que tenga acceso a su escaneo, como la mediática compañía Worldcoin, podría elaborar un perfil detallado de ti, en caso de tener otra información personal relacionada –algo que no ocurre en este caso–.

Dicho esto, los riesgos son más que evidentes, no solo en lo que respecta a la protección de los datos personales, sino también en lo que tiene que ver con los peligros potenciales derivados en ciberseguridad.

"Los tokens se basan en la tecnología blockchain, que es inherentemente resistente a la piratería", explica a Computer Hoy Marc Rivero, responsable de Seguridad en Kaspersky, quien también lanza una advertencia: "Ningún sistema es seguro y siempre existe la posibilidad de que los tokens sean vulnerables a ataques maliciosos. Estos ataques podrían tener como objetivo robar los tokens, falsificarlos o incluso destruirlos". 

Con esta y otras preocupaciones en mente, el pasado 6 de marzo, la Agencia Española de Protección de Datos (AEPD) ordenó a Tools for Humanity –firma detrás de Worldcoin– el cese inmediato del escaneo de iris en el país.

Al menos durante un período de 3 meses, hasta el mes de junio, algo que ha avalado la Audiencia Nacional, al rechazar la medida cautelar solicitada por Worldcoin para continuar con su actividad. 

Según detalla a Computer Hoy en una entrevista Santiago Vázquez-Graña, responsable de Protección de Datos de Capgemini, "nunca antes se había dictado una resolución semejante por dicho organismo".

A la espera de que este caso único se resuelva, este es el motivo por el que deberías pensar muy bien en vender tu iris y, por supuesto, en quién tendrá en su poder tus datos personales más sensibles.

El peligro de asociar tu iris a otros datos personales

Piensa en un día normal y corriente navegando por Internet. Imagina que necesitas registrarte en un nuevo servicio digital y que, tras rellenar el formulario de datos personales, te aparece una extensa declaración de privacidad con términos del servicio a los que no atenderás más de 20 segundos.

Aceptas los términos y condiciones casi sin pensarlo y, al cabo de una semana, comienzas a recibir ofertas comerciales del servicio en cuestión a tu correo electrónico asociado, a pesar de que nunca aceptaste que te enviaran dichas promociones.

Esta solo es una de las tantas malas prácticas que podrían darse al tratarse de tus datos personales, algo que se agrava con identificadores únicos como los rasgos faciales, la huella dactilar o el iris, en el caso de Worldcoin.

554 millones de cookies españolas ya están en la Dark Web, un caramelo para los ciberdelincuentes

"Es importante señalar que Worldcoin no pretende saber quién es alguien, sino comprender si es un ser humano único", explica a Computer Hoy un portavoz de Tools for Humanity.

En el Reglamento Europeo de Protección de Datos (RGPD), estos son denominados como "datos sensibles", según recuerda Vázquez-Graña, y su tratamiento está "expresamente prohibido salvo que concurra alguna de las circunstancias previstas en el artículo 9 del RGPD".

Es decir, mayormente que exista el "consentimiento explícito" para el tratamiento de dichos datos personales. En el caso de Worldcoin, algo que ocurrió, aunque con investigaciones en curso sobre el posible tratamiento de datos biométricos de menores de edad.

"No influiría, por lo tanto, el hecho de que el consentimiento haya sido obtenido a cambio de un pago al interesado (en el caso de Worldcoin, a través de criptomonedas), siempre y cuando se cumpliesen todos los requisitos exigidos en la normativa para su validez", recuerda el responsable de Capgemini.

Además, según concreta Worldcoin, el escaneo es "completamente opcional" y no requiere compartir otros datos como nombre, sexo o número de teléfono, entre otros. 

"Solo si un individuo participa en la red como un humano verificado por el orbe tendrá que pasar por el proceso de verificación de humanidad", agrega el portavoz. "Como parte de este proceso, los individuos pueden elegir y controlar sus datos, ya que viven en su dispositivo y no necesitan compartirlos con Worldcoin". 

¿Existen riesgos en ciberseguridad?

Según detalla el portavoz de Worldcoin, la compañía ha llevado a cabo diferentes acciones, con el objetivo de eliminar las sospechas y cooperar con las autoridades. Entre estas, la custodia personal –toda la información se queda en el orbe–, la verificación de edad o la posibilidad de eliminar el World ID.

Adicionalmente, la Fundación Worldcoin ha publicado los componentes centrales del orbe de código abierto, para garantizar una mayor privacidad y transparencia del procesamiento de imágenes.

Además, el proyecto confirma que contrató a Trail of Bits una auditoría especializada del software del orbe, para evaluar cuestiones relacionadas con la privacidad y la funcionalidad. Ahora bien, los riesgos continúan existiendo en lo referente a posibles ciberataques.

La matriz de Facebook e Instagram, multada con 17 millones de euros después de que notificara hasta 12 brechas de datos en medio año

"En caso de una filtración o fuga de datos, los usuarios podrían estar expuestos a graves riesgos, como el robo de identidad, la suplantación de identidad o incluso el fraude financiero", explica Rivero. "Además de los riesgos legales y de seguridad, existen otras preocupaciones éticas relacionadas con la recogida de datos biométricos por parte de la compañía. Por ejemplo, no está claro cómo se utilizarán estos datos en el futuro, ni quién tendrá acceso a ellos".

En este sentido, Rivero recuerda que el iris permite incluso identificar únicamente incluso a gemelos y es "una herramienta ideal para la identificación a largo plazo". Dicho esto, si un ciberatacante obtuviera estos datos de manera fraudulenta, "las consecuencias podrían ser graves para la víctima".

Algunos de estos riesgos potenciales, como enumera el experto en ciberseguridad, pasan por el robo de identidad, la suplantación o el fraude financiero, pudiendo acceder a cuentas bancarias o crear documento de identidad falsos.

Pero eso no es todo, sino que estos delitos podrían tener también un "impacto psicológico significativo" para la víctima de los ataques. "La sensación de estar vigilado o de que se ha perdido el control de la propia identidad puede ser muy angustiosa", añade Rivero.

A pesar de las medidas en ciberseguridad adoptadas por las compañías tecnológicas, existen precedentes de filtraciones de datos, como las que ha sufrido WhatsApp, propiedad de Meta, en el pasado, exponiendo al público números de móvil de casi 500 millones de usuarios.

De momento, habrá que esperar para ver cómo se resuelve el caso de Worldcoin que, según recuerda Vázquez-Graña, tiene investigaciones en curso, no solo en España, sino también en Francia, Alemania, Portugal y Reino Unido, además de otros países como Nigeria, Argentina o Corea del Sur.