Hackers activistas intentaron encontrar una forma de evadir el sistema de verificación de edades que planea implementar Discord, pero en su lugar descubrieron que el código del software estaba expuesto públicamente en Internet. El hallazgo reveló los riesgos latentes de Persona Identity, el programa respaldado por Peter Thiel.
A principios de la semana pasada, Discord anunció sus planes de aplicar una nueva configuración que restringiría el acceso a ciertos servidores y espacios dentro de su aplicación. ¿La forma de eliminar estas limitaciones? Completar el proceso de verificación al realizar un escaneo facial o presentar documentos gubernamentales.
El anuncio generó polémica. Mientras algunos usuarios emigraron en masa a otras alternativas, algunos otros buscaron formas de eludir el nuevo sistema de seguridad. La investigadora conocida como Celeste y otros 2 hackers dieron con un hallazgo preocupante mientras indagaban sobre el asunto.
Más de Discord
Discord iba a utilizar Persona, ¿por qué era una mala idea?
Persona Identity, Inc. cuenta con el respaldo de Peter Thiel, conocido por ser el cofundador de PayPal y Palantir; así es, la misma compañía que funge como uno de los principales proveedores de ICE en Estados Unidos. La aplicación ofrece soluciones KYC y AML, que utilizan datos biométricos para estimar la edad de una persona mediante un sistema diseñado para distinguir entre humanos reales y entidades generadas por IA.
Este startup está valuado en $2 mil millones de dólares y actualmente gestiona los procesos de verificación de edades de Roblox, OpenAI y otros servicios. Su auge se debe a los esfuerzos recientes por parte de la Unión Europea y otros gobiernos por impulsar legislaciones que protejan a jóvenes de ciertos espacios de Internet.
La hacker activista Celeste, junto a otros 2 investigadores, comenzó a indagar sobre Persona Identity, Inc., la iniciativa que Discord planeaba utilizar para realizar sus procesos de verificación biométrica de identidad. El grupo descubrió que la interfaz del programa estaba expuesta en un servidor del gobierno estadounidense, lo que reveló información crucial sobre el tipo de datos que analiza el startup con sede en San Francisco.
Este programa tiene un lado oscuro que ya activó las alarmas. Los especialistas dieron con alrededor de 2456 archivos accesibles que sacan a colación el amplio sistema de vigilancia que ejecuta el software de Persona.
Según el informe, la aplicación combine funciones de reconocimiento facial con reportes financieros y una implementación paralela de datos que parece diseñada específicamente para agencias federales. Después de que salió a la luz este hallazgo, Discord informó que ya no usará Persona para efectuar sus procesos de verificación de identidad.
El lado oscuro de Persona
El código expuesto que fue descubierto por los hackers activistas revela que Persona es mucho más que un simple startup que sirve para verificar las edades de los usuarios; en realidad, tiene características que pueden utilizarse por los gobiernos para identificar posibles criminales y mucho más.
La investigación reveló que el programa compara las selfies con listas de vigilancia mediante el reconocimiento facial, asigna etiquetas vinculadas con programas de inteligencia pública-privada y clasifica a los usuarios en 14 categorías de “medios adversos”, que incluyen crimen organizado y espionaje.
Una vez que la persona verifica su identidad con Persona, el software ejecuta 269 comprobaciones distintas, explora internet e investiga fuentes gubernamentales en búsqueda de posibles coincidencias. Se analizan y almacenan hasta por 3 años todo tipo de datos: desde direcciones IP y números telefónicos hasta los fondos de las selfies y documentos oficiales.
Los investigadores advierten que el programa puede marcar a un usuario como una “entidad sospechosa” basándose únicamente en su cara, lo que es particularmente preocupante y riesgoso al considerar que la aplicación no es perfecta y que en el pasado falló en estimar las edades de los clientes.
Además del reconocimiento facial, Persona puede revisar datos financieros e información bancaria, como listas de sanciones. De igual forma, permite enviar reportes de actividad sospechosa directamente a las agencias federales de Estados Unidos y Canadá.
Lo más preocupante es que el uso creciente de este tipo de herramientas de inteligencia artificial da pie a la discriminación por raza, ideología y afiliación política. “No hacen que Internet sea más seguro”, afirmó Celeste.
“¿Atrapado mintiendo otra vez?”: revelan que Discord usa una empresa externa para la verificación de edad que almacena datos y los comercializa con terceros→ Discord aclara, tras polémica, que no exigirá verificación de edad a la mayoría de los usuarios y, en su lugar, utilizará un sistema IA para predecir las edades→
