El recolector de datos secreto: ¿Quién está realmente detrás de las verificaciones de LinkedIn, OpenAI y compañía?

Una filtración del código fuente revela: qué sucede realmente con tus datos de identificación en Reddit, Roblox y LinkedIn

Hoy en día, quienes navegan por internet deben demostrar su identidad cada vez más. Ya sea para obtener la codiciada "marca de verificación" de LinkedIn, acceder a los potentes modelos de IA de OpenAI, verificar la edad en Reddit o chatear en Roblox, sacar el pasaporte y grabarse el vídeo selfie obligatorio se están convirtiendo en la nueva normalidad. Pero mientras los usuarios creen que confían sus datos biométricos confidenciales directamente a las plataformas correspondientes, un poder invisible opera en segundo plano: la startup estadounidense "Persona". Con más de 300 millones de identidades verificadas, la empresa, respaldada por inversores influyentes, se ha convertido en la infraestructura encubierta de la vida digital. Pero este sistema aparentemente conveniente tiene un gran fallo: una filtración de código fuente sensible, periodos de retención de datos cuestionables y estrechos vínculos con las autoridades estadounidenses plantean serias preocupaciones sobre la privacidad de los datos. ¿Qué ocurre realmente con nuestros rostros e identificaciones? ¿Y por qué Discord fue la única gran plataforma que cerró tras las protestas masivas de los usuarios? Una investigación sobre las estructuras de servidores ocultas de un gigante de los datos.

La columna vertebral invisible de internet: cómo LinkedIn, Reddit, OpenAI, Roblox y otras plataformas utilizan las personas, y qué significa eso para tus datos

Una empresa, 148.000 clientes, 300 millones de registros de datos... y casi nadie lo sabe

Cuando un usuario de LinkedIn verifica su perfil, cree que está hablando con LinkedIn. Cuando un usuario de Reddit confirma su edad, confía en Reddit. Cuando un jugador de Roblox muestra su rostro a la cámara, lo hace creyendo que Roblox es la persona con la que interactúa. En realidad, se trata de la misma empresa en todos estos casos: Persona Identities, Inc., una startup con sede en San Francisco fundada en 2018 que se ha convertido en la infraestructura de identidad de facto para gran parte de internet. Para 2024, Persona había completado más de 300 millones de verificaciones de identidad, duplicando tanto sus ingresos como su base de clientes. Las plataformas que utilizan los servicios de Persona representan una muestra representativa de la vida digital moderna; sin embargo, el nombre Persona sigue siendo completamente desconocido para la mayoría de los usuarios.

Esto no es casualidad. El modelo de negocio de Persona se basa deliberadamente en la invisibilidad: mientras las plataformas cultivan las relaciones con los usuarios y generan confianza, Persona se encarga de la verificación en segundo plano. Con una valoración de 2.000 millones de dólares tras su ronda de financiación Serie D en abril de 2025 e inversores como Founders Fund, Ribbit Capital e Index Ventures, la empresa se encuentra entre las compañías de tecnología de identidad privadas más importantes del mundo. Lo que para los usuarios parece un proceso de verificación sencillo es, en realidad, una infraestructura concentrada de recopilación de datos que va mucho más allá de lo necesario para una simple comprobación de identidad.

Relacionado con esto:

• Verificación de identidad | Tu rostro y tus datos no te pertenecen – Anthropic (Claude), LinkedIn y la nueva economía del control biométrico

LinkedIn: 100 millones de perfiles verificados y qué hay detrás de ellos

LinkedIn fue una de las primeras plataformas importantes en incorporar Persona como socio de verificación. En diciembre de 2025, la plataforma superó los 100 millones de perfiles verificados en todo el mundo, un hito que demuestra la profunda integración de Persona en la infraestructura de identidad de la web profesional. LinkedIn ofrece ventajas claras: los miembros verificados reciben, en promedio, un 60 % más de visitas a su perfil y un 50 % más de interacción. Las páginas de empresa verificadas registran 10,9 veces más visitas y 7,7 veces más seguidores. Estos son incentivos poderosos, y funcionan.

El proceso de verificación se realiza a través de la aplicación de LinkedIn. Se solicita a los usuarios que conecten su dispositivo a un pasaporte con tecnología NFC, escaneen el chip y se tomen una selfie en directo. LinkedIn recibe información limitada: el nombre tal como aparece en el pasaporte, el tipo de pasaporte, el país emisor, un identificador cifrado y la confirmación de que la verificación se realizó correctamente. Sin embargo, la información que Persona recopila y procesa más allá de este proceso es considerablemente más extensa, y solo se aborda en la documentación de LinkedIn con una breve referencia a la política de privacidad de Persona. Los subprocesadores autorizados para la verificación de LinkedIn a través de Persona incluyen AWS, Confluent, DBT, Elasticsearch, Google Cloud Platform, MongoDB, Sigma Computing y Snowflake. No se proporciona almacenamiento de datos en servidores europeos con cumplimiento legal garantizado de la UE.

El tema de la eliminación de datos es particularmente relevante. Persona confirma en su documentación de LinkedIn que los datos se eliminan tras la verificación, pero no especifica un plazo concreto. En el contexto de otras colaboraciones, como con Discord, se reconoció un período de almacenamiento de hasta siete días, lo que contradecía públicamente las declaraciones de la plataforma. Además, el código fuente filtrado de la infraestructura gubernamental de Persona revela que las listas de datos biométricos faciales pueden almacenarse hasta tres años, o más precisamente, 1095 días. En sus comunicaciones públicas, Persona mantiene deliberadamente la ambigüedad sobre qué se aplica a los clientes comerciales y qué a los gubernamentales.

Reddit: La verificación de edad como punto de entrada al control biométrico

Reddit introdujo Persona como parte de la implementación de la Ley de Seguridad en Línea (OSA) del Reino Unido, que exigía la verificación de edad para las plataformas en línea. El mercado británico sirvió como caso de prueba: los usuarios que intentaban acceder a contenido restringido por edad eran redirigidos a Persona para la verificación de edad. En la página de preguntas frecuentes de Reddit, Persona explica que actúa como procesador de datos bajo las instrucciones de Reddit, recopila solo la fecha de nacimiento y datos de imagen, y elimina toda la demás información en un plazo de tres días. Esto, en principio, parece razonable.

La situación es, en realidad, más compleja. Los usuarios de Reddit que verificaron su identidad informan de un proceso que va mucho más allá de la simple estimación de la edad: se recopilaron escaneos de chips NFC de pasaportes, selfies en directo y datos biométricos de comportamiento detallados, como la velocidad de escritura, las vacilaciones y si se copiaba información. Activistas de la privacidad descubrieron que el código fuente de Persona, identificado por Celeste, se ejecutaba en un servidor gubernamental autorizado por FedRAMP e incluía comprobaciones con las listas de vigilancia de FinCEN, las listas de personas políticamente expuestas (PEP) y las listas de sanciones globales. Todo esto se desarrolla en paralelo a los procesos de verificación comerciales de Reddit, LinkedIn y otras plataformas, sobre la misma infraestructura subyacente. Tras importantes protestas de usuarios en el Reino Unido, Reddit suspendió temporalmente la verificación obligatoria de Persona para los nuevos usuarios, aunque los usuarios ya verificados permanecieron en el sistema.

OpenAI: La conexión más antigua y opaca

La relación entre OpenAI y Persona es particularmente reveladora, y cronológicamente, la primera de todas las grandes alianzas entre plataformas. Investigadores de seguridad descubrieron, a través de los registros de transparencia de certificados, que un sistema de listas de vigilancia dedicado, bajo el dominio openai-watchlistdb.withpersona.com, había estado activo desde noviembre de 2023, aproximadamente 18 meses antes de que OpenAI anunciara públicamente en el verano de 2025 el requisito de verificación de identidad para acceder a GPT-5. OpenAI había añadido discretamente una frase a su política de privacidad en noviembre de 2024, haciendo referencia a la verificación de identidad y edad por parte de proveedores externos, sin mencionar explícitamente a Persona.

En septiembre de 2024, Persona publicó una página explicando que OpenAI utiliza Persona para verificar a millones de usuarios mensualmente, con más del 99 % de los usuarios verificados automáticamente en segundo plano en cuestión de segundos. Esto significa que no solo se ven afectados los usuarios que se someten activamente a la verificación, sino que el análisis de antecedentes es continuo. Para acceder a la API de OpenAI y a modelos como GPT-5, los desarrolladores deben enviar su identificación y tomarse tres selfies desde diferentes ángulos (izquierda, derecha y frontal) para crear un perfil facial tridimensional. Forrester Research evaluó esta decisión como una respuesta a la presión regulatoria, los riesgos geopolíticos del mal uso de los modelos y la necesidad de distinguir entre clientes corporativos legítimos y actores patrocinados por estados. La consecuencia: cualquiera que desee utilizar las herramientas de IA más avanzadas debe confiar su rostro a una infraestructura de verificación con sede en Estados Unidos.

Roblox: 151 millones de usuarios diarios y un escaneo facial obligatorio

En términos de número de usuarios, Roblox es el cliente más destacado de Persona. En enero de 2026, Roblox implementó la verificación de edad obligatoria para todos los usuarios que deseen utilizar la función de chat de la plataforma. Con 151 millones de usuarios activos diarios, esto representa un proceso biométrico obligatorio a una escala sin precedentes, especialmente considerando que una parte significativa de la base de usuarios está compuesta por niños y adolescentes. El mecanismo es simple: cualquier persona que desee chatear debe grabar un video selfie, que Persona analiza algorítmicamente para estimar su edad, o bien enviar una identificación oficial.

Roblox y Persona destacan que los datos biométricos y las imágenes se eliminan inmediatamente después de la estimación de edad. Sin embargo, no existen verificaciones independientes de esta afirmación. El verdadero problema reside en otra parte: la tecnología de estimación de edad de Persona no constituye, desde un punto de vista técnico, una verificación de edad, ya que estima la edad basándose en rasgos faciales sin contrastarla con un documento. Esto significa que los usuarios de Roblox se someten a un escaneo biométrico que no ofrece ni la precisión de una verificación de identidad real ni la seguridad de una verificación documental. Al mismo tiempo, los datos biométricos se transfieren a una infraestructura estadounidense, lo que plantea importantes preocupaciones en relación con el RGPD para los usuarios de la UE, especialmente los menores. Los datos biométricos de menores están sujetos a requisitos particularmente estrictos en virtud del artículo 9, en conjunción con el artículo 8 del RGPD, algo que Roblox no ha demostrado públicamente en su implementación actual.

Nuestra experiencia en la UE y Alemania en desarrollo empresarial, ventas y marketing - Imagen: Xpert.Digital

Áreas de enfoque de la industria: B2B, digitalización (de IA a XR), ingeniería mecánica, logística, energías renovables e industria

Más información aquí:

• Centro de expertos empresariales

Un centro temático que ofrece información y experiencia:

• Plataforma de conocimiento que abarca las economías globales y regionales, la innovación y las tendencias específicas de la industria
• Una colección de análisis, perspectivas e información de fondo de nuestras áreas de enfoque clave
• Un lugar para la experiencia y la información sobre los avances actuales en negocios y tecnología
• Un centro para empresas que buscan información sobre los mercados, la digitalización y las innovaciones de la industria

Discordia: El retiro más público y lo que revela

Discord es la única gran empresa que ha finalizado públicamente su colaboración con Persona, ofreciendo una explicación explícita: un raro ejemplo de transparencia en el sector. En enero de 2026, Discord implementó Persona para la verificación de edad en el Reino Unido como parte de un programa piloto confidencial. Cuando la colaboración se hizo pública, provocó una fuerte reacción negativa por parte de los usuarios. El director de tecnología de Discord, Stanislav Vishnevskiy, admitió que la empresa había fallado en su comunicación. La verdadera escalada se produjo cuando investigadores de seguridad no solo descubrieron la conexión con Founders Fund de Peter Thiel, sino que también encontraron una página de soporte archivada que mencionaba que Persona conservaba los datos durante siete días, contradiciendo directamente las declaraciones previas de la empresa sobre la eliminación casi instantánea.

Posteriormente, Discord formuló un nuevo y claro conjunto de requisitos para todos sus futuros socios de verificación: los datos biométricos deben procesarse íntegramente en el dispositivo del usuario y no deben salir de él. Persona incumplió explícitamente este estándar y, por lo tanto, fue excluida del contrato. Este requisito es revolucionario tanto desde una perspectiva técnica como de protección de datos: define el procesamiento en el dispositivo como el estándar mínimo para la verificación biométrica de edad. El hecho de que ninguno de los otros clientes importantes de Persona haya exigido públicamente este estándar demuestra lo lejos que está aún la industria de esta norma. Para colmo, Discord también se enfrentaba a una filtración de datos paralela al caso de Persona: en otro proveedor de verificación de edad, los documentos de identificación oficiales de aproximadamente 70 000 usuarios se vieron comprometidos, una situación que ilustró claramente el riesgo estructural de externalizar las verificaciones biométricas a proveedores externos.

VRChat: Verificación de identidad en realidad virtual

VRChat, la plataforma social de realidad virtual con una base de usuarios internacional, también implementó Persona como su socio para la verificación de edad. Debido a las crecientes exigencias regulatorias para las plataformas en línea, especialmente en el Reino Unido y la UE, VRChat se vio obligada a implementar un sistema de verificación de edad. El sistema elegido: Persona. La reacción de la comunidad fue contundente. Los foros de usuarios se inundaron de análisis detallados de la infraestructura de Persona, referencias a la conexión con el Thiel Founders Fund y un llamado colectivo a reconsiderar la implementación.

VRChat subraya en sus comunicaciones oficiales que no recibe imágenes de documentos de identidad ni escaneos faciales, solo un valor hash que confirma la verificación. Persona también afirma no recibir información sobre la identidad del usuario dentro de VRChat. Esto concuerda con la arquitectura de protección de datos de Persona, pero desde la perspectiva de la privacidad de los datos, es solo una solución parcial: Persona posee todos los datos biométricos sin procesar, independientemente de lo que se comparta con la plataforma. Los usuarios europeos de la comunidad VRChat señalan, con razón, que la tecnología eID —que permite la verificación de edad sin transmitir datos biométricos— existe como una alternativa segura, pero Persona no la admite explícitamente. Desde la perspectiva de la protección de datos europea, este rechazo es difícil de justificar.

Upwork: Cuando la verificación de identidad se convierte en un requisito laboral

En Upwork, la plataforma de trabajo freelance más grande del mundo, la verificación de identidad tiene un impacto económico particularmente directo. Los freelancers deben verificar su identidad, ya sea de forma proactiva pagando 35 Connects (la moneda interna de la plataforma) o de forma obligatoria al solicitar préstamos, trabajos específicos en EE. UU. o tras la suspensión de su cuenta. Quienes no completen la verificación en un plazo de siete días corren el riesgo de que se les suspenda la cuenta.

Esto resulta llamativo en varios aspectos. Primero, Upwork vincula directamente la verificación biométrica con la participación económica: cualquier persona que desee trabajar y recibir un pago debe ser verificada, y esto se realiza a través de una infraestructura estadounidense de terceros. Para los trabajadores independientes en la UE, esto implica transferir sus datos biométricos a un sistema legal estadounidense, para lo cual no existe una alternativa viable. Segundo, Upwork permite verificaciones repetidas: los usuarios informan que se les solicita verificar su identidad varias veces, incluso sin motivo aparente. Tercero, la propia comunicación de Upwork sobre el alcance del procesamiento de datos es vaga: la plataforma describe la verificación como una comprobación de identidad sin especificar los flujos de datos exactos hacia Persona ni sus políticas de almacenamiento de datos.

La infraestructura gubernamental oculta: lo que revela la filtración del código fuente

Lo verdaderamente preocupante de la infraestructura de Persona no es lo que la empresa comunica públicamente, sino lo que reveló un error de configuración fortuito. En febrero de 2026, investigadores de seguridad descubrieron que 53 megabytes de código fuente de la plataforma gubernamental de Persona eran accesibles públicamente sin que se hubiera producido ningún ataque ni acceso no autorizado. El sistema de compilación Vite había dejado mapas de código fuente disponibles públicamente, un fallo de diseño que exponía toda la arquitectura interna.

Los hallazgos de los investigadores superaron las expectativas: 2456 archivos fuente que documentan 269 verificaciones diferentes. La plataforma, que se ejecuta en la infraestructura gubernamental autorizada por FedRAMP bajo el nombre ONYX, contiene módulos completos para el envío directo de Informes de Actividad Sospechosa (SAR) a FinCEN, la red de investigación financiera del Departamento del Tesoro de EE. UU., y a su contraparte canadiense, FINTRAC. Incluye bases de datos biométricas faciales que se comparan con listas de vigilancia, módulos de reconocimiento facial de PEP (Personas Políticamente Expuestas) y 13 tipos diferentes de listas de seguimiento, que incluyen rostros, huellas digitales del navegador y geolocalizaciones. El código muestra explícitamente que las listas biométricas faciales pueden almacenarse hasta por 1095 días, es decir, tres años. Simultáneamente, aparece un nuevo subdominio llamado onyx.withpersona-gov.com en los registros de transparencia de certificados, vinculado temporalmente a la herramienta Fivecast ONYX, una herramienta de vigilancia basada en IA que el ICE encargó por 4,2 millones de dólares y que genera evaluaciones de riesgo de las redes sociales y la web oscura. Aún no se ha demostrado de forma concluyente si esta coincidencia de nombres es meramente casual o si existe una conexión estructural. Lo que sí está demostrado es que la infraestructura gubernamental de Persona se basa en la misma tecnología que la infraestructura comercial que impulsa LinkedIn, Reddit y OpenAI.

FedRAMP y el doble papel de Persona

Un aspecto que suele recibir poca atención en el debate público es la certificación FedRAMP de Persona. FedRAMP (Programa Federal de Gestión de Riesgos y Autorización) es el sistema estadounidense para certificar la seguridad de los servicios en la nube para las agencias federales. En octubre de 2025, Persona obtuvo la certificación FedRAMP Low Impact Authorized y está en camino de obtener la certificación FedRAMP Moderate Ready. Esto significa que Persona es ahora un proveedor de infraestructura acreditado para las agencias federales de EE. UU. La plataforma comercial que verifica a los usuarios de LinkedIn y la plataforma gubernamental que proporciona comprobaciones de identidad a las agencias federales se encuentran, por lo tanto, bajo el mismo paraguas: técnicamente separadas mediante implementaciones, pero legal y organizativamente bajo la misma estructura corporativa.

Para los usuarios europeos, esto es crucial porque lleva la cuestión de la Ley CLOUD a un nuevo nivel. La Ley CLOUD obliga a las empresas estadounidenses a conceder acceso a los datos a las autoridades estadounidenses que lo soliciten, independientemente de la ubicación del servidor. Una empresa que procesa simultáneamente datos biométricos comerciales de millones de usuarios en todo el mundo y es un proveedor de infraestructura acreditado para agencias federales estadounidenses representa una combinación donde los límites entre el servicio comercial y la infraestructura gubernamental se difuminan estructuralmente. Esto no es una sospecha, sino una descripción del modelo de negocio.

Lo que los usuarios deben saber y hacer

Comprender la infraestructura de perfiles de usuario cambia nuestra forma de evaluar una decisión aparentemente sencilla: ¿Debería verificar mi perfil de LinkedIn? El aumento del 60 % en las visitas al perfil suena tentador. Pero la verdadera pregunta es: ¿Qué beneficios obtengo? La respuesta es compleja.

Cualquier persona que verifique su identidad a través de Persona en LinkedIn, Reddit, OpenAI o Roblox está entregando datos biométricos a una empresa estadounidense, proveedora de infraestructura gubernamental certificada por FedRAMP, dirigida por Founders Fund de Peter Thiel, que comparte presidente fundador con Palantir, y cuyo código fuente filtrado revela una infraestructura de vigilancia que va mucho más allá de la simple verificación de identidad. Los residentes de la UE tienen derecho de acceso, supresión y oposición según el RGPD. Las solicitudes de eliminación de datos a Persona pueden enviarse directamente mediante DSAR (Solicitud de Acceso del Interesado); sin embargo, varios usuarios informan que Persona responde a dichas solicitudes con respuestas automáticas y vagas.

Para las propias plataformas, la lección reside en la decisión de Discord: el procesamiento en el dispositivo como estándar, no como excepción. La verificación de edad no tiene por qué implicar que los datos biométricos sin procesar pasen por una infraestructura de servidores en EE. UU. Existen sistemas europeos de identificación electrónica, monederos de identidad nacionales y arquitecturas de verificación descentralizadas como alternativas técnicas. El hecho de que no se utilicen es una decisión política y económica, no una necesidad técnica.

La cuestión estructural es: ¿Quién está construyendo la Internet de las identidades?

Este inventario no ofrece respuestas, sino que plantea una pregunta cada vez más urgente: ¿Quién debería controlar la infraestructura de identidad de internet? Para 2026, la respuesta de facto es una empresa privada en San Francisco, financiada por Peter Thiel, con una doble función como proveedor comercial de verificación de identidad (KYC) e infraestructura acreditada por el gobierno estadounidense. LinkedIn ha verificado 100 millones de perfiles dentro de este sistema. Reddit verifica cohortes de edad bajo la presión británica y, próximamente, europea. Roblox somete a 151 millones de usuarios diarios a un escaneo facial obligatorio. OpenAI requiere verificación biométrica para acceder a los modelos de IA más potentes del mundo.

Esta concentración no es inevitable. Es el resultado de decisiones de mercado tomadas bajo un control regulatorio débil y con falta de transparencia pública. La Ley de IA de la UE, el RGPD y el Paquete Digital de la UE proporcionan las herramientas legales para regular esta concentración y promover alternativas europeas. Lo que falta es la voluntad política para aplicarlas, así como la conciencia pública de que la cuestión de quién gestiona su imagen pública no es un detalle técnico, sino un asunto fundamental de autodeterminación democrática en la era digital.