En octubre de 2024, más de 700 mil personas en México entregaron su iris a cambio de criptomonedas, en un proyecto conocido como Worldcoin, que ha suscitado serias preocupaciones sobre la protección de datos biométricos. La iniciativa prometía un pasaporte digital global a cambio de información personal, pero el proceso ha dejado a muchos usuarios sin claridad sobre el uso y la seguridad de sus datos.
En una plaza comercial de Iztapalapa, individuos formaban largas filas, atraídos por la oferta de mil pesos a cambio de una fotografía y un escaneo del iris frente a un dispositivo llamado Orb. Sin embargo, la promesa de pagos mensuales en criptomonedas se desvaneció con el tiempo: inicialmente se ofrecían 800 pesos, que luego disminuyeron a apenas 50 pesos. Este cambio ha llevado a cuestionamientos sobre la transparencia y la ética del proyecto, especialmente en comunidades vulnerables.
Falta de protección y transparencia
Según una investigación de Animal Político, las personas que aceptaron participar en el proyecto, como Rebeca y Samantha, no estaban plenamente informadas sobre los riesgos involucrados. La Organización Amaranta, con sede en Chile, documentó que la mayoría de los usuarios son personas en situación de vulnerabilidad económica, quienes dieron su consentimiento sin entender las implicaciones. “Esto genera un consentimiento viciado”, advirtió Cecilia Ananías, fundadora de la ONG.
Además, se han reportado casos de menores de edad que participaron en el proceso, lo cual es ilegal. La Ley Federal de Protección de Datos Personales considera el iris y las huellas dactilares como información “altamente sensible”, pero con la desaparición del INAI en 2025, no hay un organismo autónomo con capacidad para sancionar malas prácticas. “Hoy no hay una instancia que pueda sancionar malas prácticas ni garantizar protección efectiva”, indicó Santiago Narváez, abogado de R3D, en una entrevista.
En 2022, el INAI recaudó más de 60 millones de pesos en multas por violaciones a la ley de protección de datos, lo que demuestra la importancia de una regulación adecuada. Sin embargo, la ausencia del instituto ha permitido que empresas como Worldcoin operen con una supervisión mínima.
Riesgos asociados y falta de regulación
Worldcoin, que fue fundado en 2019, se planteó como una solución para la identificación digital única a través de criptomonedas. A pesar de esto, la falta de claridad sobre el manejo de datos ha generado alarmas en varios países. Según la UNAM, la empresa nunca explicó claramente para qué requiere los datos biométricos. “Los datos biométricos no se pueden cambiar como una contraseña. Si se vulneran, el riesgo va desde fraudes financieros hasta lavado de dinero”, afirmó Carlos Tlahuel, especialista en seguridad de la DGTIC.
En México, la empresa afirma utilizar tecnología SMPC para fragmentar y proteger la información. Sin embargo, en 2023, TechCrunch reveló que hackers habían robado credenciales de operadores de Worldcoin, exponiendo vulnerabilidades en su sistema. En abril de 2024, la diputada María Eugenia Hernández solicitó al INAI evaluar el impacto del proyecto, pero los resultados de esta investigación nunca se hicieron públicos.
Con más de 1.3 millones de cuentas activas en la World App, los expertos coinciden en que el consentimiento de los usuarios no puede considerarse válido sin un marco legal sólido. Paul Aguilar de SocialTIC enfatiza que “no puedes cambiar tu iris como si fuera una contraseña”, subrayando el riesgo de que una base de datos biométrica comprometida podría derivar en suplantación de identidad, fraudes y vigilancia masiva.
A pesar de las preocupaciones, Worldcoin asegura cumplir con “todos los marcos legales donde opera”. Sin embargo, la combinación de biometría, criptomonedas e inteligencia artificial plantea un modelo de explotación basado en datos personales. La UNAM advierte que la falta de regulación y transparencia coloca a México en una situación de especial vulnerabilidad.
En resumen, ya más de 700 mil mexicanos han vendido sus datos biométricos a una empresa que opera en un vacío legal, y no hay autoridad que pueda garantizarles una protección real.
