En un interesante suceso, las autoridades policiales y federales han movilizado recursos para abordar una preocupante violación masiva de datos personales asociada a un sistema de reconocimiento facial implementado en bares y clubes en toda Australia. Este incidente pone de relieve los crecientes problemas de privacidad que acompañan la proliferación del reconocimiento facial basado en inteligencia artificial (IA), desde centros comerciales hasta eventos deportivos.
La empresa en el epicentro de esta crisis es Outabox, con sede en Australia, pero con presencia también en Estados Unidos y Filipinas. En respuesta a la pandemia de Covid-19, Outabox implementó puestos de reconocimiento facial que no solo escanean la temperatura de los visitantes, sino que también pueden identificar a jugadores problemáticos inscritos en programas de autoexclusión.
La revelación de un sitio web llamado «Have I Been Outaboxed» esta semana ha agregado combustible al fuego. Este sitio, supuestamente creado por antiguos desarrolladores de Outabox en Filipinas, afirma tener más de un millón de registros. Invita a los visitantes a verificar si sus datos han sido comprometidos en una base de datos de Outabox, la cual, según el sitio, estaba mal protegida y compartida en una hoja de cálculo no segura.
Este incidente ha suscitado la indignación de expertos en privacidad, quienes han estado advirtiendo durante mucho tiempo sobre los riesgos asociados con el uso de sistemas de reconocimiento facial en espacios públicos. Samantha Floreani, responsable de políticas de Digital Rights Watch, una organización sin fines de lucro en Australia centrada en la privacidad y la seguridad, expresó su preocupación: «Lamentablemente, este es un ejemplo horrible de lo que puede ocurrir si se implantan sistemas de reconocimiento facial que invaden la privacidad».
Los datos comprometidos, según el sitio web, incluyen información biométrica de reconocimiento facial, escaneos de licencia de conducir, firmas, detalles de afiliación al club, direcciones, fechas de nacimiento, números de teléfono y registros de visita a los clubes, así como detalles sobre el uso de máquinas tragamonedas. Además, se afirma que Outabox exportó todos los datos de afiliación de IGT, un proveedor de máquinas de juego.
La reacción de Outabox a este escándalo ha sido cautelosa. Un portavoz de la empresa declaró que están «respondiendo a un incidente cibernético que potencialmente involucra información personal» y que están colaborando con las autoridades y clientes afectados. Sin embargo, la empresa ha declinado ofrecer más detalles debido a la investigación policial en curso.
La veracidad de la información proporcionada por el sitio «Have I Been Outaboxed» aún está en duda. Aunque los propietarios del sitio han publicado supuestas pruebas, como una foto, firma y permiso de conducir de uno de los fundadores de Outabox, la autenticidad de estos datos no ha sido verificada de manera independiente.
Expertos en ciberseguridad como Troy Hunt, fundador del popular sitio web de notificación de brechas de datos «Have I Been Pwned», han expresado cautela pero admiten que hay pocas razones para dudar de la veracidad de los reclamos en este momento.
Este incidente destaca la necesidad urgente de una reforma en la regulación de la privacidad y la implementación de restricciones más estrictas sobre la tecnología de reconocimiento facial. Como advierte Floreani, «Necesitamos una reforma audaz de la privacidad y limitaciones estrictas a la tecnología de reconocimiento facial. Como siempre, vigilancia no es seguridad».
A medida que la investigación policial continúa y se desentrañan más detalles sobre este escandaloso caso de violación de datos, queda claro que la privacidad y la seguridad de los ciudadanos están en juego en un mundo cada vez más dominado por la tecnología de vigilancia.
Ciberprisma - alianza por la ciberseguridad 