Animal Político.- En octubre de 2024, más de setenta personas hacían fila en una plaza comercial de Iztapalapa. Todas esperaban recibir dinero a cambio de algo que apenas comprendían: tomarse una foto del rostro y ojos frente a una esfera metálica que escaneaba el iris (¿sabes qué son los datos biométricos? Aquí te explicamos). La información se había difundido entre vecinos y familiares. Así fue como Rebeca, su hermana Samantha y varios integrantes de su familia llegaron al módulo de Worldcoin.
“Nos dijeron que daban dinero por descargar una app”, recuerda Rebeca. Su padre fue el primero, pero no pasó el escaneo; luego su madre sí lo logró. Después siguieron hijas, esposos y cuñados. La promesa era de mil pesos por persona y pagos mensuales durante un año. Sin embargo, el monto disminuyó por la fluctuación del valor de la criptomoneda: apenas 800 pesos al principio, y luego 50 o menos.
El proceso fue rápido y confuso. Les compartieron internet, descargaron la aplicación, aceptaron permisos sin explicaciones y pasaron frente al Orb, el escáner biométrico. Además, desde sus propios teléfonos tomaron una foto de su rostro y confirmaron términos de uso que nunca entendieron del todo.
Samantha lo resume así: “nos dijeron que los datos estarían seguros, pero nunca explicaron para qué los querían ni quién estaba detrás del proyecto”. Ella tenía una deuda urgente, actuó por necesidad. Ninguna volvió a abrir la app. Nunca supieron qué ocurrió con su información.
La experiencia de Rebeca y Samantha no es aislada. Investigaciones realizadas por la Organización No Gubernamental Amaranta en Chile revelan patrones similares: personas en situación vulnerable, con baja alfabetización digital y escasa información sobre los riesgos asociados a entregar sus datos personales y biométricos.
Cecilia Ananías Soto, fundadora de Amaranta, documentó que muchas personas se acercaron al Worldcoin “simplemente porque necesitaban el bono”. Para quienes enfrentan problemas económicos inmediatos, pensar en riesgos futuros es un lujo. Muchas mujeres acudían con sus bebés y dependían de terceros para retirar el dinero, lo que aumentaba su vulnerabilidad. En algunos casos, incluso menores de edad participaron en el proceso, algo legalmente prohibido.
De acuerdo al estudio realizado por la organización Amaranta “Venta de datos biométricos a Worldcoin en Chile: vulnerabilidades en un país al debe con la protección de datos”,
el consentimiento, uno de los pilares de la ética en el manejo de datos personales, aparece como un gran ausente en este contexto. La mayoría de los usuarios no fueron informados adecuadamente sobre los riesgos ni la finalidad real del escaneo biométrico. Las personas que promovían la recolección de datos muchas veces no brindaban información precisa e incluso daban datos falsos, asegurando, por ejemplo, que se trataba de una tarjeta prepago y no de un intercambio por una fotografía de su rostro y de sus datos biométricos.
“Esto genera un consentimiento viciado. La gente actúa con las herramientas que tiene en un momento de vulnerabilidad, no de forma libre ni informada”, explica la investigadora. Según el estudio de Amaranta, solo dos de los entrevistados se sintieron informados y cómodos con su decisión. El resto manifestó haber actuado en condiciones de urgencia o desconocimiento.
Una visita realizada en julio de 2025 a un punto de verificación ubicado en Iztapalapa permite corroborar estos patrones. Al llegar, el operador explicó que, solo por permitir que se capturara una imagen del rostro y del iris, se otorgaba un bono de mil pesos. Agregó que, si se llevaban a más personas, era posible obtener aún más dinero. El procedimiento fue sencillo: primero se tomaba una fotografía con el celular del propio usuario para verificar su identidad; después, el escaneo biométrico se realizaba con el dispositivo Orb.
Cuando se preguntó sobre la protección de los datos personales, el operador únicamente entregó un folleto y explicó de forma muy general el uso de las aplicaciones, sin brindar información concreta sobre el tratamiento o destino de los datos recolectados. Una semana después, al intentar cobrar los tokens obtenidos, se subió a la plataforma una copia de la identificación oficial (INE), los datos de una cuenta bancaria personal, al final, sólo fue posible retirar 499 pesos, lo que evidenció una diferencia significativa en la conversión y disponibilidad de los incentivos prometidos.
De acuerdo con el sitio oficial de Worldcoin, los llamados operadores comunitarios pueden rentar o adquirir los dispositivos Orb para realizar escaneos de iris en distintos puntos. Esta descentralización o subcontratación facilita la expansión del proyecto en comunidades diversas, pero también plantea dudas sobre los mecanismos de supervisión, el cumplimiento normativo y las condiciones reales en las que se recolecta la información personal y biométrica.
Datos personales sin garantías
Desde su llegada a la Ciudad de México en julio de 2023, el proyecto Worldcoin —hoy rebautizado como World— ha provocado una ola de cuestionamientos legales, éticos e institucionales. Pero organizaciones civiles, expertos en derechos digitales y legisladores han advertido sobre los riesgos de entregar datos personales y biométricos sensibles a una compañía extranjera sin claridad sobre su uso, almacenamiento o transferencia.
En abril de 2024, la diputada María Eugenia Hernández (Morena) presentó un punto de acuerdo y solicitó al Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) evaluar el impacto del proyecto en la protección de datos. El organismo inició una investigación de oficio, pero nunca se hizo público su resultado.
Santiago Narváez Herrasti, abogado de la Red en Defensa de los Derechos Digitales (R3D), confirma: “Busqué expedientes, comunicados o medidas cautelares en el sitio del INAI y no encontré nada. No hay información pública disponible”.
Al igual que Santiago, buscamos evidencia documental sin éxito; apenas encontramos una publicación en la red social X del 4 de septiembre de 2024. Hasta el momento ninguno de los exfuncionarios del INAI, incluyendo a su excomisionado Adrián Alcalá, accedió a comentar para este reportaje.
Mientras que la Fiscalía General de la República negó la entrega de la información solicitada sobre Worldcoin, argumentando que revelar la existencia o inexistencia de investigaciones en curso contra una persona moral identificable implicaría divulgar su situación jurídica, lo que podría afectar derechos como la intimidad, el honor, la presunción de inocencia y la protección de datos. Con base en la Ley General de Transparencia y el Código Nacional de Procedimientos Penales, la dependencia clasificó la información como confidencial y reservada, alegando que solo las partes involucradas pueden acceder a esos registros, incluso tratándose de un tema de interés público.
La Ley Federal de Protección de Datos Personales en Posesión de los Particulares, vigente hasta marzo de 2025, definía los datos personales como cualquier información que identificara a una persona —como nombre, dirección o teléfono— y consideraba los datos biométricos (rostro, iris, huellas) como especialmente sensibles. Su aplicación y vigilancia correspondían al INAI, desaparecido con la reforma que creó la nueva Secretaría Anticorrupción y de Buen Gobierno.
Narváez advierte que esta desaparición dejó a México sin una instancia autónoma y con capacidad sancionatoria frente a violaciones como las que empresas como Worldcoin podrían realizar. “La ley fue diseñada en un contexto predigital. No contempla tecnologías emergentes ni proyectos globales como este. No hay una instancia clara que pueda sancionar malas prácticas ni garantizar una protección efectiva”, afirma. Incluso antes de su disolución, señala, el INAI ya mostraba limitaciones en su actuar: frente a casos sensibles como la implementación del reconocimiento facial en estadios mediante el sistema Fan ID, terminó cediendo ante presiones.
El INAI había iniciado un procedimiento sancionador contra la Federación Mexicana de Fútbol por el uso opaco de la aplicación Fan ID, que recopila datos personales y biométricos de los asistentes a los estadios, aunque en última instancia se sancionó sólo a la Federación y no a la empresa responsable. Estas investigaciones quedaron a cargo de la Secretaría Anticorrupción y de Buen Gobierno tras la desaparición del organismo.
Lucía Camacho, coordinadora de políticas públicas de la organización Derechos Digitales, una organización basada en Chile que se dedica a la defensa y promoción de los derechos humanos en entornos digitales, coincide: el problema no es solo legal, sino también institucional. “Nuestras autoridades no tienen facultades para enfrentar a estas empresas transnacionales”, señala. La estructura opaca de Worldcoin —a través de su matriz Tools for Humanity y una red de operadores locales— impide saber con certeza quién es responsable del tratamiento de los datos y si es posible eliminarlos una vez entregados. “Las decisiones de nuestras autoridades no se cumplen porque no tienen alcance fuera de sus jurisdicciones”, advierte.
Lucia Camacho ofrece una lectura estructural del problema. La desaparición del INAI, dice, responde a una reforma que “eliminó su autonomía, su independencia técnica y operativa”, dejando a la nueva autoridad “subsumida a otras autoridades que le dicen cómo hacer y qué hacer tratándose de su trabajo”.
Esta subordinación institucional ocurre, además, “en un momento de extrema ventaja para las autoridades y de mucha más intensa vulnerabilidad para las personas”, quienes ya no cuentan con un contrapeso que pueda “en pie de igualdad […] exigir el respeto de los derechos a la protección de datos y privacidad de la ciudadanía”. Para Lucia Camacho, el desmantelamiento del INAI implica perder una referencia regional: “el INAI era un modelo ejemplo, un modelo a seguir”, afirma. “Hemos perdido ese faro que iluminaba conversaciones importantes entre acceso a la información y protección de datos”.
Frente a este panorama, Camacho insiste en que “las autoridades solas no van a poder, tienen que actuar de manera conjunta y transjurisdiccional” para hacer frente a corporaciones tecnológicas que operan con estructuras jurídicas complejas y poca transparencia.
Miguel Rocha, director general de World para México, Centroamérica y el Caribe, afirma cumplir “con los marcos legales de todos los mercados donde operamos”, la realidad mexicana —de acuerdo con Santiago Narváez— es que sin un órgano autónomo, con escasa supervisión y sin herramientas de sanción eficaces, deja a la ciudadanía sin garantías ni mecanismos efectivos para exigir el respeto de sus derechos fundamentales.
Para Narváez y Camacho el consentimiento que Worldcoin solicita a cambio de pagos en criptomonedas no es válido. “El componente transaccional elimina cualquier libertad. No hay equilibrio entre las partes”, afirma Camacho. “Una persona a la que le compran sus datos no está en condiciones de decidir libremente”.
Por su parte, Miguel Rocha sostiene que la empresa ha actuado con transparencia. “Hubo acercamientos con el INAI antes de la reforma. Hoy hay diálogo con la nueva Secretaría Anticorrupción y de Buen Gobierno”, afirma. Rocha asegura que el cumplimiento legal es una prioridad para la compañía.
Hoy, más de 12 millones de personas en todo el mundo han obtenido una World ID verificada usando el Orb, y más de 26 millones han creado una cuenta en World App, aunque no todas han sido verificadas mediante datos biométricos. En México, más de 700,000 personas han sido verificadas mediante escaneo de iris, y hay más de 1.3 millones de cuentas activas registradas en la aplicación asociada.
Un marco legal debilitado
En marzo de 2025, una reforma a la Ley de Protección de Datos Personales eliminó al INAI y creó en su lugar la Secretaría Anticorrupción y de Buen Gobierno. La nueva legislación introdujo cambios contradictorios: por un lado, obliga a obtener nuevo consentimiento si los datos se usan para fines distintos; por otro, eliminó la obligación de informar sobre transferencias de datos a terceros.
Paul Aguilar de SocialTIC, una organización dedicada a promover el uso estratégico y seguro de la tecnología para la transformación social, considera que estos cambios representaron un retroceso: “Muchos mecanismos básicos desaparecieron. Hoy no hay garantías reales para proteger datos biométricos. No puedes cambiar tu iris como si fuera una contraseña”. También advierte que el modelo de Worldcoin podría ser replicado —o superado— por el propio Estado mexicano.
Cita como ejemplo el nuevo Registro Único de Identidad, que fusionará la CURP con datos biométricos (como el iris), además de información financiera, médica y de telecomunicaciones. Camacho subraya que el Estado tiene el poder de condicionar el acceso a derechos esenciales al suministro de datos sensibles. “Con el Estado no puedes negarte”, advierte. “Esto entrega un poder desproporcionado a un aparato que ha demostrado prácticas de vigilancia y uso político de la información”.
Aguilar recuerda el caso del Padrón Nacional de Usuarios de Telefonía Móvil (PANAUT), cuya base de datos fue vulnerada, facilitando extorsiones y secuestros. “No se puede confiar en el manejo estatal de datos sensibles”, advierte. También alerta sobre sistemas como la Torre Centinela en Chihuahua —que comparte datos biométricos con autoridades de Texas— y el uso de inteligencia artificial en la frontera sur. “Todo esto ya deriva en persecuciones, violencia y desapariciones. La combinación de IA, criptomonedas y biometría configura un sistema de hipervigilancia real”, concluye.
Aguilar considera que lo más preocupante es la utilización de estos sistemas en contextos de alta desigualdad, sin supervisión efectiva. “No es una distopía lejana”, sentencia. Worldcoin, dice, no es un caso aislado, sino parte de un fenómeno tecno-político global. Las criptomonedas, afirma, requieren infraestructura costosa, consumo energético elevado y no han resuelto los problemas estructurales de la economía. Lo que sí hacen —dice— es incentivar un modelo de explotación basado en los datos personales y biométricos.
