Un experto en ciberseguridad, sobre el escaneo del iris a cambio de dinero: «Es un dato personal muy sensible, como tu historial médico»

Jóvenes de A Coruña siguen haciendo cola en el puesto que la compañía Worldcoin tiene en el centro comercial Marineda City. Reciben criptomonedas a cambio de escanear su iris. La Agencia Española de Protección de Datos (AEPD) ya ha alertado de los riesgos que entraña proporcionar esa información. Nacho García Egea, oficial de seguridad de la información BeDisruptive, multinacional tecnológica experta en ciberseguridad, desgrana las consecuencias de realizar esa cesión de datos. 

— ¿Qué datos recopila la compañía Worldcoin con el escaneo del iris?

— Lo que buscan es generar una base de datos de hashes que salen del escaneo del iris, que es una huella biométrica de una persona que no se puede confundir con otra. Es más infalible que la huella dactilar.

— ¿Qué es un «hash»?

— Es una cadena de números y letras que identificaría una identidad a raíz del escaneo de cada iris. La compañía va generando hashes por persona. 

— ¿Qué va a hacer la multinacional con esta información?

— Con esa cadena se pueden hacer un montón de cosas. El fundador de Worldcoin es uno de los dueños de OpenAI, creadora de ChatGPT. Además, tienen otra empresa de reconocimiento, tanto facial como de iris. A futuro lo que se buscaría es que todo el reconocimiento se haga a través de iris en vez de como se hace ahora con el DNI, por ejemplo. Entonces, está buscando crear esa súper base de datos. 

— ¿La empresa va a utilizar esos datos?

— Ellos lo que te venden es que escanean tu iris, te genera el hash, pero luego ellos no guardan como que ese hash es tuyo. Solo hay como un acuerdo donde ese hash lo podrás utilizar tú a futuro en el mundo que estamos creando de criptomonedas y para hacer transacciones seguras identificándose con este hash.

— ¿Y para qué quiere esos datos?

— Toda esta recopilación de información se basa en la creación a futuro de una red de Blockchain con esos hashes. Ahora mismo no tiene un uso real, pero si empieza a enganchar a las empresas que están asociadas a Worldcoin, te das cuenta que pueden comenzar a vender hardware que van asociados a la identificación de iris. 

— Entonces, ¿Worldcoin busca crear una ventaja competitiva en su empresa ante un escenario futuro?

— Totalmente. Si tu ahora llegas a un país y le dices, «oye cada vez que quieras controlar el acceso en los aeropuertos, tienes esta verificación por iris que es más segura que el DNI o el pasaporte porque esos documentos siempre se pueden falsear». Ya hay aeropuertos que están haciendo un reconociendo por identificación facial. Esto es un paso más. 

— ¿El problema radica en cómo Worldcoin está guardando esos datos?

— Sí, la cuestión está en lo que guarda la empresa. De hecho, ya ha habido varias denuncias a la Agencia Española de Protección de Datos. Hay  que saber qué datos están guardando. Ellos te dicen que tu nombre nunca va a estar asociado al hash, pero ellos sí guardan el número de teléfono. Y en España ese número siempre va asociado a una identidad real. Además, puede llegar un punto en que se pueda cruzar la identidad de la persona con ese iris. Que se llegue a saber realmente que ese hash es tuyo y puede ser un problema de ciberseguridad. 

— ¿Es legal lo que está haciendo Worldcoin?

— Ahora mismo hay un vacío legal. De lo que firmas es legal todo. La cuestión es que el tema no está legislado. Es algo muy nuevo. Al final se acabará legislando, como está entrando la regulación sobre inteligencia artificial. Y tiene que regularse porque es un dato de carácter personal muy alto. Es como tus datos médicos. Habrá que hacer una modificación de las leyes para añadir aspectos como este. La tecnología va muy rápido y las legislación, muy lento. 

— La mayor parte de los clientes del escaneo de iris de Worldcoin son jóvenes. ¿Dejaría a sus hijos que participasen?

— Cabe recordar que a nivel legal siempre tienes que ser mayor de 18 años. Con los hijos hay que hacer una labor de educación de protección de datos. Igual que educas para que no suban una determinada foto a redes sociales, tienes que explicarles que están haciendo una cesión de datos muy importante, hay que dar valor a los datos. Ahora mismo esto no es nada, parece que no es nada, pero igual dentro de un año estamos en un control de la población por análisis de iris.

Entramos en ciertos escenarios más complejos. Tal vez en España no llega a ese punto, pero vas a China y el sistema de identificación es el iris y tienen identificado tu iris por cualquier historia, o porque esta empresa ha vendido tus datos porque permite ceder a terceros. 

— ¿Usted accedería a escanease el iris?

— Yo por seguridad no, y tendría cuidado con otros datos biométricos. Fíjate que ya tenemos muchos controles de reconocimiento facial en las aplicaciones de banca. Lo haces porque tienes que hacerlo, pero en el iris creo que hay un vacío y no lo haría.

— ¿Qué aspectos negativos tiene estar tan controlados?

—  Aquí estamos hablando del iris, pero me voy a un plano más sencillo, por ejemplo, el reconocimiento facial. Tú seguro que no quieres que en cuanto entres en una tienda te estén saliendo anuncios de productos que te gustan. Es como si entras en un Starbucks y te ofrecen el café que te gusta. Te pueden decir que es por rapidez o facilidad, pero al final saben tus gustos.

— ¿Pero igual hay gente a la que ese control no le importa?

— Es como las cookies de las páginas web, hay gente que es más recelosa que otra. Ahí ya jugamos en saber cómo de importante son tus datos personales para ti. 

— En esa decisión influye mucho tu nivel socioeconómico

— Totalmente. La compañía no solo está actuando en España, se dice que se ha hecho campañas en países desfavorecidos, de ofrecer su criptomoneda por cuatro perras, son cuatro perras al final. Pero la gente iba porque no tienen nada que perder. Eso está ayudando a generar esa base de datos. 

---

---

---