El proyecto de identidad humana Worldcoin ha obtenido una auditoría de terceros de su software Orb, según un borrador de un informe del 14 de marzo del equipo de desarrollo visto por Cointelegraph. La auditoría fue realizada por Trail of Bits, que afirmó no haber encontrado vulnerabilidades que "puedan explotarse directamente en relación con los objetivos del proyecto tal y como se describen", según el informe. Se espera que el informe completo de Trail of Bits se publique el 14 de marzo, según una declaración enviada por correo electrónico por Worldcoin.
Worldcoin permite a las personas verificar su humanidad registrándose con un número de teléfono, una dirección de correo electrónico o escaneando su iris con un dispositivo llamado "Orb". Cuando un usuario realiza este registro, obtiene un "World ID" que puede utilizar para demostrar que es un humano real. El proyecto fue cofundado por Sam Altman, cofundador también de OpenAI, desarrollador de ChatGPT. Altman afirmó que ayudó a crear Worldcoin por temor a que los robots de IA pronto pudieran hacerse pasar por humanos con eficacia.
Los defensores de la privacidad han criticado Worldcoin porque corre el riesgo de filtrar los escáneres de iris de los usuarios a hackers o gobiernos. Según los críticos, estos escáneres del iris podrían utilizarse para revelar toda la actividad que una persona realiza con su World ID.
Según el informe de Worldcoin, Trail of Bits comenzó su evaluación el 14 de agosto de 2023. La empresa de seguridad recibió la versión 3.1.10, que fue "congelada" a efectos de evaluación el 8 de julio de 2023. La versión actual es la 4.0.34, según el informe.
Al parecer, los auditores dedicaron seis semanas a investigar el código en busca de posibles vulnerabilidades. Consideraron varios vectores de ataque que un hacker podría utilizar potencialmente para obtener el escáner del iris de un usuario, pero finalmente concluyeron que "nuestro análisis no descubrió vulnerabilidades en el código del Orb que puedan explotarse directamente en relación con los Objetivos del Proyecto descritos". En concreto, los auditores concluyeron que el código del iris del usuario no puede ser obtenido por un atacante a menos que el atacante tenga el control de uno de los certificados de confianza, como al parecer afirmaron:
"Creemos que el código del iris no está escrito en un almacenamiento persistente en el Orb y que se incluye solo en una única solicitud al back-end del Orb [...] [Si bien] esta configuración se puede mejorar para hacerla más segura ( TOB-ORB-10), los atacantes típicos no deberían poder extraer el código de iris del tráfico de red del Orb; el atacante tendría que tener el control de uno de los certificados confiables”.
Según el informe, los auditores hicieron dos recomendaciones para mejorar la seguridad del Orbe. La primera era "endurecer" la configuración del flujo de inscripción para garantizar que los cambios futuros no introduzcan problemas de seguridad. La segunda era sustituir la biblioteca ZBar utilizada para escanear códigos QR durante el registro por una versión puramente Rust. Los auditores alegaron que ZBar podría tener problemas de "seguridad de memoria" que podrían filtrar datos de configuración, como la "elección de custodia de datos" del usuario, si no se realizaba este cambio. El equipo de Worldcoin implementó los dos cambios sugeridos, según el informe.
El debate sobre las prácticas de privacidad de Worldcoin puede continuar durante algún tiempo. El 6 de marzo, la Agencia Española de Protección de Datos (AEPD) emitió una orden judicial contra el proyecto, alegando que la agencia necesitaba tiempo para investigar las denuncias de que Worldcoin violaba las leyes de protección de datos. En respuesta, Worldcoin afirmó que no había violado estas leyes y que el gobierno español estaba "eludiendo la legislación de la UE" al emitir la orden judicial.
Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión