Filtración en empresa de reconocimiento facial revela peligro de la biometría

La policía y las agencias federales están respondiendo a una violación masiva
de datos personales vinculada a un sistema de reconocimiento facial que se
aplicó en bares y clubes de toda Australia. El incidente pone de manifiesto
los problemas de privacidad que están surgiendo a medida que se generaliza el
uso del reconocimiento facial con base en inteligencia artificial (IA), desde
centros comerciales hasta eventos deportivos.

La empresa afectada es Outabox, con sede en Australia, que también tiene
oficinas en Estados Unidos y Filipinas. En respuesta a la pandemia de
Covid-19, Outabox estrenó un quiosco de reconocimiento facial que escanea a
los visitantes y comprueba su temperatura.

Los quioscos también pueden utilizarse para identificar a los jugadores
problemáticos que se inscribieron en una iniciativa de autoexclusión. Esta
semana apareció un sitio web llamado
“Have I Been Outaboxed”, que asegura haber sido creado por antiguos desarrolladores de Outabox en
Filipinas, y tener más de un millón de registros. El sitio pide a los
visitantes que introduzcan su nombre para comprobar si su información ha sido
incluida en una base de datos de Outabox, que, según el sitio, tenía controles
internos laxos y se compartía en una hoja de cálculo no segura.

El incidente ha indignado a los expertos en privacidad, quienes desde hace
tiempo han hecho saltar las alarmas sobre el uso de sistemas de reconocimiento
facial en espacios públicos como clubes y casinos.

“Lamentablemente, este es un ejemplo horrible de lo que puede ocurrir si se
implantan sistemas de reconocimiento facial que invaden la privacidad”,
explicó a WIRED
Samantha Floreani, responsable de políticas de la organización sin fines de
lucro Digital Rights Watch, con sede en Australia, dedicada a la privacidad y
la seguridad.
“Cuando los defensores de la privacidad advierten de los riesgos asociados
a sistemas con base en la vigilancia como este, las violaciones de datos son
uno de ellos”.

De acuerdo con el sitio, los datos incluyen
“reconocimiento facial biométrico, escaneado de la licencia de conducir,
firma, datos de afiliación al club, dirección, cumpleaños, número de
teléfono, marcas de tiempo de visita al club, uso de máquinas
tragamonedas”. Y apunta que Outabox exportó todos los datos de afiliación de IGT,
proveedor de máquinas de juego.

Los propietarios del sitio publicaron una foto, una firma y un permiso de
conducir pertenecientes a uno de los fundadores de Outabox, así como una
captura de pantalla de la supuesta hoja de cálculo interna.

“Outabox es consciente y está respondiendo a un incidente cibernético que
potencialmente involucra alguna información personal. Hemos estado en
comunicación con un grupo de nuestros clientes para informarles y delinear
nuestra estrategia para responder. Debido a la investigación policial
australiana en curso, no podemos proporcionar más información en este
momento”, indicó un portavoz de Outabox a WIRED.

No está claro hasta qué punto es cierta la historia que se cuenta en el sitio
web, o si los autores tienen siquiera los datos biométricos que se reclaman.
El experto australiano en ciberseguridad Troy Hunt, fundador del sitio web de
notificación de leaks, Have I Been Pwned, expresa a WIRED que hay pocas
razones para dudar de ello en este momento.

Fuente:
Wired

Leave Your Comment