La Amenaza Silenciosa del Escaneo de Iris en Menores

En el contexto global donde la privacidad y la protección de datos son cada vez más importantes, en Chile se enfrenta a una preocupante realidad: la fundación Worldcoin, un proyecto de criptomonedas, está recopilando datos biométricos de menores de edad, a través del escaneo de iris, sin el consentimiento adecuado ni la protección legal suficiente.

Esta es sólo parte de una realidad en donde la población, día a día, va entregando datos personales a privados que almacenan esta información sin, muchas veces, declararlo.
Los expertos en ciberseguridad Esteban Veloso y Julio Bravo ven esta realidad como crítica, más aún si hablamos de la entrega de datos biométricos.

«A LO MEJOR LO QUE ESTÁN HACIENDO ES GENERAR UNA BASE DE DATOS PARA ENTRENAR ALGUNA INTELIGENCIA ARTIFICIAL PARA UN PROPÓSITO» – Esteban Veloso.

Esteban Velso y Julio Bravo son profesionales de las Tecnologías de la Información y la Comunicación (TIC), son las 17:00 horas de un jueves, y esperan en la sala de reuniones del departamento de tecnología, lugar que nos permite ver entre azoteas colindantes la zona poniente de la capital. El Departamento de Tecnologías de la Información y la Comunicación, se ubica en calle Teatinos 92, piso 10. Un edificio vecino al Palacio de La Moneda, por lo mismo se le considera, a estas instalaciones, como una extensión de la Casa de Gobierno.

Es preciso acercarse a ellos para conocer más sobre la protección de nuestros datos personales, desde el punto de vista informático, y lo qué significa la entrega de nuestros datos biométricos de forma voluntaria e involuntaria.

– Si hablamos de seguridad de datos, ¿Qué son exactamente los datos biométricos? ¿Qué podemos hacer con ellos?

Todo lo que tenga tu cuerpo como medida. Todo lo que está en tu cuerpo es biométrico. Es tu huella dactilar, tu ADN, tu retina, tu pelo. Todo lo que el cuerpo pueda entregar. La huella, por ejemplo, la damos en un consultorio, entidad financiera, incluso servicios públicos y lo hemos hecho por muchos años. Hace mucho tiempo que hemos dado información biométrica, en un comienzo la digitalización de las huellas dactilares era novedosa, pero la tecnología se hace cada vez más económica. Piensa que existen bancos de huellas digitales vendidas a todas las clínicas. No sólo es algo normal, sino que está bajo norma. Importante señalar que la huella en sí no vale, lo que vale es la información asociada a esa huella: tu rut, dirección, previsión, etc.

– Entonces, si todo nuestro cuerpo es biométrico, ¿Es realmente simple obtener datos de usuarios sin necesariamente usar la tecnología biométrica del IRIS?

La gente entrega información sin necesidad de capturarla a través de algún dispositivo. De hecho, el problema es que hoy en día la gente no protege mucho su identidad. Tiende a no hacerla.

El iris es importante porque es probable que cueste más clonarlo. Tendrían que sacarte el ojo. Es cierto también que la tecnología avanza tan rápido que puede existir, en lo pronto, un sistema que a través de una fotografía pueda escanear el iris. Por ejemplo, temas super triviales: antes hubo una moda donde pegabas stickers en tu auto donde aparecía un señor, la señora, el perrito, y con eso tú le estabas anunciando a todo el mundo cuántos eran los integrantes de tu familia. Estoy entregando un dato súper sensible con un sticker en el parabrisas.

Y lo mismo con las redes sociales. Mucha gente sufrió asaltos y cosas por el estilo, donde decía, “Aquí estamos con toda mi familia en Cancún. Volvemos en 15 días más”, y lo tienen en el perfil de Facebook, ¡que es público! Diciendo: “La casa está sola”

– Volviendo a lo biométrico ¿Qué papel juega el iris? ¿Cómo lo podemos definir?

Como un parámetro. Parámetro biométrico que está en boga. Es un negocio para generar una base de datos de información.

Hoy existe la fundación Worldcoin, quienes registran operaciones en Chile y países vecinos como Perú y Argentina. En nuestro país, existen casos como el de Mei Maldonado, que aún cursando el colegio y con 16 años, caminaba con su hermana, que es 2 años menor, por fuera del Eurocentro, una galería comercial ubicada en Santiago, a pasos del Paseo Ahumada, en la comuna de Santiago. “Me dijeron que me escaneara el ojo en una esfera y que me descargara la app. Que daban monedas (Bitcoins. Monedas virtuales) todos los viernes durante un mes. Además, esas monedas podían valer desde $500 pesos hasta $20.000 más o menos. Nunca reclamé esas monedas”.

Worldcoin se ha caracterizado por obtener datos a menores de edad sin consentimiento. En su web, en el apartado WhitePaper > Personal Custody aclara: “El código de iris no se elimina del backend (lugar donde se almacenan y procesan los datos) de Worldcoin. Más bien, el código de iris se cifra de forma persistente y se almacena permanentemente para garantizar una prueba de unicidad. El código de iris no se eliminará del backend de Worldcoin, incluso si un usuario solicita su eliminación.” Además, aclaran “el código del iris es una representación numérica de la textura del iris de una persona”. Es importante señalar que Wordlcoin es propiedad de Sam Altman, co-fundador de OpenAI (ChatGPT).

En Chile, en el Artículo 3° de la ley N° 19.628 señala que: “En toda recolección de datos personales que se realice a través de encuestas, estudios de mercado o sondeos de opinión pública u otros instrumentos semejantes, sin perjuicio de los demás derechos y obligaciones que esta ley regula, se deberá informar a las personas del carácter obligatorio o facultativo de las respuestas y el propósito para el cual se está solicitando la información.”

Con estas referencias, Esteban Veloso y Julio Bravo, siguen entregando datos en la cual afirman que la biometría es importante porque nos definen como individuos. Además, continúan diciendo, que falta mucha conciencia colectiva sobre este tema. Ya que la mayoría de las personas no son conscientes de cómo se recopilan, almacenan y utilizan sus datos biométricos, lo que puede plantear preocupaciones sobre la privacidad y la seguridad de la información personal.

– ¿Existe conocimiento sobre la entrega de datos?
Falta mucha conciencia al respecto. ¿Entonces qué pasa? Que cuando tú entregas tu información va a terminar en una nueva base de datos, que se va a vender, que alguien la va a vender y la va a vender cara.

– Worldcoin dice, en sus términos y condiciones, que jamás venderán los datos ¿Les podemos creer?
No. Cuando reúnes esa información, tienes un propósito, quieres hacer algo con todo lo recolectado. No te van a reconocer eso, por supuesto, porque ellos están almacenando una base de información crítica, para algo que va a venir después.
Además, imagina lo siguiente: ¿Qué pasa si viene alguna comunidad de hackers que los ataca, los vulnera y consigue apropiarse de los datos?

– Entonces, ¿Qué tan vulnerables somos como individuos?

Siempre somos vulnerables frente a la tecnología. La información biométrica la tienes que cuidar hoy, tus datos biométricos van a ser cada vez más críticos. Por otro lado, el teléfono, por ejemplo, es uno de los peores enemigos de alguien que quiere privacidad. Ahí puedes entregar mucha información.

– Claro, es como el caso del Banco Santander, que fue hackeado y se robaron la base de datos de España, Uruguay y de todos los usuarios de Chile.

Exacto. El hacking ahora es negocio. Si tú hackeas para robar una base de datos es porque ya tienes compradores para esos datos. No es casualidad que los usuarios del banco hayan comenzado a tener llamadas con códigos de áreas del extranjero ofreciendo cosas. Es porque ya la tenían negociada o ya tenían donde venderla. Es más, es muy probable que los que robaron esa base de datos se la hayan ofrecido primero a Santander, Santander no creyó que pudiese ser vulnerado, y terminó vendiéndose en otro lado.

Mei Maldonado nunca más revisó la app que debió descargarse, ni reclamó el dinero que le ofrecieron. Tampoco tuvo más contacto con la empresa. Hoy tiene 20 años, es alumna de la carrera de Diseño y Desarrollo de Videojuegos en una universidad capitalina. No entregó mayores datos, ni su rut, ni su nombre, ni su apellido, sólo la imagen de su iris. Afirma que no sabe qué pasará con sus datos, ni menos dónde están.

– ¿Qué datos se pueden obtener de un menor de edad a la cual no se le preguntan datos básicos, como nombre y rut?

Ese niño va a ser adulto en un minuto, se van hacer cruce de datos y se va a saber quién es. Tal vez en esta etapa no es necesario identificarlo, pero a lo mejor lo que están generando es una base de datos para entrenar alguna IA (Inteligencia artificial) para un propósito específico. Es pensar a futuro.

– ¿Cuándo es “Futuro” en tecnología?

Es que la tecnología es vertiginosa, puede ser que el futuro sea mañana. Son cambios cada vez más radicales, o sea, no estamos hablando de décadas. Ya no existe el “futuro” tecnológico. Lo más probable es que ellos (WorldCoin) ya tienen el propósito definido, a lo mejor la herramienta (de uso de datos) ya la tienen.

– ¿Será bueno tener normas que regularicen todo esto? No sólo hablando de Worldcoin, sino también de datos que entregan nuestros teléfonos móviles, y que privados puedan obtener a su beneficio.

Nos llenaríamos de normas.

– ¿Cuál puede ser la solución entonces?

La alfabetización digital es muy importante. El primer problema es el usuario, la persona. Si no tienes la precaución, si no has sido concientizado, tiendes a entregar demasiada información sin darte cuenta. Esa conciencia es la que no tenemos, estamos súper atrás en ese sentido.
Diría que va más allá del entorno digital, incluso abarca tus relaciones sociales. Con quién compartes tu información, a quién le cuentas tus cosas.

– Con todo esto, lo que se puede conseguir con el escaneo del iris es sólo otro factor, de toda la información que entregamos diariamente.

Así es. Lo importante, eso sí, es tener siempre en mente el tema de que tu biometría la tienes que proteger y no deberías entregarla, y con mayor razón si te están dando dinero a cambio. Si están pagando ese dinero por escanear el iris a la gente, es porque van a ganar mucho más que eso.

– ¿No nos queda otra opción que proteger nuestros datos?

Al final te das cuenta que si tú te ordenas y te haces consciente, te das cuenta que no es tan difícil protegerte. Seguramente te van a vulnerar igual, pero al menos te quedas con la sensación de que se la pusiste difícil. Por ejemplo, la verificación de 2 pasos, que podemos tener en varias plataformas digitales, puede ser por ahora, la mejor opción para no ser tan vulnerables.

Mientras que en España se ha prohibido, desde el jueves 7 de marzo de 2024, la captura del iris, en nuestro país aún vemos la oferta a participar de esta nueva tecnología, iniciando la discusión política y social, para al menos establecer un marco regulatorio que resguarde los datos personales de los usuarios.

Los procesos judiciales, todavía incipientes, continúan buscando la admisibilidad de sus reclamos en nuestro sistema, que sigue demostrando las carencias y atrasos en la legislación vigente de nuestro país como nuestra Ley 19.628, sobre protección de la vida privada, promulgada en 1999 y modificada acerca de la prohibición de informar deudas contraídas con prestadores de salud, esto, el año 2022.