La policía y las agencias federales australianas se han enfrentado a un caso reciente de filtración masiva de datos personales, vinculado a un sistema de reconocimiento facial. El incidente ha afectado a bares y discotecas de todo el país que recurrieron a la empresa Outabox para implementar sus sistemas de reconocimiento facial basado en IA en todo tipo de establecimientos, lo que ha puesto sobre la mesa la polémica de la privacidad.
En eta ocasión, el nuevo sistema de reconocimiento facial de Outabox escanea a los visitantes y verifica su temperatura. No obstante, también es capaz de identificar a los jugadores problemáticos adheridos a una iniciativa de autoexclusión. Incluso, recientemente ha surgido un nuevo sitio web denominado ‘Have I Been Outaboxed’ que fue creado por sus antiguos desarrolladores en Filipinas.
La polémica está servida. Y es que este sistema tenía controles internos laxos y se compartía en una hoja de cálculo no segura, contando con un total de más de un millón de registros.
Todo ello hace cuestionarse si verdaderamente los sistemas de reconocimiento facial son peligrosos e invasivos, en cuestiones de privacidad y seguridad. Hoy en día, son empleados desde para desbloquear un teléfono móvil hasta para abrir una puerta o contratar una cuenta bancaria, entre otras funciones.
Si bien es cierto, la tecnología ha permitido mejorar considerablemente la verificación de la identidad, pasando los códigos numéricos y contraseñas a un segundo plano. Al apostar por la biometría, es decir, las características únicas de cada persona, se aporta un plus de privacidad.
Las claves de la polémica: La opinión de los expertos
La jefa de políticas de Digital Rights Watch, Samantha Floreani, aseguró al respecto: “Lamentablemente, este es un ejemplo horrible de lo que puede suceder como resultado de la implementación de sistemas de reconocimiento facial que invaden la privacidad”. Además ha señalado: “Cuando los defensores de la privacidad advierten sobre los riesgos asociados con sistemas de vigilancia como este, las violaciones de datos son uno de ellos”.
Hay que tener en cuenta que entre los datos incluidos y exportados por Outabox se incluyen todos los de membresía IGT (proveedor de máquinas de juego), incluyendo: escaneo del permiso de conducir, firma, dirección, fecha de nacimiento, tiempo de uso de maquinaria, etc.
La respuesta de Outabox
Al respecto de lo sucedido, Outabox asegura haber estado en comunicación directa con un grupo de clientes para informarle de este incidente cibernético. Las empresas de IA frecuentemente emplean mano de obra extranjera de bajo costo, incluso en Filipinas, para alimentar sus sistemas, con los riesgos que ello conlleva.
Al respecto, el portavoz de Outabox ha asegurado: “Somos conscientes de un sitio web malicioso que contiene una serie de declaraciones falsas diseñadas para dañar nuestro negocio y difamar a nuestro personal superior”.
Floreani, de Digital Rights Watch, dice que el incidente ilustra las “importantes consecuencias negativas” que pueden surgir de la recopilación de datos biométricos confidenciales. Además, aboga por una idea clara: “Necesitamos una reforma audaz de la privacidad y limitaciones estrictas a la tecnología de reconocimiento facial. Como siempre, la vigilancia no es seguridad”.
Precedente oficial en España
Sin ir más lejos, el informe oficial de Telefi del año 2022 recoge al respecto la incorporación de sistemas de reconocimiento facial en la Policía, contando con tecnología francesa para el nuevo sistema ABIS. Parte de una base de datos de más de cinco millones de rostros, basadas en 3,9 millones de personas arrestadas. Se denomina Prüm II y cuenta con un presupuesto de 93 millones de euros.
La empresa Thales fue la encargada de aportar el algoritmo Cogent, que permite el control de embarque de pasajeros, investigación forense, verificación de identidad a partir de vídeo e incluso el envío de alertas en tiempo real.
Al respecto, Ella Jakubowska, abogada de la organización European Digital Rights (EDRi), aseguró: «Es la infraestructura de vigilancia biométrica más grande que creo que jamás hayamos visto en el mundo».
Parecía que el reconocimiento facial era una tecnología propia de EEUU y que no iba a calar en Europa, pero ahora se demuestra que se podría incluso superar a la base de datos estadounidense, que reúne a unos 74 millones de personas.
Los riesgos que implica el reconocimiento facial
Al utilizar un atributo biométrico para realizar procesos de verificación de identidad, como el rostro, se implica riesgos importantes. De este modo, permiten ligar la cara a actividades y a metadatos críticos (geolocalización, dirección IP, características únicas de un dispositivo, etc.). De este modo, el consentimiento del sujeto no es libre.
Otro riesgo asociado es el uso de bases de datos centralizadas. Y es que estos procesos de verificación de identidad se centran en almacenar en un repositorio único identidades y datos de sujetos para realizar comprobaciones concretas. De ahí que surja otro problema; multitud de proveedores y algoritmos imperfectos.
El último riesgo que se puede añadir es el rendimiento de los procesos. De este modo, se puede suplantar a otra persona y se puede hacer lo que ha solicitado en su nombre porque el sistema reconoce su cara como la asociada a una identidad que no es la suya realmente. Todo esto atenta directamente contra el RGPD.
En el texto se hace hincapié en que la IA debe ser «antropocéntrica, ética y sostenible», y debe respetar los derechos y valores fundamentales de la ciudadanía.
Pee a todo, hay que tener en cuenta que los sistemas de reconocimiento facial pueden verse afectados por la calidad ofrecida por el sistema de grabación, por las condiciones de luz o, incluso, por los cambios naturales en la imagen debido al paso de los años o al uso de accesorios.
