Formato de impresión

Un motor de búsqueda facial genera preocupaciones por la privacidad de los usuarios

2022-06-02

Por Kashmir Hill | The New York Times

Por 29,99 dólares al mes, un sitio web llamado PimEyes ofrece un superpoder potencialmente peligroso que pareciera provenir del mundo de la ciencia ficción: la capacidad de buscar un rostro, con lo que se podrían descubrir fotografías ocultas que de otra manera habrían estado tan seguras como la famosa aguja en el vasto pajar digital que es internet.

Una búsqueda toma tan solo unos segundos. Subes la fotografía de una cara, seleccionas una casilla para aceptar los términos de servicio y, entonces, te presenta una cuadrícula de fotografías de rostros que considera similares, con enlaces adonde aparecieron en internet. The New York Times usó PimEyes con los rostros de una docena de periodistas del diario, con su consentimiento, para probar su poder.

El sitio encontró fotografías de cada una de las personas, algunas que los periodistas nunca habían visto, incluso cuando en la imagen utilizada para realizar la búsqueda usaban gafas de sol o cubrebocas o no veían de frente a la cámara.

PimEyes halló a una reportera bailando en un evento de un museo de arte hace una década y llorando después de que le propusieron matrimonio, una fotografía que no le gustaba mucho pero que el fotógrafo decidió usar para promover su negocio en Yelp. Se detectó a la versión más joven de una reportera de tecnología en una incómoda multitud de admiradores de una banda en el festival musical de Coachella en 2011. Una corresponsal apareció en incontables fotografías de bodas, en las que de manera evidente se ve que es el alma de la fiesta, y en el fondo borroso de una imagen tomada a alguien más en un aeropuerto griego en 2019. También se desenterró la vida previa de un periodista en una banda de rock y el campamento de verano preferido de otro.

A diferencia de Clearview AI, una herramienta similar de reconocimiento facial disponible solo para las fuerzas del orden, PimEyes no incluye resultados de las redes sociales. Las imágenes, en ocasiones sorprendentes, que PimEyes desenterró provenían más bien de artículos periodísticos, páginas de fotografía de bodas, páginas de reseñas, blogs y sitios pornográficos. La mayoría de las coincidencias con los rostros de la docena de periodistas del Times fueron correctas. En el caso de las mujeres, las imágenes incorrectas con frecuencia provenían de sitios pornográficos, por lo que era perturbadora la mera posibilidad de que pudieran ser ellas. (Que quede claro: no eran ellas).

Un ejecutivo de tecnología que pidió no ser identificado dijo que usaba PimEyes con bastante frecuencia, principalmente para identificar a las personas que lo acosan en Twitter y usan sus fotos reales en las cuentas, pero no sus nombres reales. Otro usuario de PimEyes que pidió permanecer en el anonimato dijo que usaba la herramienta para encontrar las identidades reales de actrices de películas pornográficas y para buscar fotos explícitas de sus amigos de Facebook.

El nuevo propietario de PimEyes es Giorgi Gobronidze, un académico de 34 años que afirma que su interés en la tecnología avanzada comenzó por los ciberataques rusos contra su país natal, Georgia.

Gobronidze aseguró que piensa que PimEyes puede ser una herramienta para algo positivo como ayudar a la gente a monitorear su reputación en línea. Por ejemplo, la periodista a la que no le gustó la imagen que el fotógrafo estaba usando, ahora podría pedirle que la retire de su página en Yelp.

Se supone que los usuarios de PimEyes solo deben buscar sus rostros o las caras de las personas que han dado su consentimiento, mencionó Gobronidze. Sin embargo, señaló que dependía de que la gente actuara “de manera ética”, lo que ofrece poca protección contra la erosión tecnológica de la capacidad de mantenerse anónimos entre la multitud. PimEyes no tiene controles para evitar que los usuarios busquen un rostro que no sea el propio y le indica al usuario que pague una suma importante para impedir que las fotografías dañinas generadas por las malas decisiones de una noche lo persigan para siempre.

“Lo diseñaron como un software espía, no importa lo que digan”, dijo Ella Jakubowska, consejera de políticas en European Digital Rights, un grupo de defensoría de privacidad.

Con un nuevo propietario

Gobronidze se crio a la sombra de un conflicto militar. Su jardín de niños fue bombardeado durante la guerra civil que comenzó cuando Georgia declaró su independencia de la Unión Soviética en 1991. El país se vio aislado de manera efectiva del mundo en 2008, cuando Rusia lo invadió y el internet se desconectó. Esas experiencias lo inspiraron a estudiar el papel del dominio tecnológico en la seguridad nacional.

Después de breves periodos trabajando como abogado y sirviendo en el ejército georgiano, Gobronidze cursó una maestría en relaciones internacionales. Comenzó su carrera como profesor en 2014 y, a la larga, llegó a la Universidad Europea en Tiflis, Georgia, donde todavía da clases.

En 2017, Gobronidze afirma que estaba en un programa de intercambio impartiendo una materia en Polonia cuando uno de sus estudiantes le presentó a dos hackers (Lucasz Kowalczyk y Denis Tatina) que trabajaban en un motor de búsqueda facial. Gobronidze relató que eran “mentes brillantes”, pero “introvertidos por completo” y que no estaban interesados en la atención pública.

El experto mencionó que aceptaron hablar con él sobre su creación, que a la larga se convirtió en PimEyes, para su investigación académica. Contó que le explicaron cómo su motor de búsqueda usaba tecnología de redes neuronales para mapear los rasgos de un rostro con el fin de compararlo en busca de una coincidencia con caras de medidas similares y que, con el tiempo, el programa podía aprender a determinar con mayor precisión una coincidencia.

“Me sentí como un cavernícola cuando los conocí. Como si estuviera escuchando cosas de ciencia ficción”, comentó Gobronidze.

Se mantuvo en contacto con los fundadores, dijo, y observó cómo PimEyes comenzaba a recibir más y más atención en los medios, en su mayoría mordaces. En 2020, PimEyes afirmó tener un nuevo propietario, que deseaba permanecer en el anonimato, y la sede corporativa se trasladó de Polonia a Seychelles, un popular paraíso fiscal en África.

Gobronidze dijo que “escuchó” en algún momento del año pasado que este nuevo propietario del sitio quería venderlo. Así que rápidamente se dispuso a reunir fondos para hacer una oferta, vendiendo una villa junto al mar que había heredado de sus abuelos y pidiendo prestada una gran suma a su hermano menor, Shalva Gobronidze, un ingeniero de software en un banco. El profesor no quiso revelar cuánto había pagado.

“No fue una cantidad tan grande como se podría esperar”, dijo Gobronidze.

En diciembre, Gobronidze creó una corporación, EMEARobotics, para que adquiriera PimEyes, y la registró en Dubái debido a la baja tasa de impuestos en los Emiratos Árabes Unidos. Indicó que conservó a la mayoría del pequeño equipo de tecnología y soporte del sitio y contrató a una firma de consultoría en Belice para manejar las solicitudes y las cuestiones regulatorias.

Gobronidze ha rentado oficinas en una torre en el centro de Tiflis. Todavía está en remodelación; los cables para las lámparas cuelgan del techo.

Tatia Dolidze, una colega de Gobronidze en la Universidad Europea, lo describió como “curioso” y “obstinado” y afirmó que se sorprendió cuando le mencionó que iba a comprar un motor de búsqueda facial.

“Era difícil imaginar a Giorgi como empresario”, escribió Dolidze en un correo electrónico.

Ahora, es un empresario que es dueño de una compañía sumida en la controversia, en gran parte respecto a si tenemos algún derecho especial de control sobre las imágenes de nosotros que nunca esperamos descubrir de esta forma. Gobronidze señaló que la tecnología de reconocimiento facial podría ser usada para controlar a las personas si los gobiernos y las grandes corporaciones tuvieran el único acceso a ella.

Y se imagina un mundo en el que el reconocimiento facial es accesible para cualquier persona.

‘Básicamente extorsión’

Hace algunos meses, Cher Scarlett, una ingeniera en informática, probó PimEyes y se topó con un episodio de su vida que había intentado olvidar con mucho esfuerzo.

En 2005, cuando Scarlett tenía 19 años y estaba en bancarrota, consideró trabajar en pornografía. Viajó a la ciudad de Nueva York para una audición, la cual resultó ser tan humillante y abusiva que decidió no proseguir.

PimEyes logró desenterrar el trauma de hace varias décadas a través de vínculos al lugar preciso en el que las fotografías podían encontrarse en la web. Estaban esparcidas entre retratos más recientes de Scarlett, quien trabaja en derechos laborales y ha estado sujeta a una cobertura mediática por una revuelta laboral de alto perfil en Apple.

“Hasta ese momento, no tenía idea de que esas imágenes estaban en internet”, precisó.

Preocupada por cómo reaccionarían las personas a las imágenes, Scarlett indagó de inmediato cómo retirarlas, una experiencia que describió en una publicación de Medium y en CNN. Cuando hizo clic en una de las fotos de desnudos en PimEyes, se desplegó un menú que ofrecía un vínculo a la imagen, un enlace al sitio web donde apareció y una opción para “excluirla de los resultados públicos” en PimEyes.

No obstante, Scarlett descubrió enseguida que la exclusión solo estaba disponible para los suscriptores que pagaban los “planes de PROtección”, cuyo costo oscila entre los 89,99 y los 299,99 dólares al mes. “Es, en esencia, extorsión”, opinó Scarlett, quien al final se inscribió en el plan más caro.

Gobronidze no estuvo de acuerdo con esa interpretación. Indicó que existe una herramienta gratuita para eliminar resultados del índice de PimEyes que no se publicita de manera prominente en el sitio. También proporcionó un recibo que muestra que PimEyes le reembolsó a Scarlett los 299,99 dólares del plan del mes pasado.

PimEyes tiene decenas de miles de suscriptores, puntualizó Gobronidze, y la mayoría de los visitantes provienen de Estados Unidos y Europa. Genera la mayor parte de su dinero mediante los suscriptores de su servicio de PROtección, que incluye ayuda del personal de soporte de PimEyes para retirar fotografías de sitios externos.

PimEyes también cuenta con un servicio gratuito de “exclusión” para personas que deciden quitar sus datos del sitio, incluidas las imágenes de búsqueda de sus rostros. Para salirse, Scarlett proporcionó una fotografía de cuando era joven y un escaneo de su identificación emitida por el gobierno. A principios de abril, recibió una confirmación de que su solicitud de exclusión había sido aceptada.

“Los resultados potenciales que contienen tu rostro se han eliminado de nuestro sistema”, se leía en el correo electrónico de PimEyes.

No obstante, cuando el Times realizó una búsqueda en PimEyes de la cara de Scarlett con su permiso un mes después, había más de cien resultados, incluyendo los desnudos.

Gobronidze expresó que esta era una “historia triste” y que salirse no evita que el rostro de una persona pueda buscarse. En cambio, bloquea en los resultados de búsqueda de PimEyes cualquier fotografía de caras “con un alto nivel de similaridad” en el momento de la exclusión, lo que significa que las personas necesitan optar por la exclusión con regularidad, con múltiples fotos de ellas, si desean quedar fuera de las búsquedas de PimEyes.

Gobronidze dijo que las fotos explícitas eran particularmente engañosas, comparando su tendencia a proliferar en línea con la Hidra, una bestia mítica.

“Corta una cabeza y aparecen otras dos”, dijo.

Gobronidze aseguró que quería un “uso ético” de PimEyes, es decir, que la gente realice búsquedas solo de su propio rostro y no de los de extraños.

Sin embargo, PimEyes se esfuerza poco para hacer cumplir esta meta: solo pone una casilla a la que un usuario de búsqueda debe darle clic para confirmar que el rostro que está subiendo es el suyo. Helen Nissenbaum, una profesora de la Universidad de Cornell que estudia la privacidad, calificó esto de “absurdo”, a menos que el sitio exija al usuario que presente una identificación oficial para realizar búsquedas, como Scarlett tuvo que hacerlo cuando optó por la exclusión.

“Si hacer eso es útil, porque vemos dónde está nuestra cara, tenemos que imaginar que una compañía que ofrece solo ese servicio va a ser transparente y auditada”, opinó Nissenbaum.

PimEyes no hace esas auditorías, aunque Gobronidze dijo que el sitio bloquea a los usuarios con actividad de búsqueda “que salga de los parámetros lógicos”, y dio como ejemplo a un usuario con más de mil búsquedas en un día. Confía en que los usuarios hagan lo correcto y mencionó que cualquiera que busque el rostro de otra persona sin permiso cometería una violación de la ley de privacidad europea.

“Sería responsabilidad de la persona que lo usa. Solo somos proveedores de una herramienta”, explicó.

Excepciones a la regla

A pesar de decir que PimEyes debe usarse solo para búsquedas personales, Gobronidze está abierto a otros usos siempre que sean “éticos”. Dijo que aprobaba a los periodistas de investigación y sabe el papel que jugó PimEyes en la identificación de los estadounidenses que irrumpieron en el Capitolio estadounidense, el 6 de enero de 2021.

El Times permite que sus periodistas utilicen motores de búsqueda de reconocimiento facial para informar, pero tiene reglas internas sobre esa práctica. “Cada solicitud de uso de una herramienta de reconocimiento facial para fines informativos requiere una revisión y aprobación previas por parte de un miembro senior del diario y de nuestro departamento legal para garantizar que el uso cumpla con nuestros estándares y la ley aplicable”, dijo Danielle Rhoades Ha, una portavoz del Times.

Hay usuarios que Gobronidze no quiere. Recientemente bloqueó a personas en Rusia del sitio, en solidaridad con Ucrania. Mencionó que PimEyes podía, al igual que Clearview AI, ofrecer su servicio de forma gratuita a organizaciones ucranianas o a la Cruz Roja, si eso podía ayudar en la búsqueda de personas desaparecidas.

Clearview AI, que es más conocida, ha enfrentado serios obstáculos en Europa y en todo el mundo. Los reguladores de la privacidad en Canadá, Australia y algunas partes de Europa declararon ilegal la base de datos de Clearview que contenía 20,000 millones de imágenes de rostros y le ordenaron a la empresa que elimine las fotos de sus ciudadanos. Italia y el Reino Unido emitieron multas multimillonarias.

El año pasado, una agencia alemana de protección de datos anunció una investigación sobre PimEyes por posibles violaciones de la ley de privacidad de Europa, el Reglamento General de Protección de Datos, que incluye reglas estrictas sobre el uso de datos biométricos. Esa investigación continúa.

Gobronidze dijo que no había recibido notificaciones de ninguna autoridad alemana. “Estoy ansioso por responder todas las preguntas que puedan tener”, dijo.

Dice que no le preocupan los reguladores de la privacidad porque PimEyes opera de manera diferente. Lo describió como una especie de catálogo de tarjetas digitales, diciendo que la compañía no almacena fotos o plantillas de caras individuales, sino direcciones URL para imágenes individuales asociadas con las características faciales que contienen. Todo es público, dijo, y PimEyes instruye a los usuarios para que solo busquen sus propios rostros. Aún no se ha determinado si esa diferencia arquitectónica es importante para los reguladores.