El hack de Clearview alimenta el debate sobre el reconocimiento facial


Clearview AI, la startup altamente controvertida en el centro de una disputa sobre la ética de reconocimiento facial La tecnología ha provocado un debate renovado y acalorado sobre sus actividades después de admitir que su base de datos de clientes completa de más de 600 agencias de aplicación de la ley ha sido robada.

Clearview tiene más de tres mil millones de fotos de personas en su base de datos. Ha eliminado estas imágenes de Internet público (incluidas las redes sociales) sin buscar permiso explícito de ninguna de las personas fotografiadas. Su modus operandi es vender el acceso a esta base de datos a las agencias policiales, con el objetivo de facilitar que la policía identifique a los sospechosos utilizando sus algoritmos de aprendizaje automático e inteligencia artificial (IA) para comparar fotos.

Afirma: «La tecnología de Clearview ha ayudado a las fuerzas del orden a localizar a cientos de delincuentes en general, incluidos pedófilos, terroristas y traficantes de sexo. También se utiliza para ayudar a exonerar a los inocentes e identificar a las víctimas de delitos, incluidos el abuso sexual infantil y el fraude financiero «.

Por bien intencionado que sea, su comportamiento ya ha provocado indignación. En Enero, Los New York Times publicado un exposición en profundidad de Clearview – que fue fundada por Hoan Ton-That, una abandonada de la universidad vietnamita-australiana y ex modelo de moda, y respaldada, entre otros, por Peter Thiel de Palantir.

Además del raspado de fotos sin consentimiento, el periódico descubrió una cultura preocupante en Clearview. Entre otras cosas, los New York Times alegó que Ton-That había creado identidades falsas para despistar a su reportero y alentó a los agentes de policía a intimidarlos y acosarlos. También buscó fondos del empresario supremacista blanco y el fallido político estadounidense Paul Nehlen.

Como resultado de la publicidad negativa que ha atraído, Clearview ya está atrayendo demandas sobre su recopilación y almacenamiento de identificadores biométricos sin consentimiento, y las plataformas digitales como Google y Twitter le han ordenado que cese y desista de sus actividades.

De acuerdo con la Bestia diaria, que fue uno de los primeros medios de noticias en informar sobre el ataque después de recibir comunicaciones filtradas que informaban a los clientes sobre la violación, un intruso obtuvo acceso no autorizado a los datos de Clearview, incluida su lista de clientes, el número de cuentas de usuario que habían configurado y cantidad de búsquedas que habían realizado a través de sus sistemas.

Clearview afirmó que no hubo violación de sus servidores o compromiso de sus sistemas o red, y que la vulnerabilidad se ha solucionado desde entonces.

En un comunicado enviado al medio de comunicación, el abogado de la compañía Tor Ekeland dijo: «La seguridad es la máxima prioridad de Clearview. Desafortunadamente, las violaciones de datos son parte de la vida en el siglo XXI. Nuestros servidores nunca fueron accedidos. Remendamos la falla y continuamos trabajando para fortalecer nuestra seguridad ”.

Tim Mackey, estratega de seguridad principal en el centro de investigación de seguridad cibernética (CyRC) en Synopsys, dijo que en general había dos tipos de ataques, oportunistas y selectivos, y estaba claro de qué tipo era el hack de Clearview.

“Probablemente llevará la conciencia pública y la desconfianza del reconocimiento facial a un nuevo nivel. Podemos esperar muchas reacciones instintivas que intentan impedir que la policía use el reconocimiento facial ”

Kjell Carlsson, Forrester

“Con el tipo de datos y la base de clientes que posee Clearview AI, las organizaciones criminales verán el compromiso de los sistemas de Clearview AI como una prioridad. Si bien su abogado afirma acertadamente que las violaciones de datos son un hecho de la vida en la sociedad moderna, la naturaleza del negocio de Clearview AI hace que este tipo de ataque sea particularmente problemático «, dijo Mackey.

«Los sistemas de reconocimiento facial han evolucionado hasta el punto en que pueden identificar rápidamente a un individuo, pero la combinación de datos de reconocimiento facial con datos de otras fuentes, como las redes sociales, permite colocar una cara en un contexto que, a su vez, puede permitir el perfil detallado del usuario: todo sin el consentimiento explícito de la persona cuyo rostro está siendo rastreado ”, agregó. «Hay beneficios obvios para las fuerzas del orden que buscan identificar a las personas desaparecidas para usar dichas tecnologías para bien, pero con lo bueno viene lo malo».

El analista senior de Forrester, Kjell Carlsson, dijo que había una alta probabilidad de que quien estuviera detrás del hackeo filtrara la lista de clientes, probablemente tratando de alimentar la reacción pública contra Clearview.

“Probablemente llevará la conciencia pública y la desconfianza del reconocimiento facial a un nuevo nivel. Podemos esperar muchas reacciones instintivas que intentan impedir que la policía use el reconocimiento facial. Gran parte de esta legislación resultará ineficaz porque no puede distinguir las nuevas tecnologías de reconocimiento facial de las soluciones anteriores que la policía ha estado utilizando durante décadas, pero será un impedimento para que los gobiernos locales investiguen e inviertan en estas soluciones ”, dijo.

Carlsson dijo que era poco probable que el incidente condujera a una desaceleración en el uso del reconocimiento facial y las tecnologías relacionadas. Dijo que la tecnología era demasiado útil y conveniente para disuadir la adopción generalizada, citando usos más mundanos, como reemplazar tarjetas magnéticas para ingresar a edificios de oficinas, o incluso pagar por cosas, que se está volviendo popular en China. «Si hay algo que Facebook ha demostrado es que los clientes están extremadamente dispuestos a renunciar a la privacidad por conveniencia», dijo.

Sin embargo, Carlsson dijo que todavía era importante evaluar la tecnología de reconocimiento facial sobre la base de la ética y la eficacia, y en ambos aspectos Clearview obtuvo un puntaje bajo, ya que había elegido muy claramente un medio altamente no ético para construir su base de datos.

“Ahora habrá aún más presión sobre los gigantes tecnológicos occidentales para que no inviertan en reconocimiento facial, y está mal. Es mucho mejor que compañías como Google, Microsoft, AWS [Amazon Web Services] e IBM ofrecen reconocimiento facial, porque tienen la capacidad de hacerlo bien y el riesgo de reputación para garantizar que se haga de la manera más ética posible en comparación con compañías como Clearview, que pueden operar en la oscuridad hasta que un escándalo atraiga la atención del público «. dijo.

El RGPD es un problema en Europa

Toni Vitale, jefe de protección de datos en la práctica legal JMW Solicitors, dijo que en Europa era probable que Clearview entrara en conflicto con el Reglamento General de Protección de Datos (GDPR).

“Clearview debe tener una base legal para realizar el raspado de datos. Hay seis bases legales disponibles bajo GDPR: consentimiento; contrato con el interesado; cumplimiento de una obligación legal; interés vital interés público; interés legítimo «, dijo Vitale a Computer Weekly en comentarios enviados por correo electrónico.

“De estos, el único motivo legal potencialmente adecuado es el interés legítimo. El consentimiento se puede descartar rápidamente sobre la base de que la mayoría de las personas no han consentido en que se eliminen sus datos, aunque algunos sitios de redes sociales permiten el raspado, pero solo con su permiso previo por escrito. El interés legítimo permite que se lleve a cabo el procesamiento si es necesario para fines comerciales, excepto cuando tales intereses sean anulados por los intereses o los derechos y libertades fundamentales de las personas, y aquí haya cierta interacción entre el derecho humano a la privacidad y las leyes de protección de datos. .

“Es una colina empinada para escalar para superar el derecho humano a la privacidad. Incluso si una empresa puede establecer una base legal, no todos los datos personales pueden ser eliminados. Se necesita el consentimiento explícito para recopilar datos como raza, religión, datos de salud, opiniones políticas, etc. «

Clearview «código de conducta»

Siguiendo Los New York Times’ En la exposición de enero de 2020, Clearview publicó un llamado «código de conducta». Establece que la tecnología de Clearview solo está disponible para la aplicación de la ley y los profesionales de seguridad seleccionados para su uso con fines de investigación, y contiene solo información pública.

La compañía dice que reconoce que «las herramientas poderosas siempre tienen el potencial de ser abusadas» y afirma tomar esta amenaza en serio. Su aplicación tiene protecciones integradas para garantizar que las personas con acceso solo la usen para el propósito previsto.

El código de conducta también exige que los investigadores usen su tecnología de manera segura y ética, y deben obtener el permiso de un supervisor dentro de su organización antes de crear una cuenta y usarla.

Afirma que este código se aplica estrictamente y que suspende y cancela las cuentas de los usuarios que lo violan.