La empresa de seguridad criptográfica CertiK reveló que recientemente descubrió una vulnerabilidad en el protocolo Worldcoin que permitía a un atacante eludir el proceso de verificación para convertirse en operador de Orb.
Según CertiK, esta vulnerabilidad habría permitido a cualquiera eludir los requisitos de verificación para convertirse en operador de Worldcoin Orb. La persona no estaría obligada, por ejemplo, a ser una empresa legítima, someterse a una verificación de identidad adecuada o superar una entrevista de investigación.
«En un caso normal, sólo las empresas legítimas que superan el estricto proceso de verificación de identificación de Worldcoin pueden llevar a cabo una operación Orb, que recoge la información del iris del usuario», se lee en el hilo de CertiK.
La empresa de seguridad declaró que comunicó el problema a Worldcoin a través de un procedimiento de «divulgación estándar de sombrero blanco», tras lo cual el equipo de seguridad del proyecto confirmó la vulnerabilidad y «emitió rápidamente una solución».
1/ El 29 de mayo, CertiK informó al equipo de seguridad de WorldCoin de una vulnerabilidad de seguridad que podría permitir a un atacante convertirse en operador de Orb eludiendo el proceso de verificación.
– CertiK (@CertiK) 3 de agosto de 2023
CertiK, por su parte, verificó y confirmó que la corrección mitigaba la amenaza. La empresa de seguridad añadió que hará públicos los detalles del hallazgo y cómo se mitigó la vulnerabilidad «en algún momento en el futuro.»
«El 29 de mayo, el equipo de seguridad de CertiK informó a Worldcoin de un fallo que podría permitir a un atacante crear una cuenta de operador inactiva», dijo un portavoz de Worldcoin a TCN. «El fallo no permitía a nadie saltarse la revisión manual para establecer una cuenta de Operador y en ningún momento se habilitó el acceso a Orbs o datos a través del fallo». El equipo de seguridad de Worldcoin reconoció y solucionó el problema a las 24 horas de recibir la información de CertiK y verificó que no se ha abusado de él.»
Cabe destacar que la revelación de CertiK se produce justo una semana después de que Worldcoin publicara un informe sobre las auditorías de seguridad del protocolo Worldcoin realizadas por las empresas de auditoría Nethermind y Least Authority.
Estas auditorías cubrieron un amplio número de áreas, incluyendo vulnerabilidades en el código que conducen a acciones adversarias y otros ataques, así como la protección contra ataques maliciosos y otros métodos de explotación.
La auditoría de Nethermind señaló 26 puntos durante su evaluación de seguridad, de los cuales 24 se identificaron como solucionados tras la fase de verificación, mientras que uno fue mitigado y el restante fue reconocido.
Least Authority identificó tres problemas en el protocolo y ofreció seis sugerencias, todas ellas resueltas o con resoluciones previstas, según Worldcoin.
Preocupaciones en torno a Worldcoin
Lanzado a principios de este verano, Worldcoin es un criptoproyecto cuyo objetivo es establecer una novedosa red financiera y de identidad global centrada en el escaneado del iris.
La empresa afirma que estos World ID serán cruciales a medida que la inteligencia artificial adquiera más influencia, permitiendo a los humanos demostrar que no son robots.
Para participar en esta red, las personas deben escanearse el iris con un dispositivo llamado Orb. Como incentivo, los usuarios son recompensados con el token WLD nativo del proyecto a cambio de su escaneo del iris.
El proyecto ha suscitado varias preocupaciones en relación con la privacidad y la seguridad de los datos. Sus detractores, entre ellos el famoso denunciante Edward Snowden y el cofundador de Ethereum Vitalik Buterin, sostienen que Worldcoin podría estar recopilando una cantidad excesiva de datos personales, que podrían utilizarse con fines maliciosos.
También hay aprensiones sobre la seguridad del iris -como Buterin señaló en su reciente entrada de blog, los Orbs son dispositivos de hardware en los que se podrían instalar puertas traseras en el sistema, permitiendo a los fabricantes maliciosos crear múltiples identidades humanas falsas.
MIT Technology Review también ha acusado a Worldcoin de llevar a cabo prácticas de marketing engañosas y de recopilar una mayor cantidad de datos personales de la inicialmente revelada.
En respuesta a estas preocupaciones, Worldcoin ha afirmado su compromiso de salvaguardar la privacidad de los usuarios.
El sitio web de la empresa afirma que el proyecto «cumple plenamente con todas las leyes y reglamentos que rigen la recopilación de datos biométricos y la transferencia de datos, incluido el Reglamento General de Protección de Datos de Europa (‘GDPR’)».
La empresa añade que «la Fundación Worldcoin y su colaborador Tools for Humanity nunca han vendido ni venderán datos personales»
