¿Vendiste tus datos personales a cambio de criptomonedas? Aquí te contamos qué puedes hacer

En junio del 2025, meses después de intercambiar sus datos biométricos por criptomonedas con el proyecto Worldcoin, Rebeca y Samantha se enteraron de que la empresa era investigada en varios países. En México, el INAI había iniciado una indagatoria, pero tras su desaparición ya no supieron qué sucedió. Ambas dicen que no lo harían de nuevo. “Si veo mis datos por ahí, sí pondría una queja”, comenta Rebeca.

Desde su llegada a la Ciudad de México en julio de 2023, el proyecto Worldcoin —hoy rebautizado como World— ha provocado una ola de cuestionamientos legales, éticos e institucionales. Organizaciones civiles, expertos en derechos digitales y legisladores han advertido sobre los riesgos de entregar datos personales y biométricos sensibles a una compañía extranjera sin claridad sobre su uso, almacenamiento o transferencia.

Hoy, más de 12 millones de personas en todo el mundo han obtenido una World ID verificada usando el Orb, el escáner biométrico, y más de 26 millones han creado una cuenta en World App, aunque no todas han sido verificadas mediante datos biométricos. En México, más de 700 mil personas han sido verificadas mediante escaneo de iris, y hay más de 1.3 millones de cuentas activas registradas en la aplicación asociada.

Aunque el panorama legal parece incierto, Lucía Camacho, coordinadora de políticas públicas de la organización Derechos Digitales, una organización basada en Chile que se dedica a la defensa y promoción de los derechos humanos en entornos digitales, insiste en que “todavía se pueden hacer cosas”. Recomienda presentar quejas ante autoridades, exigir la eliminación de datos y ejercer presión social. “La acción de una ciudadanía activa ha detenido otros proyectos”, afirma.

Lee: La CURP biométrica será reconocida a partir del 16 de octubre, pero no será obligatoria

Paul Aguilar de SocialTIC, una organización dedicada a promover el uso estratégico y seguro de la tecnología para la transformación social, recomienda revisar la configuración de la aplicación de Worldcoin, eliminar la información almacenada y borrar la cuenta. Sugiere además ejercer los derechos ARCO —Acceso, Rectificación, Cancelación y Oposición—, solicitando a la empresa la eliminación de datos personales. Aunque reconoce que esto implica confiar en que la compañía cumpla, recomienda utilizar el formulario habilitado en la política de privacidad de Worldcoin y exigir una comprobación de eliminación. Aun así, admite que el proceso tiene limitaciones y que “no existen garantías reales sobre si los datos se eliminan efectivamente”.

Desde la experiencia jurídica, Santiago Narváez, abogado de la Red en Defensa de los Derechos Digitales (R3D), considera que ejercer los derechos ARCO en este caso “es casi imposible”, y compara el intento de borrar estos datos con “querer borrar una huella del pavimento”.  

Miguel Rocha, director general de World para México, Centroamérica y el Caribe, sostiene que Worldcoin opera bajo marcos legales locales y que el procedimiento para eliminar la cuenta es sencillo y “puede hacerse en tres clics”. Afirma que, una vez eliminada, la información se borra efectivamente y que existen auditorías externas que garantizan este procedimiento. 

Lucía Camacho señala que el consentimiento otorgado bajo vulnerabilidad y sin garantías no puede considerarse libre ni informado. Subraya la necesidad de fomentar una higiene digital constante y una ciudadanía activa, que exija transparencia, consulte fuentes confiables, revise términos de uso y cuestione a las empresas. “El activo más importante para nuestras economías son nuestros datos”, advierte. Enfatiza que “una ciudadanía activa que comprenda el valor de sus datos y actúe para protegerlos” es la única defensa real en contextos donde las autoridades están debilitadas.

En Brasil, por ejemplo, la Autoridad Nacional de Protección de Datos (ANPD) suspendió la recolección de datos biométricos del iris a cambio de incentivos financieros, argumentando que dicha práctica comprometía la libre manifestación del consentimiento, especialmente entre personas en situación de vulnerabilidad. Esta decisión fue ratificada en febrero de 2025 como una medida de protección bajo la Ley General de Protección de Datos Personales del país. 

Rocha respondió que World “difiere respetuosamente de la opinión de la autoridad” brasileña. Señaló que “no se prohibió la operación” del proyecto en su totalidad, sino únicamente la entrega de tokens WLD como incentivo. Argumentó que el proyecto puede seguir verificando identidades y que la medida “afectó a la comunidad” brasileña interesada en participar. Añadió que el litigio aún está abierto y que la disputa legal se centra en los incentivos, no en la verificación en sí.

En Chile, la ONG Amaranta documentó el escaneo de iris a menores de edad sin autorización de sus padres, así como el uso de argumentos engañosos por parte de promotores del proyecto. “Son empresas que se benefician de la condición de vulnerabilidad de ciertos sectores”, advierte Lucía Camacho. Agrega que el núcleo del negocio no es la criptomoneda, sino los datos biométricos, ya que “no puedes cambiar tu iris, no puedes revocar tu huella”.

Frente a este panorama, las organizaciones sociales recomiendan no solo tomar acciones individuales, sino también impulsar reformas legales y mecanismos colectivos de defensa. Para Camacho, lo que está en juego “no es solo un iris escaneado, sino el control sobre la identidad digital, el papel del Estado frente a actores tecnológicos globales y el derecho a decidir sobre nuestros datos personales”.

Paul Aguilar sostiene que Worldcoin opera desde una lógica empresarial profundamente desigual, basada en “una narrativa extractivista y capitalista”. Aunque la empresa justifica su modelo como una solución de seguridad digital, Aguilar advierte que en realidad se trata de una estructura diseñada para extraer datos valiosos de personas en situación vulnerable a cambio de incentivos mínimos. En sus palabras, lo que ofrece es “una cantidad insignificante de dinero por algo que vale muchísimo, en términos de lo que es la integridad de una persona”. 

Explica que el problema no se resuelve aunque se retire la información o intervengan las autoridades, ya que la extracción ya se realizó: los datos fueron capturados y procesados. Para Aguilar, este tipo de prácticas deben alertar sobre la facilidad con la que se pueden repetir, pese a sus consecuencias graves y a largo plazo, especialmente en contextos de uso indebido de la información personal.

¿Para qué quieren los datos biométricos de las personas?

La llegada de Worldcoin —rebautizado en 2024 como World— en México y América Latina ha detonado un debate profundo sobre privacidad, consentimiento, vigilancia y el uso de datos biométricos en la era de la inteligencia artificial. En octubre de ese año, Sam Altman, creador de ChatGPT, relanzó el proyecto con una nueva narrativa: dejar de ser solo una criptomoneda para consolidarse como una plataforma global de verificación de humanidad. Para lograrlo, World utiliza el Orb, un dispositivo que escanea el rostro y el iris para generar una identidad digital única.

La empresa afirma que este sistema permitirá combatir bots, fraudes y suplantaciones de identidad en entornos digitales cada vez más automatizados. Su ecosistema incluye también World Chain, una red blockchain de desarrollo propio (es decir, una base de datos descentralizada, que registra transacciones digitales de manera inalterable), que promete operaciones sin comisiones y métodos de autenticación alternativos, como el uso del pasaporte o el reconocimiento facial.

Te puede interesar: El mayor robo en la historia de las criptomonedas: hackers sustraen mil 500 mdd de la empresa global Bybit

Desde la perspectiva de Miguel Rocha, director general de World para México, Centroamérica y el Caribe, el desafío de distinguir entre personas reales e inteligencias artificiales ya no es futuro, sino presente. “World lo que está intentando resolver es construir las herramientas que vamos a necesitar para la era de la inteligencia artificial, en la cual ya estamos de lleno”, afirma. Rocha señala que los mecanismos tradicionales como el CAPTCHA, diseñados para diferenciar a humanos de máquinas, han quedado obsoletos.

“Antes, este método de identificación era el cadenero digital que te dejaba entrar o no a los espacios en línea. Pero ahora, herramientas como ChatGPT, Claude y Gemini —modelos de inteligencia artificial diseñados para comprender y generar texto, imágenes y hasta video— resuelven en segundos lo que antes tomaba horas. ‘Ya deja entrar a todo el mundo’, explica.

Este escenario —advierte— ha abierto la puerta a múltiples abusos mediante bots, que van desde la compra masiva de boletos con fines de reventa, hasta la creación de perfiles falsos en aplicaciones de citas y la generación de deepfakes (videos manipulados digitalmente) que simulan testimonios de personas reales. Frente a estos retos, World propone lo que Rocha denomina “una prueba de humanidad 2.0”, una suerte de pasaporte digital único para demostrar que el usuario es una persona real. El eje de este sistema es el World ID, que se obtiene mediante la aplicación World App, disponible en dispositivos Android e iOS. El proceso inicia con la creación de una cuenta anónima. Luego, el usuario debe acudir físicamente a un Orb, un dispositivo descrito como una “cámara avanzada con múltiples funciones de seguridad”.

Este dispositivo toma una foto de gran definición del rostro y los ojos del usuario y genera lo que Rocha llama un “código de iris”, el cual define como “una representación numérica binaria, unos y ceros, de la textura de tu iris” (es decir, una secuencia digital única que identifica a cada persona). El sistema compara este código con los ya existentes en su base de datos; si no encuentra coincidencias, confirma que se trata de un nuevo ser humano y activa el World ID.

Rocha sostiene que el código generado por el Orb no debe considerarse un dato biométrico en sentido estricto. Explica que el dispositivo no conserva la imagen del iris, sino que traduce su textura en una “representación numérica binaria, unos y ceros”. “Ese código deja de ser un dato biométrico como tal; es una representación abstracta, no una imagen ni un archivo identificable. Por ende, deja de tener la propiedad de dato biométrico”, afirma. Insiste en que esta codificación es irreversible con la tecnología actual: “no puedo, por un proceso de ingeniería inversa, restituir la imagen original del iris que le dio origen”. Además, subraya que, debido a su carácter parcial, “un código de iris teóricamente podría corresponder a infinitas configuraciones posibles”, lo que —según su interpretación— imposibilita reconstruir la imagen del ojo a partir del código.

 

 

Para garantizar la seguridad de esta información, World emplea un proceso de criptografía avanzada conocido como computación multipartita anonimizada (una técnica que permite procesar datos cifrados sin necesidad de revelar la información original). El código generado se divide en múltiples fragmentos, que se encriptan y se distribuyen en distintos servidores alojados en instituciones académicas certificadas como la Universidad de Berkeley (EU) y la Universidad de Zúrich (Suiza). “Ningún código vive completamente en un solo servidor”, asegura Rocha.

Además, el paquete de datos que se usó para generar el código de iris se elimina completamente del Orb, que es el único punto del sistema en el que estuvo presente. “Cada persona es el custodio de sus datos”, señala, subrayando que “no almacenamos datos biométricos en crudo. La privacidad y seguridad son el eje y propósito de World. Si el proyecto tuviera una vulnerabilidad, se acaba”.

Rocha también destaca que el World ID ya puede utilizarse en plataformas como Reddit, Discord y Telegram (aplicaciones de mensajería y comunidades en línea muy populares entre jóvenes y entusiastas de la tecnología), así como en entornos de videojuegos con Razer (marca especializada en hardware y software para videojuegos), y próximamente en apps de citas como Tinder (una de las aplicaciones de citas más utilizadas en el mundo), gracias a alianzas con empresas como Match Group. 

Te puede interesar: Policía Cibernética alerta sobre virus para robar datos a través de supuestos videos creados con inteligencia artificial

El objetivo, dice, es consolidar un nuevo estándar de verificación de humanidad que pueda extenderse a funciones financieras y de gobernanza mediante tokens WLD: “un mecanismo de distribución de derechos sobre la red, con los que se podrá votar sobre decisiones clave del ecosistema”.

En cuanto a la sustentabilidad económica del proyecto, Rocha enfatiza que World no monetiza datos personales. “No consideramos a los usuarios como el producto. Lo que buscamos es crecer la red”, sostiene. Para entender mejor el proyecto, Rocha explica que han implementado nuevas estrategias pedagógicas. “Tenemos una mini app dentro de World App, como tipo Duolingo, muy sencilla, que explica todo”, comenta. También señala que cuentan con auditorías internas continuas para los operadores del Orb, y campañas de difusión masiva como la realizada con el luchador Místico en la Arena México, con la que buscan “difundir el mensaje de World” a públicos más amplios.

Mientras Rocha presenta a Worldcoin como una herramienta para enfrentar los desafíos de la inteligencia artificial, Lucía Camacho advierte que la empresa pretende “resolver un problema que ellos mismos (creadores de la inteligencia artificial) han creado”, al imponer como necesaria la verificación biométrica para distinguir entre humanos y bots. 

Paul Aguilar sostiene que más allá de la criptomoneda, el verdadero objetivo del proyecto es la “creación de una megabase de datos que permita diseñar sistemas de identificación mucho más precisos”. 

Los especialistas entrevistados coinciden en que la biometría, por más codificada que esté, no deja de ser un dato extremadamente sensible, y que en ningún país del mundo existen mecanismos tecnológicos que garanticen su protección total. 

Aguilar explica que el iris es un “dato biométrico permanente, inmodificable y extremadamente sensible” y que, a diferencia de una contraseña que se puede cambiar si se filtra, “el biométrico es siempre el mismo y pues es un rasgo muy particular que puede permitir identificar a una persona”. “Si se filtra, ya está expuesto para siempre”, afirmó.

Santiago Narváez, abogado de la Red en Defensa de los Derechos Digitales (R3D), advierte que el uso de “hashes” o “plantillas” de datos (los hashes son valores alfanuméricos resultantes de aplicar una función matemática que transforma datos originales en una cadena única y fija, pero que en el caso de datos biométricos puede ser reversible o vulnerable a ataques) no elimina los riesgos: “El almacenamiento de plantillas de datos biométricos es equivalente casi a tener el dato biométrico en sí”. 

Aunque Rocha asegura que su operación es “completamente voluntaria”, especialistas como Lucía Camacho, sostienen que las personas no cuentan con información suficiente para ejercer un consentimiento libre e informado. “Las políticas de privacidad son opacas y poco transparentes. La complejidad técnica actúa como un velo que impide a los usuarios entender a qué están accediendo realmente”. Santiago agregó que ni siquiera los propios reclutadores saben explicar con claridad qué se hace con los datos.

Tools for Humanity, desarrolladora de World, envió una carta aclaratoria que puede consultarse aquí, en la que detalla su postura frente a las preocupaciones sobre la recolección de datos biométricos en México. Esta aclaración se incluye únicamente para dar contexto y reflejar la versión oficial de la empresa.