Según un borrador del informe del 14 de marzo del equipo de desarrollo, el proyecto de identidad humana Worldcoin recibió una auditoría de terceros de su software Orb. La analisis, realizada por Rastro de bits, afirmó no haber encontrado vulnerabilidades de seguridad que pudieran estar directamente expuestas a un ataque de piratería en relación con los objetivos declarados del proyecto. Un comunicado por correo electrónico de Worldcoin espera que el informe completo de Trail of Bits se publique el 14 de marzo.
Informe de seguridad de Worldcoin
Worldcoin permite a las personas verificar sus identidades registrándose con un número de teléfono o dirección de correo electrónico, o escaneando su iris con un dispositivo Orb. Cuando un usuario completa este registro, obtiene una identificación mundial que puede usarse para demostrar que es una persona real. El proyecto fue creado por Sam Altman, quien también es cofundador de ChatGPT desarrollador OpenAI. Altman afirmó que ayudó a abordar Worldcoin debido al temor de que los robots de inteligencia artificial pronto podrían actuar de manera efectiva como los humanos.
Los defensores de la privacidad han criticado a Worldcoin por el riesgo de filtrar los escaneos del iris de los usuarios a piratas informáticos o gobiernos. Estos escaneos de iris podrían usarse para revelar todas las actividades que una persona ha realizado con su World ID. Según el informe de Worldcoin, Trail of Bits comenzó su evaluación el 14 de agosto de 2023. La empresa de seguridad recibió la versión «congelada» 3.1.10 para su evaluación el 8 de julio de 2023. El informe indicó que la versión actual era 4.0.34.
Los auditores pasaron seis semanas examinando el código en busca de posibles vulnerabilidades de seguridad. Evaluaron varios vectores de ataque que un hacker podría usar para obtener el escaneo del iris de un usuario, pero finalmente concluyeron que el análisis no reveló ninguna vulnerabilidad de seguridad que fuera directamente susceptible de ser atacada en relación con los objetivos del proyecto como se describe en el código de Orb. Al respecto se hizo la siguiente declaración:
“Creemos que el código del iris no está escrito en el almacenamiento persistente de Orb y solo se incluye en una única solicitud al backend de Orb. Aunque esta configuración podría hacerse más segura (TOB-ORB-10), los atacantes típicos no pueden extraer el código de iris del tráfico de red de Orb, y el atacante necesitaría tener el control de uno de los certificados confiables”.
Detalles destacables
Según el informe, los auditores hicieron dos recomendaciones para mejorar la seguridad de Orb. El primero fue fortalecer la configuración del flujo de registro para garantizar que los cambios futuros no introduzcan problemas de seguridad. El segundo fue reemplazar la biblioteca ZBar utilizada para escanear códigos QR durante el registro por una versión pura de Rust. Los auditores afirmaron que si no se realiza este cambio, ZBar podría tener problemas de seguridad de la memoria que podrían filtrar datos de configuración, como la elección de almacenamiento de datos del usuario. El informe indicó que el equipo de Worldcoin implementó ambos cambios sugeridos.
Las discusiones sobre las prácticas de privacidad de Worldcoin pueden continuar durante algún tiempo. El 6 de marzo, la Agencia Española de Protección de Datos emitió una medida cautelar contra el proyecto, alegando que necesitaba tiempo para investigar las acusaciones de que Worldcoin violaba las leyes de protección de datos. En respuesta, Worldcoin afirmó que no violó estas leyes y acusó al gobierno español de eludir las leyes de la UE al emitir la medida cautelar.
Descarga de responsabilidad: La información contenida en este artículo no constituye asesoramiento de inversión. Los inversores deben ser conscientes de que las criptomonedas conllevan una alta volatilidad y, por tanto, riesgos, y deben realizar su propia investigación.