Airdrops reclamados por bots antes de que los usuarios reales puedan siquiera conectar sus monederos. Votos de gobernanza inclinados por miles de cuentas falsas. Programas de liquidez DeFi vaciados por un solo actor que controla diez mil direcciones.
No son riesgos teóricos.
Son la fricción definitoria de todo producto cripto que intenta tratar a sus usuarios como humanos y no como pares de claves anónimos.
El problema subyacente tiene un nombre técnico —ataque sybil— y existe desde los primeros días de las redes peer‑to‑peer. La solución emergente también tiene nombre: prueba de humanidad (proof of personhood).
Y el mercado acaba de decidir que importa.
Con Worldcoin (WLD) subiendo más de un 21% en las últimas 24 horas y Humanity Protocol (H) disparándose más de un 34% hasta convertirse en uno de los activos más populares en CoinGecko, la señal es clara: esta narrativa se volvió urgente.
Este artículo explica exactamente qué es la prueba de humanidad, cómo la construyen los sistemas líderes y por qué hacerlo bien importa mucho más allá de los airdrops de tokens.
TL;DR
- La prueba de humanidad es un método criptográfico para demostrar que eres un ser humano único y real en una blockchain sin revelar necesariamente tu nombre ni otros datos personales.
- El principal problema que resuelve es el ataque sybil, donde una persona crea muchas identidades falsas para explotar sistemas diseñados para individuos únicos.
- Los enfoques líderes usan biometría (escaneos de iris, huellas de la palma, reconocimiento facial), análisis de grafo social o combinaciones de ambos, cada uno con compensaciones distintas en privacidad, accesibilidad y descentralización.
- Las pruebas de conocimiento cero permiten que estos sistemas verifiquen la humanidad sin exponer los datos biométricos subyacentes a nadie.
- A medida que los bots generados por IA se vuelven indistinguibles de los humanos en línea, la prueba de humanidad está pasando de ser un problema de nicho de Web3 a una cuestión fundamental de la infraestructura de internet.
Qué es realmente un ataque sybil y por qué lo rompe todo
El término «ataque sybil» proviene de un estudio de caso psiquiátrico de 1973 sobre una mujer con 16 personalidades distintas. El científico informático John Douceur lo tomó prestado en un artículo de Microsoft Research de 2002 para describir una clase específica de fallo en sistemas distribuidos. El fallo funciona así: si una red concede influencia, recursos o recompensas según el número de identidades participantes, y si crear nuevas identidades es barato, entonces un solo adversario puede desbordar el sistema creando muchas identidades falsas.
En Bitcoin (BTC) (BTC), los ataques sybil son costosos porque la influencia proviene del trabajo computacional, no del número de identidades. Un minero con una máquina recibe recompensas proporcionales a su poder de hash, sin importar cuántas direcciones controle. Pero la mayoría de las aplicaciones Web3 no funcionan así. Los airdrops de tokens dan una asignación por monedero. La votación cuadrática pondera más a los donantes pequeños que a las ballenas, creando fuertes incentivos para dividir fondos entre cuentas falsas. Los protocolos de préstamos revisan las razones de colateral por dirección, no por persona. En todos los casos, el sistema asume implícitamente que una dirección equivale a un humano. Esa suposición se rompe en el momento en que cualquier actor racional se da cuenta de que es más barato generar mil monederos que aportar valor real.
Un ataque sybil no requiere hackear nada. Solo requiere que crear identidades falsas cueste menos que la recompensa por hacerlo. Para la mayoría de las aplicaciones Web3 actuales, las matemáticas favorecen claramente al atacante.
La magnitud del problema está creciendo más rápido de lo que la mayoría de los desarrolladores reconocen. En 2023, se estimó mediante análisis on‑chain que aproximadamente el 20% del airdrop de Arbitrum (ARB) fue a parar a monederos sybil. El programa de incentivos de Friend.tech fue explotado sistemáticamente en cuestión de días tras su lanzamiento. Y todos estos ejemplos son anteriores a la generación actual de agentes de IA, que ahora pueden crear monederos, financiarlos, interactuar con protocolos y superar comprobaciones básicas antibots con mínima supervisión humana.
También lee: OpenAI Launches Lockdown Mode To Block Prompt Injection Attacks
Cómo la prueba de humanidad crea una garantía de «un humano, una identidad»
La prueba de humanidad no es una única tecnología. Es un objetivo de diseño: crear una credencial que solo un ser humano real pueda poseer, que no pueda transferirse ni duplicarse y que cualquier sistema pueda verificar sin requerir confianza en una autoridad central.
Piensa en ello como un certificado de nacimiento criptográfico para internet, excepto que el emisor no necesita saber tu nombre.
La idea central es que los seres humanos tienen atributos físicos o sociales únicos y difíciles de falsificar. Tu patrón de iris es estadísticamente único entre todos los humanos vivos.
Tu rostro, la huella de tu palma, tus patrones de comportamiento en línea y el grafo social de personas que te conocen y dan fe de ti son todos difíciles de falsificar a escala. Un sistema de prueba de humanidad convierte uno de estos atributos en una credencial on‑chain que dice «este monedero pertenece exactamente a un humano real» sin decir qué humano ni cómo es su atributo.
La credencial en sí adopta formas distintas según el sistema. Worldcoin emite un World ID, que es una prueba de conocimiento cero de que escaneaste tu iris con el dispositivo Orb del proyecto y que no estás ya registrado. Humanity Protocol usa el escaneo de venas de la palma y emite un identificador descentralizado (DID) junto con credenciales verificables (VC). Proof of Humanity (un proyecto aparte en Ethereum (ETH)) usa envíos de video y un sistema de aval social en el que humanos verificados existentes apuestan por nuevos participantes.
El estándar de oro para cualquier sistema de prueba de humanidad es que saber que la credencial existe no te diga nada sobre la persona detrás de ella más allá del único hecho de que es humana.
Lo que une estos enfoques es la separación entre el evento de verificación y el registro on‑chain. El sistema necesita comprobar tu biometría durante el registro. Después de eso, la credencial on‑chain porta la prueba sin conservar los datos subyacentes.
También lee: Tether's USDT Flips Ethereum For First Time In 8 Years, Then Slips Back
Enfoques biométricos: cómo funcionan en cadena los escaneos de iris, palma y rostro
Los sistemas biométricos de prueba de humanidad funcionan mediante una cadena de tres etapas distintas: captura, generación de plantilla y compromiso.
Durante la captura, un dispositivo de hardware registra tu biometría. El Orb de Worldcoin usa cámaras de infrarrojo cercano para fotografiar ambos iris en alta resolución.
El hardware de Humanity Protocol captura los patrones únicos de venas en tu palma, que son estructuras internas invisibles a las cámaras y casi imposibles de replicar externamente. El requisito clave en esta etapa es que el hardware debe ser confiable, por lo que ambos proyectos construyen dispositivos propios o usan socios de hardware certificados en lugar de depender de cámaras de teléfonos.
Durante la generación de la plantilla, la imagen en bruto se convierte en una representación matemática llamada IrisCode (para sistemas basados en iris) o en un vector de características equivalente. Un IrisCode captura la textura y estructura del iris como una cadena binaria compacta. Dos escaneos del mismo iris producirán IrisCodes que difieren en menos del 10% de los bits. Dos escaneos de iris distintos diferirán aproximadamente en el 45% de los bits, estadísticamente equivalente a ruido aleatorio. Esta diferencia es lo que hace comprobable la unicidad biométrica sin inspección visual.
Durante el compromiso, la plantilla se hashea y el hash se registra on‑chain.
Worldcoin va más allá usando un protocolo de prueba de conocimiento cero: el Orb genera un compromiso con tu IrisCode, y el sistema puede verificar después que un nuevo escaneo coincide con un compromiso existente sin revelar jamás el propio IrisCode ni siquiera el compromiso en texto plano. El registro on‑chain almacena solo un nullifier, un código de un solo uso que prueba que utilizaste tu credencial sin vincular ese uso con tu registro original.
La implicación práctica en términos de privacidad es significativa. Un observador que mire la blockchain puede confirmar que alguien con un World ID válido realizó una acción. No puede determinar de quién era ese ID, cómo es su iris ni ningún otro atributo sobre esa persona.
También lee: Ethereum Hasn't Traded This Low Since 2023, And It's Still Sliding
Enfoques de grafo social y por qué algunos sistemas evitan por completo la biometría
No todos los equipos que construyen prueba de humanidad creen que la biometría por hardware sea la respuesta adecuada. Las objeciones caen en dos categorías: accesibilidad (los dispositivos Orb requieren presencia física en un lugar de despliegue, lo que excluye a miles de millones de personas) y confianza (el fabricante de hardware se convierte en un único punto de fallo para todo el sistema de identidad).
Los enfoques de grafo social toman un camino diferente.
El proyecto original Proof of Humanity en Ethereum pide a cada solicitante que envíe un breve video de sí mismo junto con un depósito. Un miembro ya verificado de la red debe luego avalarlo staking un depósito a favor de su solicitud. Si un retador disputa una entrada y gana, el solicitante impugnado pierde su depósito.
El avalista no pierde nada si la introducción tiene éxito. Este sistema no requiere ningún hardware más allá de un teléfono inteligente y no recopila plantillas biométricas.
Gitcoin Passport agrega señales en lugar de depender de una sola. Los usuarios acumulan «sellos» de cuentas verificadas en distintas plataformas: contribuciones en GitHub, nombres ENS, verificación de identidad en Coinbase, conexiones en BrightID y otros. Cada sello añade evidencia de humanidad. El sistema puntúa a los usuarios por encima de un umbral para acceder a programas de subvenciones, con umbrales más altos para aplicaciones más sensibles.
BrightID utiliza el análisis de grafos sociales de forma más directa. Los usuarios se unen a videollamadas virtuales con miembros existentes que verifican que están conociendo a una persona real y distinta. La red utiliza algoritmos de teoría de grafos para identificar grupos de cuentas que parecen estar controladas por la misma entidad y las marca como probables síbiles. El BrightID whitepaper describe esto como una prueba de unicidad "basada en conexiones" en lugar de biométrica.
Cada enfoque social introduce sus propias vulnerabilidades. Los sistemas basados en grafos pueden ser manipulados por grupos coordinados que se respaldan mutuamente entre identidades falsas. Las videollamadas son susceptibles a la generación de deepfakes a medida que mejora la calidad del video generado por IA.
Los sistemas de umbrales como Gitcoin Passport suponen que adquirir muchas credenciales de plataformas simultáneamente es lo suficientemente costoso como para disuadir ataques síbiles, lo cual puede dejar de ser cierto a medida que proliferen los agentes de IA.
Also Read: Two AI Rivals, One Compute Bill: Inside Google's $30B SpaceX Move
Por Qué Las Pruebas De Conocimiento Cero Son La Capa De Privacidad Que Hace Viable Todo Esto
Todo sistema biométrico de prueba de humanidad se enfrenta a una tensión fundamental: la verificación requiere conocer algo verdadero sobre ti, pero almacenar esa verdad crea una base de datos de vigilancia. La resolución de esta tensión proviene de las pruebas de conocimiento cero (ZKP, por sus siglas en inglés), una técnica criptográfica que permite a una parte demostrar a otra que conoce un hecho sin revelar el hecho en sí.
Una ZKP para identidad funciona así. Imagina que quieres demostrar que estás registrado en el sistema de Worldcoin ante un protocolo DeFi que quiere prevenir el farming síbil. Sin ZKPs, enviarías tu dirección de cartera y el protocolo buscaría tu credencial de World ID. Pero entonces el protocolo podría construir un perfil de cada acción que hayas realizado con esa credencial. Con una ZKP, en cambio generas una prueba que dice "poseo una credencial de World ID válida" sin revelar qué credencial, qué cartera la registró originalmente ni ninguna otra información identificable. El protocolo verifica la prueba matemáticamente y concede acceso.
Worldcoin implementa esto usando una variante del protocolo ZK Semaphore, desarrollado originalmente por el equipo de Ethereum Privacy and Scaling Explorations. Semaphore permite a los miembros de un grupo señalar pertenencia y enviar mensajes sin revelar su identidad específica dentro del grupo. Worldcoin añade el mecanismo de nullifier para que cada World ID solo pueda usarse una vez por contexto de aplicación, evitando que la misma credencial se use para reclamar múltiples asignaciones.
El desafío computacional de generar ZKPs históricamente ha hecho que la identidad on-chain sea poco práctica para el uso cotidiano. La generación de pruebas para circuitos complejos podía tardar minutos en hardware de consumo. Avances recientes en sistemas de prueba, en particular los STARKs y la agregación recursiva de pruebas, han reducido drásticamente los tiempos de generación. Worldcoin informa que las pruebas de World ID ahora pueden generarse en un teléfono inteligente en menos de dos segundos.
Las pruebas de conocimiento cero no solo protegen la privacidad del usuario. También eliminan la responsabilidad de almacenar bases de datos biométricas de las aplicaciones que usan credenciales de prueba de humanidad, ya que nunca reciben los datos subyacentes.
Also Read: AAVE Buyers Absorb Heavy Selling, But Price Still Slides 12%
El Problema De La Centralización Y Por Qué La Descentralización Es Tan Difícil
El problema más profundo no resuelto en la prueba de humanidad es que los sistemas biométricos basados en hardware requieren que alguien construya y despliegue el hardware. Ese alguien se convierte en un guardián, y los guardianes crean riesgo de centralización.
El Orb de Worldcoin está diseñado y fabricado por Tools For Humanity, la empresa cofundada por Sam Altman. Cada World ID comienza con un escaneo de Orb.
Si Tools For Humanity cambia sus políticas, es hackeada o se enfrenta a un cierre regulatorio, toda la infraestructura de credenciales queda en riesgo. El proyecto ha hecho que su código de coincidencia de iris y sus circuitos ZK sean de código abierto como mitigación parcial, y se ha comprometido a una transición hacia un gobierno comunitario. Pero la fabricación física de los dispositivos Orb sigue estando centralizada.
Humanity Protocol enfrenta el mismo desafío estructural en una capa de hardware diferente. Los escáneres de venas de la palma requieren hardware especializado de infrarrojo cercano que no puede ser simplemente replicado por cualquier fabricante. El proyecto ha anunciado planes para una red de socios de verificación certificados en lugar de un único fabricante, lo que distribuye la confianza en cierta medida pero no elimina la dependencia del hardware físico.
Los sistemas puramente sociales como Proof of Humanity y BrightID evitan el problema de centralización del hardware pero introducen sus propias dependencias de gobernanza. ¿Quién establece las reglas de aval? ¿Quién decide cuándo una video–presentación es fraudulenta? ¿Quién dirime disputas? Estas decisiones requieren una estructura de gobernanza, y las estructuras de gobernanza tienen sus propias superficies de ataque.
El sistema más descentralizado imaginable no requeriría hardware ni aval social, usando solo propiedades criptográficas de la propia persona. Los investigadores han explorado biometría de comportamiento, patrones de tecleo, movimiento del ratón y reconocimiento de la forma de andar capturado por acelerómetros de teléfonos como posibles entradas. Ninguna de estas es todavía lo suficientemente fiable como para servir como base única de un sistema de prueba de humanidad, pero la línea de investigación está activa.
Also Read: XRP And Stellar Are Trending Together Again, Here's What Traders Spotted
Quién Realmente Necesita Prueba De Humanidad Y Cómo Se Aplica
Comprender cómo se usa en la práctica la prueba de humanidad es tan importante como entender cómo funciona técnicamente. Las aplicaciones abarcan un rango más amplio de lo que la mayoría de los recién llegados espera.
La distribución de airdrops y tokens es el caso de uso más visible hoy. Los protocolos que quieren distribuir tokens a usuarios reales en lugar de granjas de bots pueden condicionar las reclamaciones a un World ID o a una credencial de Proof of Humanity. Esto no impide todo el farming, ya que un atacante decidido podría adquirir credenciales de forma fraudulenta, pero incrementa drásticamente el coste. Un atacante tendría que presentarse físicamente (o enviar un apoderado) en múltiples ubicaciones de Orbs para acumular múltiples credenciales.
La financiación cuadrática es posiblemente la aplicación de mayor valor. En la financiación cuadrática, las pequeñas donaciones de muchos donantes únicos se igualan de forma más generosa que las grandes donaciones de pocos donantes. Este sistema solo produce el resultado previsto si los donantes son realmente únicos. Gitcoin ha utilizado sellos de prueba de humanidad como una capa clave de resistencia a síbiles en su programa de subvenciones desde 2022.
La gobernanza descentralizada puede beneficiarse enormemente. El voto actual en DAO es en gran medida plutocrático: los tokens equivalen a votos, y los ricos dominan los resultados.
La gobernanza de una-persona-un-voto se vuelve posible cuando la membresía puede verificarse como humanos únicos. Proyectos como ENS, Optimism y Gitcoin han explorado modelos híbridos donde la votación por tokens se contrapesa parcialmente con mecanismos condicionados a identidad.
La renta básica universal y los programas sociales representan la aplicación más ambiciosa. La misión declarada de Worldcoin es precisamente esta: crear una población global verificada y distribuir una parte de la productividad futura de la IA a cada humano verificado. La arquitectura de Humanity Protocol, con su stack de DID y credenciales verificables, está diseñada para apoyar exactamente este tipo de alianzas con gobiernos y ONG.
La verificación de agentes de IA es la frontera emergente. A medida que los agentes autónomos de IA se convierten en participantes de DeFi, su capacidad para imitar el comportamiento humano mejora más rápido que los métodos de detección. Las credenciales de prueba de humanidad pueden convertirse en el mecanismo principal mediante el cual los protocolos distinguen entre agentes que actúan en nombre de humanos verificados y actividad de bots totalmente autónomos. Los proyectos que integren la capa de IA de NEAR Protocol y una infraestructura similar se enfrentarán directamente a esta cuestión.
Also Read: LUNC Falls 31% As A Marketwide Selloff Drags Small Caps Lower
Las Preguntas Regulatorias Y Éticas Que Nadie Ha Respondido Del Todo
La prueba de humanidad se sitúa en la intersección de la legislación de privacidad, la regulación de datos biométricos y el cumplimiento financiero de formas que aún no se han resuelto completamente en ninguna parte del mundo.
En la Unión Europea, los datos biométricos se clasifican como una categoría especial de datos personales bajo el RGPD y reciben el nivel más alto de protección.
Recoger escaneos de iris de residentes de la UE requiere un consentimiento explícito, un propósito legítimo de procesamiento y salvaguardas técnicas adecuadas. Worldcoin se enfrentó a acciones regulatorias en varios países de la UE, incluidos Baviera y Portugal, por preocupaciones de que la recogida de consentimiento fuera inadecuada y de que los derechos de eliminación no se implementaran correctamente. El proyecto suspendió operaciones en algunos mercados mientras dialogaba con los reguladores.
En Estados Unidos, las leyes de privacidad biométrica existen a nivel estatal más que federal. La Ley de Privacidad de Información Biométrica (BIPA) de Illinois es la más estricta, requiere consentimiento escrito explícito y establece un límite de cinco años para la retención de datos. Texas y Washington tienen leyes similares. Cualquier sistema de prueba de humanidad que recoja biometría de residentes estadounidenses debe navegar este mosaico normativo.
Las cuestiones éticas van más allá de la regulación. La exclusión biométrica es un riesgo real: las personas mayores, las personas con ciertas condiciones médicas y las personas con daño en el iris o patrones de venas inusuales pueden fallar la verificación biométrica de hardware sin culpa alguna. Un sistema que excluya a estas poblaciones de aplicaciones Web3 que requieren prueba de humanidad crearía una nueva clase de subproletariado digital.
También hay un debate genuino sobre si cualquier sistema biométrico ninguna base de datos, por muy bien cifrada y protegida con conocimiento cero que esté, debería existir a la escala que Worldcoin prevé. Investigadores de seguridad han señalado que una base de datos de compromisos de IrisCode es potencialmente vinculable si la función hash subyacente se rompe alguna vez o si errores de implementación filtran información. La historia de la seguridad de la información no inspira confianza en que los sistemas diseñados para ser privados vayan a seguir siéndolo indefinidamente.
Also Read: Is AI Approaching A Point Of No Return? Anthropic Calls For A Pause Framework
Conclusión
La prueba de humanidad es uno de los problemas más ambiciosos técnicamente y más trascendentales socialmente en toda la criptografía.
Plantea una pregunta engañosamente simple: ¿cómo demuestras que eres humano sin confiar en que nadie responda por ti?
La respuesta exige una combinación de ingeniería de hardware, criptografía avanzada, gobernanza descentralizada y un cuidadoso diseño de privacidad, combinados de formas que ninguno de los proyectos actuales ha perfeccionado.
Lo que está claro es que el problema no va a desaparecer.
Los agentes generados por IA están mejorando más rápido de lo que los métodos de detección pueden seguir el ritmo. Los incentivos económicos para los ataques sybil crecen a medida que fluye más valor a través de los sistemas Web3. Y el beneficio de resolver esto correctamente —desde una gobernanza creíblemente neutral hasta una infraestructura financiera universalmente accesible— es lo suficientemente grande como para justificar tanto el esfuerzo de ingeniería como un análisis honesto de las compensaciones.
Worldcoin y Humanity Protocol representan hoy en día los principales enfoques biométricos, y su impulso en el mercado refleja una demanda genuina de una solución.
Pero el espacio aún es joven.
Es probable que la arquitectura de la infraestructura de prueba de humanidad en 2030 sea sustancialmente diferente de cualquier cosa desplegada hoy.
Para cualquiera que esté construyendo en Web3, seguir este espacio no es opcional. La capacidad de distinguir de forma fiable a los humanos de los bots on-chain será un bloque de construcción fundamental de la próxima generación de aplicaciones descentralizadas.
Read Next: Justin Sun Escalates Fight With WLFI As HTX Removes USD1