Las capacidades de la IA generativa son notables, especialmente con el crecimiento de plataformas como ChatGPT, desarrollado por OpenAI bajo la dirección de su CEO, Sam Altman. Sin embargo, también han surgido desafíos para el creador de este famoso chatbot.
En las últimas semanas, países como España y Portugal han prohibido el proyecto «Worldcoin» de OpenAI. Este proyecto implica el escaneo del iris a cambio de pagos en criptomonedas, lo que ha generado preocupaciones y controversias en relación con la privacidad y la seguridad de los datos personales.
El controvertido proyecto Worldcoin enfrenta críticas y preocupaciones en varios países, incluyendo España, por su recolección de datos biométricos a cambio de criptomonedas
¿Por qué hay inquietud respecto a Worldcoin y a la colecta del iris? Conversamos con Fabio Assolini, director del equipo de Investigación y Análisis para América Latina en Kaspersky.
Identificación biométrica
El iris forma parte de la identificación biométrica, que se fundamenta en datos únicos e irrepetibles de cada individuo, como las huellas dactilares de la mano y las características faciales.
“Muchas empresas de tecnología vieron en esta unicidad de nuestros datos biométricos una forma de crear la autenticación perfecta”, señala Assolini a El Comercio.
El experto explica que se busca el método de autenticación ideal para garantizar que la persona que intenta acceder a un servicio sea realmente quien dice ser. Mientras que, las contraseñas tradicionales han demostrado ser vulnerables al robo y la captura, lo que plantea riesgos significativos para la seguridad.
Aunque inicialmente la identificación biométrica se percibía como una forma infalible de autenticación, se han evidenciado preocupaciones asociadas con este método.
Los riesgos de ceder tu identificación biométrica
“Hay muchos riesgos, no solo en cuanto a la recolección del iris, sino también en relación con cualquier otro dato biométrico. ¿Por qué? ¿Cuál es la diferencia entre una contraseña y un dato biométrico? El dato biométrico no se puede cambiar”, responde Assolini.
Aclara que una persona no puede alterar naturalmente el color de sus ojos ni la forma de su iris. Tampoco puede cambiar el color ni las huellas dactilares de sus dedos. En cambio, si alguien roba o compromete la contraseña de tu Facebook, por ejemplo, sí puedes cambiarla. Sin embargo, con un dato biométrico, no existe esa opción.
En el caso que los datos biométricos caigan en las manos equivocadas, como en los cibercriminales, el peligro es inigualable ya que podrán acceder a toda la vida digital de un usuario. “Ya ha habido numerosos experimentos y ataques que han demostrado la posibilidad de capturar datos biométricos y utilizarlos en estafas y ciberataques”, alerta Fabio.
Un claro ejemplo de ello, es el reciente descubrimiento del troyano bancario llamado Gigabud que afecta a los iPhone y celulares Android. Fue hallado en Asia, pero ya llegó al Perú.
“Tiene la capacidad de capturar datos biométricos del teléfono, especialmente del sensor de huellas dactilares. Utilizamos nuestro teléfono y la huella dactilar para autenticarnos en aplicaciones bancarias, por ejemplo”, apunta el experto en ciberseguridad. “Ahora, imaginemos con la iris o con la cara que ya se usa para muchas cosas”.
Por lo tanto, compartir tus datos biométricos te expone al riesgo de ser blanco de los cibercriminales y, lo más preocupante, es que no hay opción para modificar esa información, ya que son inherentemente inmutables.
El especialista apunta que este riesgo nace desde la empresa o entidad gubernamental encargada de almacenar los datos.
“¿Ellos van a cuidarlo bien, protegiéndolo de manera que no esté fácilmente disponible para una banda criminal? La experiencia moderna nos indica lo contrario: las empresas, incluidas las entidades gubernamentales, no suelen proteger adecuadamente nuestros datos, ya sean contraseñas o datos biométricos”, sostiene.
Adentrándonos un poco más desde la perspectiva de la ciberseguridad, Fabio menciona que con los datos biométricos de alguien, una banda criminal puede cometer fraudes y estafas, accediendo a servicios que actualmente utilizan la autenticación biométrica. Y esta situación se agrava aún más cuando se añade el factor de la inteligencia artificial.
“Hoy en día es bastante fácil obtener un video de alguien que esté en YouTube, por ejemplo. Con esta pequeña muestra de video, se pueden capturar sus rasgos biométricos y utilizar la información para engañar sistemas de reconocimiento facial. Y esta burla se da usando herramientas generativas de inteligencia artificial”.
Respecto a Worldcoin, el experto de ciberseguridad aconseja que “es importante que las personas reflexionen antes de compartirlo (el iris). Personalmente, no lo haría de inmediato. Es prudente esperar para ver (…) los objetivos de esta empresa”
Cuestionar antes de permitir el escaneo del iris
En el caso concreto de Worldcoin, el vocero de Kaspersky señala que se trata de una “propuesta atractiva”, ya que la empresa ofrece su propia criptomoneda, la cual tiene una valoración alta. Pero, “la gente debe preguntarse: ¿por qué están ofreciendo dinero por mis datos personales? ¿Quién los está comprando? La realidad es que al proporcionar nuestros datos, los estamos vendiendo”.
Bajo la opinión del especialista, la empresa afirma que quiere crear una base de datos global en la blockchain con la finalidad de crear un sistema de autenticación global. Pero ello representa un problema. “¿Quién garantiza que estos datos estarán protegidos en un caso de un ciberataque?”, advierte.
Bajo la opinión del especialista, la empresa afirma que quiere crear una base de datos global en la blockchain con la finalidad de crear un sistema de autenticación global. Pero ello representa un problema. “¿Quién garantiza que estos datos estarán protegidos en un caso de un ciberataque?”, advierte.
“Muchos países han aprobado leyes de protección de datos, lo cual es muy positivo y refleja una inspiración en la ley europea, que considero la más avanzada en el ámbito de la protección de datos a nivel mundial”, sostiene Assolini. Sin embargo, esclarece que aún falta establecer sanciones y multas para quienes no las cumplan.
“¿Dónde están las investigaciones de las autoridades encargadas de proteger los datos para responsabilizar a las empresas involucradas en fugas de datos? Es necesario que se implementen medidas de penalización para hacer cumplir estas leyes”, enfatiza.