-
El cambio se produce pocos días después de que se revelaran posibles riesgos en los Orbs.
-
Con la Custodia Personal, Worldcoin promete entregar el paquete de datos a cada usuario.
El proyecto de criptomonedas Worldcoin anunció hoy que dejará de almacenar y encriptar los datos biométricos de los usuarios en sus Orbs o escáneres de iris. Y asegura que ahora la información de las personas será autocustodiada directamente por cada individuo.
Se trata del protocolo Custodia Personal, que establece que la información procesada en el Orb , usada para generar el código de iris durante la verificación de los usuarios, permanecerá en los dispositivos de las personas y no en el escáner. Esta información contiene imágenes, metadatos y otros derivados.
Según Worldcoin, ahora permite “controlar el flujo de estos datos”, no solamente en la verificación, sino en cualquier “uso futuro”. Así lo indicaron en una nota de prensa.
“Esto ayuda a garantizar que todos puedan aprender sobre Worldcoin antes de decidir si desean compartir su información para ayudar a mejorar el proyecto”, dice la empresa.
Worldcoin explica que la implementación de la Custodia Personal en este momento, obedece a una recomendación que hicieron expertos de privacidad cuando ocurrió el lanzamiento de World ID 2.0, en diciembre de 2023. Así que basado en ello, permite desbloquear casos de uso del World ID, el llamado pasaporte digital, al habilitar la autenticación facial para aplicaciones de alta seguridad.
“Con la autenticación facial, puedes verificar en cualquier momento que eres la misma persona que recibió su World ID al verificar en un Orb. Es importante destacar que esto funciona localmente en su dispositivo, sin que sus datos salgan de su teléfono”, dice Worldcoin.
¿Cómo funciona?
Según lo explicado por Worldcoin en un comunicado, la Custodia Personal implica cuatro componentes clave: el teléfono móvil o dispositivo del usuario, el Orb, un paquete de datos con imágenes y un almacenamiento temporal de backend.
En general, el teléfono móvil de los usuarios genera claves públicas y privadas para cifrar los datos y luego transfiere la clave pública al backend. De allí se generan claves adicionales para los datos que requieren doble cifrado. Luego, se envían las claves públicas al Orb.
Durante la verificación, es decir, cuando la persona escanea su iris, el Orb crea las imágenes necesarias para verificar el World ID. Hecho eso, el aparato crea paquetes de datos individuales, los encripta, los firma para garantizar autenticidad y seguridad, y finalmente los envía al backend.
omo paso final, los paquetes de datos cifrados se descargan en el teléfono de los usuarios, antes de ser eliminados del backend.
De acuerdo con Worldcoin, el resultado final de este proceso es una colección de paquetes de datos encriptados que residen exclusivamente en el dispositivo de los usuarios.
“Su información se elimina del Orb una vez que se ha enviado a su dispositivo, y el uso de doble cifrado dentro del sobre de cifrado de extremo a extremo es una salvaguarda para proteger la confidencialidad y privacidad de sus datos en caso de que su dispositivo se vea comprometido”, dice Worldcoin.
Respuesta a la auditoría
Con la implementación de la Custodia Personal, el proyecto de criptomonedas Worldcoin atiende la recomendación hecha por los auditores de la empresa de análisis Trail of Bits, quienes identificaron posibles riesgos potenciales de privacidad en el proyecto.
Como lo informó CriptoNoticias, la firma analítica determinó que, si los desarrolladores principales de Worldcoin lo deciden, la información privada de los usuarios podría quedar almacenada indefinidamente en la memoria RAM de los Orbs.
Hasta ahora no es así, ya que para eso, hay que activar el espacio de intercambio en la memoria RAM de los escáneres de iris. No obstante, surge la alerta considerando la demanda creciente sobre este proyecto y las decenas de filas de personas alrededor del mundo esperando para ceder sus datos biométricos a esta empresa.
De igual forma, el protocolo Custodia Personal se conoce días después de que España decidiera sacar del país al proyecto y le pidiera dejar de utilizar los datos biométricos de los españoles, por preocupaciones en torno a la privacidad y la seguridad de la información privada de los usuarios de ese país.
La Agencia Española de Protección de Datos (AEPD) emitió una medida cautelar con Worldcoin, la cual fue respondida con una recurso de apelación. Tal recurso fue rechazado luego por la Audiencia Nacional, que ratificó las preocupaciones de la AEPD y exigió a Worldcoin abstenerse de usar los datos privados de los españoles.