En octubre de 2024, dos estudiantes de Harvard llamados AnhPhu Nguyen y Caine Ardayfio subieron un vídeo a internet que durante unos días incomodó a casi todo el sector tecnológico. Habían construido una herramienta llamada I-XRAY que, usando las Meta Ray-Ban como cámara de entrada, identificaba a cualquier persona que apareciese en el campo de visión en cuestión de segundos. Nombre, universidad, domicilio, redes sociales, historial laboral. Todo a partir de una cara captada en la calle.
No hackearon nada. No usaron acceso no autorizado a ninguna base de datos. Combinaron la cámara de las gafas con búsqueda inversa de imágenes en PimEyes, cruzaron los resultados con datos de LinkedIn y registros públicos, y construyeron una interfaz que lo hacía de forma automática. El tiempo medio desde que la cámara captaba una cara hasta que aparecía el nombre en el teléfono conectado era inferior a un minuto.
El vídeo dejó de estar disponible poco después. Nguyen y Ardayfio lo retiraron voluntariamente. Meta emitió un comunicado recordando que las Ray-Ban tienen una luz LED que se activa cuando graban. Los titulares duraron una semana.
El problema no desapareció con los titulares.
Por qué esto sigue siendo relevante en 2026
Las Meta Ray-Ban de segunda y tercera generación se han vendido en varios millones de unidades. Son el dispositivo de gafas inteligentes con mayor penetración de mercado, y su diseño es suficientemente discreto para no llamar la atención en la mayoría de contextos urbanos. El indicador LED del que habló Meta sigue siendo la única protección visual integrada, y está demostrado que puede pasarse por alto con facilidad.
Desde el experimento de Harvard, las herramientas de búsqueda inversa de imágenes han mejorado, los modelos de reconocimiento facial se han hecho más precisos, y la cantidad de datos públicos accesibles en LinkedIn, registros municipales y redes sociales no ha dejado de crecer. Si alguien replicase I-XRAY hoy, el proceso sería más rápido y fiable que en 2024.
Meta no ha implementado ninguna restricción técnica que impida usar las Ray-Ban como cámara de reconocimiento en combinación con servicios externos. Lo que hay es una prohibición en los términos de servicio, que es lo más parecido a no tener ninguna restricción cuando se habla de software desarrollado por terceros.
El problema no son las gafas. Es la infraestructura.
I-XRAY no era un producto de Meta ni una vulnerabilidad de sus gafas. Era una combinación de herramientas legales usadas de forma creativa. PimEyes es un servicio de búsqueda inversa de imágenes que cualquiera puede contratar. LinkedIn es una red pública. Los registros del censo son públicos en muchos estados.
El experimento demostró que la privacidad en espacios públicos ya no depende solo de lo que tú decides publicar sobre ti mismo, sino de la suma de todos los datos que otros han publicado. Si alguien subió una foto tuya a una graduación en 2018, si tu empresa pone tu cara en su web, si sales en el perfil de LinkedIn de un colega, eres potencialmente identificable en tiempo real para cualquiera con las herramientas adecuadas. Algo que ya exploramos desde otro ángulo en el artículo sobre tu huella digital y las 18 herramientas para saber qué saben de ti online.
Qué puedes hacer (y qué no)
Las opciones reales son limitadas, pero no inexistentes.
Reducir la superficie de datos pública. Revisar qué fotos con tu cara están accesibles en internet. PimEyes tiene una función de opt-out que elimina tu cara de su índice de búsqueda. No es una solución definitiva porque existen otros servicios similares, pero reduce la exposición en el más utilizado. Buscar tu propio nombre en Google Imágenes y Bing es un buen punto de partida para saber qué hay disponible.
Configurar LinkedIn con visibilidad reducida. Si tu perfil es público y tiene foto, cualquier búsqueda inversa puede conectar tu cara con tu nombre en segundos. Cambiar la visibilidad a "Solo conexiones" no te hace invisible, pero dificulta la automatización.
Ser consciente del entorno. Una persona que mira fijamente a alguien mientras consulta el móvil y lleva algo que parece gafas normales puede estar ejecutando exactamente el proceso descrito. No es paranoia; es reconocer que el hardware existe y está en circulación masiva.
Lo que no se puede hacer, de forma realista, es desaparecer del espacio público en el sentido digital. La infraestructura de reconocimiento facial existe, mejora cada año, y su uso para identificación en tiempo real está al alcance de cualquiera con conocimientos básicos de programación. Que no sea legal no garantiza que no ocurra. Y los marcos regulatorios europeos, que en teoría prohíben el reconocimiento facial en espacios públicos bajo el AI Act, no han resuelto el problema de que la herramienta se construya fuera de la UE con datos públicos accesibles desde cualquier parte del mundo.
El vídeo de Harvard duró una semana en los titulares. El problema lleva casi dos años entre nosotros, y ninguna de las empresas involucradas tiene prisa por resolverlo.
0 Comentarios