Los jóvenes españoles «venden» su iris por criptomonedas: la peligrosa acción en los centros comerciales

El pasado mes de julio, varios centros comerciales en diferentes puntos de la península ibérica recibieron unas bolas plateadas de estética muy futurista. Bajo el lema «la economía mundial pertenece a todos», unos jóvenes ataviados con ropa negra explican a cualquiera que lo desee que a cambio de 'vender' su iris pueden recibir unos 10 worldcoins, la moneda virtual que ha creado Sam Altman junto con Max Novendstern y Alex Blania. Al cambio, actualmente, serían unos 70 euros. En apenas una semana, esta criptomoneda ha duplicado su valor.

En este mismo periodo, la compañía ha registrado 419.621 cuentas, es decir cerca de 420.000 ojos almacenados en sus bases de datos. «El Orb (dispositivo que usa Worldcoin para escanear los ojos) comprueba que eres un humano real y no te has registrado antes», explica la firma en su página web. A nivel de privacidad, la compañía con sede en Estados Unidos defiende que «después del registro, estas imágenes se eliminan y nunca salen del Orb», defienden.

Según la normativa comunitaria y la estatal, recogida en la Ley orgánica de protección de datos y garantía de derechos digitales (LOPDGDD) de España, los datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos son datos biométricos y «supone el tratamiento de categorías especiales de datos de alto riesgo».

Hasta la fecha, la Agencia Española de Protección de Datos (AEPD) ha recibido cuatro denuncias, según ha podido confirmar este periódico. «Se encuentran en fase de análisis y no podemos prejuzgar hechos susceptibles de tener que analizar en el posible marco de un procedimiento», confirma el organismo presidido por Mar España.

A finales de 2023, este organismo publicó la «Guía tratamientos de control de presencia mediante sistemas biométricos» donde repasaba los criterios para garantizar que el tratamiento de datos personales que se realice con esta tecnología cumpla con el Reglamento General de Protección de Datos (RGPD) y meses más tarde la Autoridad Vasca de Protección de Datos recalcó en un comunicado que el iris «constituye un tratamiento de datos biométricos». Un parámetro incluido en las categorías especiales de datos regulados, que son «merecedores de un régimen singular y de una especial protección», tal y como recoge el artículo 9 del RGPD comunitario.

En este sentido, la normativa es clara y se prohíbe el tratamiento de información biométrica (huella digital, la voz, el iris del ojo, la imagen del rostro…) dirigida a «identificar de manera inequívoca» a una persona física. «Esto es muy peligroso porque hablamos de un dato identificador único que te identifica a ti respecto a todos los demás y no puede haber equívoco», advierte Borja Adsuara, abogado, consultor y profesor universitario, experto en derecho digital, privacidad y protección de datos. «En principio es útil hasta que los malos lo hackean», añade.

En países cercanos como Francia o Reino Unido, los reguladores han tomado la decisión de bloquear la iniciativa de Tools for Humanity, la empresa detrás de Worldcoin. A pesar de esto, hay ya 2.000 Orbs fabricados y desplegados en 36 países, según la compañía, que escanea al momento el ojo humano e identifica a la persona. «Es el método más fiable», señalan. «Estos datos están ligados de forma muy directa a una persona porque permiten comprobar parámetros físicos que se relacionan directamente con la persona y no son modificables en situaciones normales», advierte Elena Gil, divulgadora en el canal @TechAndLaw.lab en Instagram y TikTok.

Para incentivar ese proceso, la firma del creador de Chat GPT ofrece su divisa virtual y está llamando la atención de adolescentes que, según denuncian varios usuarios de redes sociales, hacen largas colas de espera en los centros comerciales para registrarse en esta plataforma a cambio de, como mínimo 7 euros. En España, la edad de consentimiento para el uso de los datos personales es a partir de los 14 años. «El captador debe informar de la finalidad de la petición de esos datos y no está muy claro para qué se hace», explica Adsuara. La compañía en respuesta a este periódico asegura que «los menores de 18 años no pueden usar sus servicios».

La tecnología que alimenta estos Orb, diseñados y fabricados en Alemania, identifica los patrones de cada una de las partes del iris. Esta información se captura mediante cámaras de alta resolución e infrarrojos y se procesa para extraer patrones. Una vez recopilados los datos, estos «se codifican», revela la compañía, y se crea el código iris.

A continuación, se desarrolla una secuencia criptográfica, llamada función hash, usada para convertir un conjunto de datos en una línea aleatoria de caracteres y se genera un, en el caso de Worldcoin, un World ID a modo de identificador digital del usuario. No se recopila ninguna información personal y se puede eliminar los datos biométricos a petición de los usuarios», señalan en su página web.

En la sección de ajustes de la aplicación, el usuario tiene la opción de solicitar un informe con todos sus datos y borrarlos antes de darse de baja. Worldcoin promete no vender los datos a terceros, pero no descarta trasladarlos a otros países.

A pesar de las explicaciones dadas por la compañía de Sam Altman, las dudas sobre la seguridad están presentes. El iris junto con la huella dactilar son informaciones únicas y exclusivas de cada persona. «Permiten identificar a una persona y además revelar información adicional como enfermedades y pueden ser más o menos intrusivos en función del tipo de dato», comenta Gil.

No hay un iris igual, ni una huella idéntica. «Los datos biométricos son especialmente delicados», apunta Adsuara. «Una vez los hemos cedido, perdemos el control de los mismos y pueden ser vendidos a otras empresas o incluso robados por ciberdelincuentes, lo que podría llegar a producir casos de suplantación de identidad», advierte Josep Albors, director de investigación y concienciación de ESET España.

El reglamento comunitario sobre protección de datos advierte que cualquier empresa, antes de recabar cualquier información, debe informar a sus titulares de qué se va a hacer con esa información personal. «Según confirman expertos en temas legales, en España no es legal pedir los datos biométricos a un menor de edad, aunque este consienta cederlos. En el caso de Worldcoin debería investigarse si ha habido menores involucrados aunque la AEPD no puede actuar si previamente no se ha presentado la denuncia correspondiente», denuncia Albors.

Antes del lanzamiento de Worldcoin, la revista tecnológica MIT Technology Review publicó una investigación en la que denunciaba que la compañía de Sam Altman había recopilado datos biométricos sensibles de personas vulnerables a cambio de dinero y regalos para ampliar su base de usuarios, sin que estas personas estuvieran debidamente informadas.

El propio Altman, antes de que esta tecnología viera la luz, confirmó su fase en pruebas en países como Indonesia, Sudán, Kenia, India o Zimbabue. La investigación de MIT Technology Review señaló que el primer millón de usuarios se consiguió gracias a zonas como pueblos de Indonesia, donde se ofrecían regalos a los habitantes para que registraran su iris, sin que estuvieran debidamente informadas de qué estaban realmente dando a cambio. En algunos casos, estos datos se habrían usado para entrenar modelos de inteligencia artificial sin su conocimiento. «Estas prácticas pueden violar el Reglamento General de Protección de Datos de la Unión Europea, así como las leyes locales», denunciaba la investigación.