Worldcoin anunció recientemente la liberación del código de su Orb, el aparato con forma de ojo con el que la compañía escanea el iris de las personas para darnos una identidad única en su blockchain, a cambio de un puñado de tokens. En Observatorio Blockchain hemos analizado dicha liberación y a continuación te mostramos lo que nos hemos encontrado. Antes es importante un poco de contexto.
WORLDCOIN Y SU ESCANEO DE IRIS CHOCAN CON LAS LEYES DE EUROPA
Desde su lanzamiento, la compañía Worldcoin ha estado rodeada de polémica. Podría decirse que la actividad principal de Worldcoin es comprar nuestro iris, identidad y privacidad. Una actividad que ha recibido numerosas críticas y denuncias. La principal y más recurrente es que Worldcoin se aprovecha de las personas necesitadas de dinero para comprar su iris y que éstas muchas veces no saben lo que conlleva vender lo que esconden sus ojos por unas pocas criptomonedas. Esta práctica ha sido puesta en entredicho en muchos países. De momento, España y Kenia han paralizado las actividades de Worlcdoin en sus territorios.
Presiones de EEUU en Kenia
La Agencia Española de Protección de Datos (AEPD) ordenó a primeros de marzo a Worldcoin el cese en la recogida y tratamiento de datos y bloquear los ya recopilados. La actuación de la AEDP es una medida cautelar y temporal, con un periodo de validez máximo de tres meses.
ESPAÑA EXIGE A WORLDCOIN QUE CESE LA RECOGIDA DE DATOS CON EL IRIS
En el caso de Kenia, el secretario del Gabinete del Interior, Kithure Kindiki, denunció hace unos días en el Parlamento presiones del Gobierno de Estados Unidos para revocar la suspensión de actividades de Worldcoin. Kindiki, según informó NTVKenya, dijo que el Gobierno no levantará la suspensión impuesta a WorldCoin en agosto de 2023. Worldcoin es una compañía fundada por Sam Altman, también creador de OpenAI y su famoso ChatGPT.
Worldcoin código Orb
Ante tales presiones, la respuesta de Worldcoin ha sido «liberar el código de su Orb y hacer más transparente este desarrollo». Lo que ha hecho Worldcoin ha sido subir el código de Orb a un Github accesible para todo el mundo. Conviene recordar que Microsoft, principal accionista de OpenAi, compró Github por 7.500 millones de dólares en 2018.
ARGENTINA INVESTIGA A WORLDCOIN, LA COMPAÑÍA QUE DA DINERO POR ESCANEAR EL IRIS
Un lavado de cara
Está claro que Worldcoin no ha liberado el código por una cuestión de conciencia o respeto a la idea del software libre. Lo ha hecho forzado por la situación. Se trata de un lavado de cara ante la opinión pública para poder continuar con el negocio. Esto puede verse claramente si comparamos la decisión de Worldcoin con la inmensa mayoría de proyectos blockchain existentes, que han sido software libre desde sus inicios.
¿Imaginas que Satoshi Nakamoto hubiese lanzado Bitcoin como un proyecto privativo en lugar de software libre? Seguramente, la historia de Bitcoin sería muy distinta y difícilmente hubiese alcanzado el nivel de éxito del que disfruta en la actualidad. La misma situación se repite con otros proyectos, como Ethereum, Solana o Polkadot. Todos nacieron como software libre y se mantienen como tal.
No todo ha sido liberado
En el caso de Worldcoin, no todo el software relacionado con el proyecto ha sido verdaderamente liberado. Recordemos que el Orb de Worldcoin es un dispositivo de hardware que funciona con una serie de elementos electrónicos que ejecutan firmware privativo. El firmware es una pieza de software binario que se ejecuta a muy bajo nivel dentro del hardware y el Orb de Worldcoin está lleno de firmware. Un firmware que no se ha liberado, ni se liberará jamás.
HONG KONG INICIA UNA INVESTIGACIÓN CONTRA WORLDCOIN POR ESCANEAR IRIS
Empezando por su procesador, un NVIDIA Jetson Xavier NX que es el encargado de ejecutar diversas redes neuronales que hacen el trabajo pesado de Orb. Este pequeño chip es el cerebro del Orb y está, por supuesto, lleno de firmware del que no sabemos nada y que Worldcoin no puede liberar, ya que no tiene el permiso para ello (solo NVIDIA puede hacerlo).
Firmware se mantiene privado
Lo mismo sucede con una serie de módulos electrónicos con los que funciona Orb:
- Módulo WiFi y Bluetooth: Permite a Orb tener conectividad a Internet y control remoto, este dispositivo ejecuta un firmware que no ha sido liberado. Según las especificaciones es un Intel AX200.
- Módulo de red celular: Otro elemento manejado por medio de firmware y que tampoco ha sido liberado.
- Módulo NFC: Este es otro elemento controlado por medio de firmware.
- Módulo GPS: También es controlado por medio de firmware.
- Cámara térmica: Controlada por firmware y tampoco ha sido liberado.
- 2D ToF: También controlado por firmware.
- Face e Eye IR Cam: Ambas cámaras son controladas por firmware
- RGB Cam: Controlada por firmware.
Se trata de nombres o elementos reconocidos por Worldcoin en su esquemático:
Sí hay un firmware adicional disponible. Se trata del firmware de Zephyr, que puedes ver en este enlace.
¿Debemos preocuparnos?
La respuesta corta es sí. Todo esto debe preocuparnos y mucho. El firmware de estos dispositivos permite controlarlos a un nivel que el software más superior no puede. Todo esto es debido a que el firmware se ejecuta o «vive» dentro de los propios chips. Esto significa que si el firmware es vulnerable, el dispositivo también lo es. Hasta el punto de que es poco probable que el operador de dichos dispositivo se dé cuenta de ello.
De todo esto ya tenemos un largo historial. Por ejemplo, seguramente estés leyendo este artículo desde un computador personal o smartphone. Pues bien, para la gran mayoría de estos dispositivos hay un fallo conocido como Meltdown, que permite a un atacante obtener información de tu computador o smartphone sin que te des cuenta de ello. Se trata de un fallo «complejo de explotar», pero cualquier persona con recursos y conocimientos puede hacerlo (ej: un gobierno). ¿La solución para arreglarlo? Una actualización de firmware para los dispositivos afectados, pero que no soluciona por completo el problema, solo lo hace más difícil de usar e incluso así, con fallas.
El ejemplo anterior es solo una muestra de por qué nos debe preocupar el firmware y por qué el anuncio de Worldcoin lleva trampa: Worldcoin ha liberado el software que le conviene. Incluso con la liberación, hay cosas en el código que dejan mucho que pensar.
Orb y los puntos flacos de su software
Lo siguiente que puede observarse en la liberación de código de Worldcoin es que el repositorio público no es el repositorio de desarrollo principal. Para entender esto de forma clara puedes tener en cuenta este ejemplo:
Cuando vas al repositorio de Bitcoin, puedes ver claramente el código total del proyecto. De hecho, puedes tomar ese código, compilarlo y obtener como resultado el software que hace funcionar a Bitcoin. Esta misma situación se repite en otros proyectos de software libre, como Linux, OpenBSD o FreeBSD. En todos ellos, puedes tomar el código, compilarlo y utilizarlo, porque te dará un producto de software terminado y listo para usar.
Eso no pasa con el código liberado de Worldcoin. En primer lugar, en el repositorio de Worldcoin puedes ver que hay «repositorios privados» (hacen mención al repositorio de SeekThermal, pero pasa con otros elementos de hardware) que son necesarios para construir el software necesario para que Orb funcione. Repositorios privados a los que no tienes acceso y que tienen un enorme peso a la hora de lograr la correcta funcionalidad de Orb. Sobre todo, por qué están relacionados con la interacción de los elementos privativos/firmware de Orb.
Liberado pero no completamente funcional
¿Qué significa todo esto? Que si bien parte del código de Orb de Worldcoin está libre, tomar estas piezas y compilarlas no significa que vaya a funcionar. Es, por tanto, una liberación parcial del software. Con muchas cosas en una caja oscura que no pueden verse. Esto rompe por completo los principios e ideario del software libre. Sin duda, lo peor que Worldcoin puede hacer frente a la comunidad.
La liberación de Worldcoin es un paso adelante, pero insuficiente. El hecho de que existan repositorios privados, firmware no aclarado, implementaciones condicionales indebidas en el código, dejan mal parada a Worldcoin en términos de transparencia.
Link del artículo original
Si el presente artículo, video o foto intrigue cualquier derecho de autor por favor señálelo al correo del autor o en la caja de comentarios.