700 mil personas venden sus datos biométricos por bitcoins a empresa que opera en el limbo legal en México

En octubre de 2024, más de setenta personas hacían fila en una plaza comercial de Iztapalapa. Todas esperaban recibir dinero a cambio de algo que apenas comprendían: tomarse una foto del rostro y ojos frente a una esfera metálica que escaneaba el iris. La información se había difundido entre vecinos y familiares. Así fue como Rebeca, su hermana Samantha y varios integrantes de su familia llegaron al módulo de Worldcoin.

“Nos dijeron que daban dinero por descargar una app”, recuerda Rebeca. Su padre fue el primero, pero no pasó el escaneo; luego su madre sí lo logró. Después siguieron hijas, esposos y cuñados. La promesa era de mil pesos por persona y pagos mensuales durante un año. Sin embargo, el monto disminuyó por la fluctuación del valor de la criptomoneda: apenas 800 pesos al principio, y luego 50 o menos.

El proceso fue rápido y confuso. Les compartieron internet, descargaron la aplicación, aceptaron permisos sin explicaciones y pasaron frente al Orb, el escáner biométrico. Además, desde sus propios teléfonos tomaron una foto de su rostro y confirmaron términos de uso que nunca entendieron del todo.

Samantha lo resume así: “nos dijeron que los datos estarían seguros, pero nunca explicaron para qué los querían ni quién estaba detrás del proyecto”. Ella tenía una deuda urgente, actuó por necesidad. Ninguna volvió a abrir la app. Nunca supieron qué ocurrió con su información.

La experiencia de Rebeca y Samantha no es aislada. Investigaciones realizadas por la Organización No Gubernamental Amaranta en Chile revelan patrones similares: personas en situación vulnerable, con baja alfabetización digital y escasa información sobre los riesgos asociados a entregar sus datos personales y biométricos. 

Cecilia Ananías Soto, fundadora de Amaranta, documentó que muchas personas se acercaron al Worldcoin “simplemente porque necesitaban el bono”. Para quienes enfrentan problemas económicos inmediatos, pensar en riesgos futuros es un lujo. Muchas mujeres acudían con sus bebés y dependían de terceros para retirar el dinero, lo que aumentaba su vulnerabilidad. En algunos casos, incluso menores de edad participaron en el proceso, algo legalmente prohibido.

De acuerdo al estudio realizado por la organización Amaranta “Venta de datos biométricos a Worldcoin en Chile: vulnerabilidades en un país al debe con la protección de datos”, el consentimiento, uno de los pilares de la ética en el manejo de datos personales, aparece como un gran ausente en este contexto. La mayoría de los usuarios no fueron informados adecuadamente sobre los riesgos ni la finalidad real del escaneo biométrico. Las personas que promovían la recolección de datos muchas veces no brindaban información precisa e incluso daban datos falsos, asegurando, por ejemplo, que se trataba de una tarjeta prepago y no de un intercambio por una fotografía de su rostro y de sus datos biométricos.

“Esto genera un consentimiento viciado. La gente actúa con las herramientas que tiene en un momento de vulnerabilidad, no de forma libre ni informada”, explica la investigadora. Según el estudio de Amaranta, solo dos de los entrevistados se sintieron informados y cómodos con su decisión. El resto manifestó haber actuado en condiciones de urgencia o desconocimiento. 

Una visita realizada en julio de 2025 a un punto de verificación ubicado en Iztapalapa permite corroborar estos patrones. Al llegar, el operador explicó que, solo por permitir que se capturara una imagen del rostro y del iris, se otorgaba un bono de mil pesos. Agregó que, si se llevaban a más personas, era posible obtener aún más dinero. El procedimiento fue sencillo: primero se tomaba una fotografía con el celular del propio usuario para verificar su identidad; después, el escaneo biométrico se realizaba con el dispositivo Orb.

Cuando se preguntó sobre la protección de los datos personales, el operador únicamente entregó un folleto y explicó de forma muy general el uso de las aplicaciones, sin brindar información concreta sobre el tratamiento o destino de los datos recolectados. Una semana después, al intentar cobrar los tokens obtenidos, se subió a la plataforma una copia de la identificación oficial (INE), los datos de una cuenta bancaria personal, al final, sólo fue posible retirar 499 pesos, lo que evidenció una diferencia significativa en la conversión y disponibilidad de los incentivos prometidos.

De acuerdo con el sitio oficial de Worldcoin, los llamados operadores comunitarios pueden rentar o adquirir los dispositivos Orb para realizar escaneos de iris en distintos puntos. Esta descentralización o subcontratación facilita la expansión del proyecto en comunidades diversas, pero también plantea dudas sobre los mecanismos de supervisión, el cumplimiento normativo y las condiciones reales en las que se recolecta la información personal y biométrica.

Datos personales sin garantías

Desde su llegada a la Ciudad de México en julio de 2023, el proyecto Worldcoin —hoy rebautizado como World— ha provocado una ola de cuestionamientos legales, éticos e institucionales. Pero organizaciones civiles, expertos en derechos digitales y legisladores han advertido sobre los riesgos de entregar datos personales y biométricos sensibles a una compañía extranjera sin claridad sobre su uso, almacenamiento o transferencia.

En abril de 2024, la diputada María Eugenia Hernández (Morena) presentó un punto de acuerdo y solicitó al Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) evaluar el impacto del proyecto en la protección de datos. El organismo inició una investigación de oficio, pero nunca se hizo público su resultado. 

Santiago Narváez Herrasti, abogado de la Red en Defensa de los Derechos Digitales (R3D), confirma: “Busqué expedientes, comunicados o medidas cautelares en el sitio del INAI y no encontré nada. No hay información pública disponible”.

Al igual que Santiago, buscamos evidencia documental sin éxito; apenas encontramos una publicación en la red social X del 4 de septiembre de 2024. Hasta el momento ninguno de los exfuncionarios del INAI, incluyendo a su excomisionado Adrián Alcalá, accedió a comentar para este reportaje.

Mientras que la Fiscalía General de la República negó la entrega de la información solicitada sobre Worldcoin, argumentando que revelar la existencia o inexistencia de investigaciones en curso contra una persona moral identificable implicaría divulgar su situación jurídica, lo que podría afectar derechos como la intimidad, el honor, la presunción de inocencia y la protección de datos. Con base en la Ley General de Transparencia y el Código Nacional de Procedimientos Penales, la dependencia clasificó la información como confidencial y reservada, alegando que solo las partes involucradas pueden acceder a esos registros, incluso tratándose de un tema de interés público.

La Ley Federal de Protección de Datos Personales en Posesión de los Particulares, vigente hasta marzo de 2025, definía los datos personales como cualquier información que identificara a una persona —como nombre, dirección o teléfono— y consideraba los datos biométricos (rostro, iris, huellas) como especialmente sensibles. Su aplicación y vigilancia correspondían al INAI, desaparecido con la reforma que creó la nueva Secretaría Anticorrupción y de Buen Gobierno.

Narváez advierte que esta desaparición dejó a México sin una instancia autónoma y con capacidad sancionatoria frente a violaciones como las que empresas como Worldcoin podrían realizar. “La ley fue diseñada en un contexto predigital. No contempla tecnologías emergentes ni proyectos globales como este. No hay una instancia clara que pueda sancionar malas prácticas ni garantizar una protección efectiva”, afirma. Incluso antes de su disolución, señala, el INAI ya mostraba limitaciones en su actuar: frente a casos sensibles como la implementación del reconocimiento facial en estadios mediante el sistema Fan ID, terminó cediendo ante presiones.

El INAI había iniciado un procedimiento sancionador contra la Federación Mexicana de Fútbol por el uso opaco de la aplicación Fan ID, que recopila datos personales y biométricos de los asistentes a los estadios, aunque en última instancia se sancionó sólo a la Federación y no a la empresa responsable. Estas investigaciones quedaron a cargo de la Secretaría Anticorrupción y de Buen Gobierno tras la desaparición del organismo.

Lucía Camacho, coordinadora de políticas públicas de la organización Derechos Digitales, una organización basada en Chile que se dedica a la defensa y promoción de los derechos humanos en entornos digitales, coincide: el problema no es solo legal, sino también institucional. “Nuestras autoridades no tienen facultades para enfrentar a estas empresas transnacionales”, señala. La estructura opaca de Worldcoin —a través de su matriz Tools for Humanity y una red de operadores locales— impide saber con certeza quién es responsable del tratamiento de los datos y si es posible eliminarlos una vez entregados. “Las decisiones de nuestras autoridades no se cumplen porque no tienen alcance fuera de sus jurisdicciones”, advierte.

Lucia Camacho ofrece una lectura estructural del problema. La desaparición del INAI, dice, responde a una reforma que “eliminó su autonomía, su independencia técnica y operativa”, dejando a la nueva autoridad “subsumida a otras autoridades que le dicen cómo hacer y qué hacer tratándose de su trabajo”. 

Esta subordinación institucional ocurre, además, “en un momento de extrema ventaja para las autoridades y de mucha más intensa vulnerabilidad para las personas”, quienes ya no cuentan con un contrapeso que pueda “en pie de igualdad […] exigir el respeto de los derechos a la protección de datos y privacidad de la ciudadanía”. Para Lucia Camacho, el desmantelamiento del INAI implica perder una referencia regional: “el INAI era un modelo ejemplo, un modelo a seguir”, afirma. “Hemos perdido ese faro que iluminaba conversaciones importantes entre acceso a la información y protección de datos”.

Frente a este panorama, Camacho insiste en que “las autoridades solas no van a poder, tienen que actuar de manera conjunta y transjurisdiccional” para hacer frente a corporaciones tecnológicas que operan con estructuras jurídicas complejas y poca transparencia. 

Miguel Rocha, director general de World para México, Centroamérica y Canadá, afirma cumplir “con los marcos legales de todos los mercados donde operamos”, la realidad mexicana —de acuerdo con Santiago Narváez— es que sin un órgano autónomo, con escasa supervisión y sin herramientas de sanción eficaces, deja a la ciudadanía sin garantías ni mecanismos efectivos para exigir el respeto de sus derechos fundamentales.

Para Narváez y Camacho el consentimiento que Worldcoin solicita a cambio de pagos en criptomonedas no es válido. “El componente transaccional elimina cualquier libertad. No hay equilibrio entre las partes”, afirma Camacho. “Una persona a la que le compran sus datos no está en condiciones de decidir libremente”.

Por su parte, Miguel Rocha sostiene que la empresa ha actuado con transparencia. “Hubo acercamientos con el INAI antes de la reforma. Hoy hay diálogo con la nueva Secretaría Anticorrupción y de Buen Gobierno”, afirma. Rocha asegura que el cumplimiento legal es una prioridad para la compañía.

Hoy, más de 12 millones de personas en todo el mundo han obtenido una World ID verificada usando el Orb, y más de 26 millones han creado una cuenta en World App, aunque no todas han sido verificadas mediante datos biométricos. En México, más de 700,000 personas han sido verificadas mediante escaneo de iris, y hay más de 1.3 millones de cuentas activas registradas en la aplicación asociada. 

Un marco legal debilitado

En marzo de 2025, una reforma a la Ley de Protección de Datos Personales eliminó al INAI y creó en su lugar la Secretaría Anticorrupción y de Buen Gobierno. La nueva legislación introdujo cambios contradictorios: por un lado, obliga a obtener nuevo consentimiento si los datos se usan para fines distintos; por otro, eliminó la obligación de informar sobre transferencias de datos a terceros.

Paul Aguilar de SocialTIC, una organización dedicada a promover el uso estratégico y seguro de la tecnología para la transformación social, considera que estos cambios representaron un retroceso: “Muchos mecanismos básicos desaparecieron. Hoy no hay garantías reales para proteger datos biométricos. No puedes cambiar tu iris como si fuera una contraseña”. También advierte que el modelo de Worldcoin podría ser replicado —o superado— por el propio Estado mexicano.

Cita como ejemplo el nuevo Registro Único de Identidad, que fusionará la CURP con datos biométricos (como el iris), además de información financiera, médica y de telecomunicaciones. Camacho subraya que el Estado tiene el poder de condicionar el acceso a derechos esenciales al suministro de datos sensibles. “Con el Estado no puedes negarte”, advierte. “Esto entrega un poder desproporcionado a un aparato que ha demostrado prácticas de vigilancia y uso político de la información”.

Aguilar recuerda el caso del Padrón Nacional de Usuarios de Telefonía Móvil (PANAUT), cuya base de datos fue vulnerada, facilitando extorsiones y secuestros. “No se puede confiar en el manejo estatal de datos sensibles”, advierte. También alerta sobre sistemas como la Torre Centinela en Chihuahua —que comparte datos biométricos con autoridades de Texas— y el uso de inteligencia artificial en la frontera sur. “Todo esto ya deriva en persecuciones, violencia y desapariciones. La combinación de IA, criptomonedas y biometría configura un sistema de hipervigilancia real”, concluye.

Aguilar considera que lo más preocupante es la utilización de estos sistemas en contextos de alta desigualdad, sin supervisión efectiva. “No es una distopía lejana”, sentencia. Worldcoin, dice, no es un caso aislado, sino parte de un fenómeno tecno-político global. Las criptomonedas, afirma, requieren infraestructura costosa, consumo energético elevado y no han resuelto los problemas estructurales de la economía. Lo que sí hacen —dice— es incentivar un modelo de explotación basado en los datos personales y biométricos.

¿Para qué quieren los datos biométricos de las personas?

La llegada de Worldcoin —rebautizado en 2024 como World— en México y América Latina ha detonado un debate profundo sobre privacidad, consentimiento, vigilancia y el uso de datos biométricos en la era de la inteligencia artificial. En octubre de ese año, Sam Altman, creador de ChatGPT, relanzó el proyecto con una nueva narrativa: dejar de ser solo una criptomoneda para consolidarse como una plataforma global de verificación de humanidad. Para lograrlo, World utiliza el Orb, un dispositivo que escanea el rostro y el iris para generar una identidad digital única.

La empresa afirma que este sistema permitirá combatir bots, fraudes y suplantaciones de identidad en entornos digitales cada vez más automatizados. Su ecosistema incluye también World Chain, una red blockchain de desarrollo propio (es decir, una base de datos descentralizada, que registra transacciones digitales de manera inalterable), que promete operaciones sin comisiones y métodos de autenticación alternativos, como el uso del pasaporte o el reconocimiento facial.

Desde la perspectiva de Miguel Rocha, director general de World para México, Centroamérica y Canadá, el desafío de distinguir entre personas reales e inteligencias artificiales ya no es futuro, sino presente. “World lo que está intentando resolver es construir las herramientas que vamos a necesitar para la era de la inteligencia artificial, en la cual ya estamos de lleno”, afirma. Rocha señala que los mecanismos tradicionales como el CAPTCHA, diseñados para diferenciar a humanos de máquinas, han quedado obsoletos.

“Antes, este método de identificación era el cadenero digital que te dejaba entrar o no a los espacios en línea. Pero ahora, herramientas como ChatGPT, Claude y Gemini —modelos de inteligencia artificial diseñados para comprender y generar texto, imágenes y hasta video— resuelven en segundos lo que antes tomaba horas. ‘Ya deja entrar a todo el mundo’, explica.

Este escenario —advierte— ha abierto la puerta a múltiples abusos mediante bots, que van desde la compra masiva de boletos con fines de reventa, hasta la creación de perfiles falsos en aplicaciones de citas y la generación de deepfakes (videos manipulados digitalmente) que simulan testimonios de personas reales. Frente a estos retos, World propone lo que Rocha denomina “una prueba de humanidad 2.0”, una suerte de pasaporte digital único para demostrar que el usuario es una persona real. El eje de este sistema es el World ID, que se obtiene mediante la aplicación World App, disponible en dispositivos Android e iOS. El proceso inicia con la creación de una cuenta anónima. Luego, el usuario debe acudir físicamente a un Orb, un dispositivo descrito como una “cámara avanzada con múltiples funciones de seguridad”.

Este dispositivo toma una foto de gran definición del rostro y los ojos del usuario y genera lo que Rocha llama un “código de iris”, el cual define como “una representación numérica binaria, unos y ceros, de la textura de tu iris” (es decir, una secuencia digital única que identifica a cada persona). El sistema compara este código con los ya existentes en su base de datos; si no encuentra coincidencias, confirma que se trata de un nuevo ser humano y activa el World ID.

Rocha sostiene que el código generado por el Orb no debe considerarse un dato biométrico en sentido estricto. Explica que el dispositivo no conserva la imagen del iris, sino que traduce su textura en una “representación numérica binaria, unos y ceros”. “Ese código deja de ser un dato biométrico como tal; es una representación abstracta, no una imagen ni un archivo identificable. Por ende, deja de tener la propiedad de dato biométrico”, afirma. Insiste en que esta codificación es irreversible con la tecnología actual: “no puedo, por un proceso de ingeniería inversa, restituir la imagen original del iris que le dio origen”. Además, subraya que, debido a su carácter parcial, “un código de iris teóricamente podría corresponder a infinitas configuraciones posibles”, lo que —según su interpretación— imposibilita reconstruir la imagen del ojo a partir del código.

Para garantizar la seguridad de esta información, World emplea un proceso de criptografía avanzada conocido como computación multipartita anonimizada (una técnica que permite procesar datos cifrados sin necesidad de revelar la información original). El código generado se divide en múltiples fragmentos, que se encriptan y se distribuyen en distintos servidores alojados en instituciones académicas certificadas como la Universidad de Berkeley (EU) y la Universidad de Zúrich (Suiza). “Ningún código vive completamente en un solo servidor”, asegura Rocha.

Además, el paquete de datos que se usó para generar el código de iris se elimina completamente del Orb, que es el único punto del sistema en el que estuvo presente. “Cada persona es el custodio de sus datos”, señala, subrayando que “no almacenamos datos biométricos en crudo. La privacidad y seguridad son el eje y propósito de World. Si el proyecto tuviera una vulnerabilidad, se acaba”.

Rocha también destaca que el World ID ya puede utilizarse en plataformas como Reddit, Discord y Telegram (aplicaciones de mensajería y comunidades en línea muy populares entre jóvenes y entusiastas de la tecnología), así como en entornos de videojuegos con Razer (marca especializada en hardware y software para videojuegos), y próximamente en apps de citas como Tinder (una de las aplicaciones de citas más utilizadas en el mundo), gracias a alianzas con empresas como Match Group. 

El objetivo, dice, es consolidar un nuevo estándar de verificación de humanidad que pueda extenderse a funciones financieras y de gobernanza mediante tokens WLD: “un mecanismo de distribución de derechos sobre la red, con los que se podrá votar sobre decisiones clave del ecosistema”.

En cuanto a la sustentabilidad económica del proyecto, Rocha enfatiza que World no monetiza datos personales. “No consideramos a los usuarios como el producto. Lo que buscamos es crecer la red”, sostiene. Para entender mejor el proyecto, Rocha explica que han implementado nuevas estrategias pedagógicas. “Tenemos una mini app dentro de World App, como tipo Duolingo, muy sencilla, que explica todo”, comenta. También señala que cuentan con auditorías internas continuas para los operadores del Orb, y campañas de difusión masiva como la realizada con el luchador Místico en la Arena México, con la que buscan “difundir el mensaje de World” a públicos más amplios.

Mientras Rocha presenta a Worldcoin como una herramienta para enfrentar los desafíos de la inteligencia artificial, Lucía Camacho advierte que la empresa pretende “resolver un problema que ellos mismos (creadores de la inteligencia artificial) han creado”, al imponer como necesaria la verificación biométrica para distinguir entre humanos y bots. 

Paul Aguilar sostiene que más allá de la criptomoneda, el verdadero objetivo del proyecto es la “creación de una megabase de datos que permita diseñar sistemas de identificación mucho más precisos”. 

Los especialistas entrevistados coinciden en que la biometría, por más codificada que esté, no deja de ser un dato extremadamente sensible, y que en ningún país del mundo existen mecanismos tecnológicos que garanticen su protección total. 

Aguilar explica que el iris es un “dato biométrico permanente, inmodificable y extremadamente sensible” y que, a diferencia de una contraseña que se puede cambiar si se filtra, “el biométrico es siempre el mismo y pues es un rasgo muy particular que puede permitir identificar a una persona”. “Si se filtra, ya está expuesto para siempre”, afirmó.

Santiago Narváez, abogado de la Red en Defensa de los Derechos Digitales (R3D), advierte que el uso de “hashes” o “plantillas” de datos (los hashes son valores alfanuméricos resultantes de aplicar una función matemática que transforma datos originales en una cadena única y fija, pero que en el caso de datos biométricos puede ser reversible o vulnerable a ataques) no elimina los riesgos: “El almacenamiento de plantillas de datos biométricos es equivalente casi a tener el dato biométrico en sí”. 

Aunque Rocha asegura que su operación es “completamente voluntaria”, especialistas como Lucía Camacho, sostienen que las personas no cuentan con información suficiente para ejercer un consentimiento libre e informado. “Las políticas de privacidad son opacas y poco transparentes. La complejidad técnica actúa como un velo que impide a los usuarios entender a qué están accediendo realmente”. Santiago agregó que ni siquiera los propios reclutadores saben explicar con claridad qué se hace con los datos.

Alfabetización digital y el mito de los “nativos digitales”

Cecilia Ananías, desde Amaranta, ha ofrecido una perspectiva crítica sobre la concepción de los “nativos digitales” y la necesidad de una alfabetización digital sólida. Ha enfatizado que es fundamental abandonar la idea de que las nuevas generaciones comprenden automáticamente la tecnología. Aunque los jóvenes manejan aplicaciones y saben scrollear, esto no implica un conocimiento funcional o profundo: “si se les pide mover un documento en Word o usar Excel, no saben cómo hacerlo porque nadie nace sabiendo”.

En México, la Encuesta Nacional sobre Disponibilidad y Uso de Tecnologías de la Información en los Hogares (ENDUTIH) 2024, publicada el 6 de mayo de 2025, estima que 100.2 millones de personas usan internet en el país (83.1% de la población de seis años o más). El 97.2% se conecta mediante celulares inteligentes, lo cual ha facilitado el despliegue de herramientas como World App.

Sin embargo, persisten desigualdades: el 86.9% de usuarios reside en zonas urbanas frente al 68.5% en zonas rurales. Los sectores con menor alfabetización digital y mayor precariedad económica se convierten en objetivos estratégicos para estas plataformas. Como documentó Ananías, la promesa de dinero a cambio del iris es particularmente seductora y riesgosa.

A partir de esta observación, Ananías concluye que el manejo de tecnología debe incluirse en los programas educativos. Critica el “arrojamiento” de las personas al espacio digital sin formación, comparándolo con lanzar a una niña al agua sin saber nadar: algunas logran flotar, pero otras simplemente se hunden. Para ella, no se trata solo de acceso a herramientas, sino de acompañamiento y educación crítica.

La investigación de Amaranta, que Ananías lideró, revela que la poca alfabetización digital expone a ciertos grupos —como mujeres con hijos pequeños que no han podido volver a trabajar— a proyectos como Worldcoin. Ananías subraya que la estructura descentralizada y multi-nombre de Worldcoin impide presentar quejas formales efectivas. “A la empresa original no le va a llegar”, afirma. Además, revocar el consentimiento es técnicamente complejo y legalmente inaccesible para la mayoría. Incluso personas jóvenes, de 23 o 24 años, presentan formas de analfabetismo digital que las dejan expuestas.

En este sentido, insiste en que, si existiera una alfabetización digital integral o educación mediática, las personas podrían tomar decisiones de forma informada y consciente. Además, llama a los gobiernos a promover la educación crítica sobre tecnologías, incluyendo aspectos técnicos, éticos y de derechos humanos.

Con información de Animal Político.