Filtración en empresa de reconocimiento facial revela peligro de la biometría

Publicado el 15 de mayo de 2024, 20:40

La policía y las agencias federales están respondiendo a una violación masiva de datos personales vinculada a un sistema de reconocimiento facial que se aplicó en bares y clubes de toda Australia. El incidente pone de manifiesto los problemas de privacidad que están surgiendo a medida que se generaliza el uso del reconocimiento facial con base en inteligencia artificial (IA), desde centros comerciales hasta eventos deportivos.

La empresa afectada es Outabox, con sede en Australia, que también tiene oficinas en Estados Unidos y Filipinas. En respuesta a la pandemia de Covid-19, Outabox estrenó un quiosco de reconocimiento facial que escanea a los visitantes y comprueba su temperatura.

Los quioscos también pueden utilizarse para identificar a los jugadores problemáticos que se inscribieron en una iniciativa de autoexclusión. Esta semana apareció un sitio web llamado "Have I Been Outaboxed", que asegura haber sido creado por antiguos desarrolladores de Outabox en Filipinas, y tener más de un millón de registros. El sitio pide a los visitantes que introduzcan su nombre para comprobar si su información ha sido incluida en una base de datos de Outabox, que, según el sitio, tenía controles internos laxos y se compartía en una hoja de cálculo no segura.

El incidente ha indignado a los expertos en privacidad, quienes desde hace tiempo han hecho saltar las alarmas sobre el uso de sistemas de reconocimiento facial en espacios públicos como clubes y casinos.

"Lamentablemente, este es un ejemplo horrible de lo que puede ocurrir si se implantan sistemas de reconocimiento facial que invaden la privacidad", explicó a WIRED Samantha Floreani, responsable de políticas de la organización sin fines de lucro Digital Rights Watch, con sede en Australia, dedicada a la privacidad y la seguridad. "Cuando los defensores de la privacidad advierten de los riesgos asociados a sistemas con base en la vigilancia como este, las violaciones de datos son uno de ellos".

De acuerdo con el sitio, los datos incluyen "reconocimiento facial biométrico, escaneado de la licencia de conducir, firma, datos de afiliación al club, dirección, cumpleaños, número de teléfono, marcas de tiempo de visita al club, uso de máquinas tragamonedas". Y apunta que Outabox exportó todos los datos de afiliación de IGT, proveedor de máquinas de juego.

Los propietarios del sitio publicaron una foto, una firma y un permiso de conducir pertenecientes a uno de los fundadores de Outabox, así como una captura de pantalla de la supuesta hoja de cálculo interna.

"Outabox es consciente y está respondiendo a un incidente cibernético que potencialmente involucra alguna información personal. Hemos estado en comunicación con un grupo de nuestros clientes para informarles y delinear nuestra estrategia para responder. Debido a la investigación policial australiana en curso, no podemos proporcionar más información en este momento", indicó un portavoz de Outabox a WIRED.

No está claro hasta qué punto es cierta la historia que se cuenta en el sitio web, o si los autores tienen siquiera los datos biométricos que se reclaman. El experto australiano en ciberseguridad Troy Hunt, fundador del sitio web de notificación de leaks, Have I Been Pwned, expresa a WIRED que hay pocas razones para dudar de ello en este momento.