ZAO, la 'app' china que te permite cambiar la cara de Jon Nieve o Di Caprio por la tuya no es gratis: pagas con tus datos

Primero fue FaceApp y ahora es ZAO, una app china que se ha colocado rápidamente a la cabeza en número de descargas para iPhone en el país asiático. La premisa es sencilla: que el usuario, utilizando tan solo la imagen de su cara, protagonice los videoclips de sus artistas favoritos o las escenas memorables de las películas con las que cuenta la app. De esta forma, cualquiera puede verse como Leonardo DiCaprio en Titanic, cantando el Gangnam Style en la piel de Hyuna o encarnando al mismísimo Jon Nieve de Juego de Tronos.

ZAO crea lo que popularmente se conocen como deepfakes. Estos montajes deben su nombre a un usuario del foro Reddit que en diciembre del 2017 se dedicó a intercambiar las caras de mujeres en vídeos porno por las de actrices de Hollywood. Aunque los administradores de la web terminaron por eliminar su cuenta, deepfakes (así se llamaba en Reddit) liberó el código en Internet y lo puso a disposición de todo el mundo.

El funcionamiento de la app china es similar al ya visto en otras como FaceApp: el usuario sube una foto y el programa la escanea, la almacena y la usa para convertir a esa persona en la protagonista de los videoclips o las películas que desee. El resultado es bastante bueno, ya que no interfiere en la calidad del vídeo ni modifica la imagen más allá del cambio obvio del rostro del actor o de la actriz original por el del usuario.

La app cuenta con una pequeña muestra de videoclips y películas precargadas, así como teasers de videojuegos. En CGI (imágenes generadas por ordenador) el resultado es incluso mejor y la cara del usuario está bien incorporada al resto del dibujo. La desarrolladora Allan Xia, que fue una de las primeras en explicar cómo funcionaba ZAO, asegura que es “la mejor app de estilo deepfake para intercambiar caras que he visto nunca”.

Tu cara en una serie o tu privacidad

Aunque ZAO solo está disponible en la tienda de Apple para el público chino, algunos como el investigador en ciberseguridad francés Baptiste Robert (@fs0c131y en Twitter) han conseguido crearse una cuenta y experimentar con la app. “De momento, Zao no está subiendo tu carrete a sus servidores. Sí, suben la foto que usas para crear el deepfake a sus servidores (lo que tiene sentido)”, explica en Twitter.

En los términos de privacidad de la app, los desarrolladores explican que no necesitarán la autorización del usuario para compartir la fotografía con el gobierno chino en caso de que este lo requiera. Igualmente, la información personal del usuario puede ser transferida al ejecutivo del país asiático en el marco de una investigación de “interés nacional”, que afecte “a la salud pública” o si se trata de una “investigación criminal”. Aunque los términos de privacidad están en chino, pueden leerse aquí traduciéndolos con Google.

Robert también lamenta que los vídeos creados pos los usuarios pueden encontrarse fácilmente a través de la URL que generan cuando son creados. “No se requiere autenticación para acceder a ellos”, dice. De manera similar, las fotos utilizadas para crear el deepfake también se encuentran en la web de la compañía y tampoco están protegidas.

ZAO, además, es capaz de enviar datos a una tercera empresa relativos al terminal en el que se está ejecutando. Esta compañía es GrowingIO, también china, que almacena la información del dispositivo del usuario. Entre esos datos están el modelo de teléfono, el tipo de conectividad que usa, el sistema operativo o el número IMEI del teléfono, entre otros. “Vale la pena decir que todas las peticiones que hace ZAO con su backend immomo.com usan HTTPS y a veces van cifradas”, se consuela Robert. Pero lo más importante es que ninguna de las bases de datos que usan ambos servicios (ZAO y el programa de rastreo) están cifradas, por eso la seguridad que ofrece la app a los usuarios es tirando a escasa.

Haz un deepfake y tu fotografía les pertenecerá

deepfakeAunque ZAO solo tiene unos pocos días de vida, las dudas acerca de si protege o no de manera adecuada la privacidad de los usuarios no se han hecho esperar. Por ello, los propios desarrolladores han tenido que salir al paso en Weibo, el Facebook chino. “Entendemos totalmente vuestras dudas sobre el tema de la privacidad. Vuestras preguntas han sido recibidas y corregiremos las áreas que no consideramos antes. Llevará algún tiempo”, explican desde Momo, los creadores de la app que hace poco también publicaron Tantan, una especie de Tinder dirigido al público asiático.

Cuando la app fue lanzada el viernes, Momo incluyó una cláusula en los términos de privacidad por la que se reservaba el derecho a utilizar, gratuitamente, la pieza creada con ZAO allá donde le pareciese conveniente. Dicho con otras palabras: se garantizaron la autoría de cualquier deepfake creado con el programa y la difusión del mismo a coste cero. Los usuarios protestaron y los desarrolladores, al día siguiente, añadieron otra cláusula en la que especificaron que antes de usar cualquier deepfake pedirían permiso al creador.

Momo también se vio obligada a añadir otro punto más: cuando un usuario borre su cuenta, también se borrarán todos los deepfakes que creó, algo que no estaba contemplado en la primera versión de los términos de privacidad de la app. Sin embargo, el ciberinvestigador francés ha demostrado que a pesar de haber borrado su cuenta de ZAO, el deepfake que creó con su cara haciéndose pasar por Sheldon Cooper (The Big Ban Theory) aún sigue disponible en Internet. En los términos de uso, la compañía especifica que “si [usted] decide borrar sus datos o su cuenta, ZAO seguirá los procedimientos legales correctos para asegurar la eliminación de los datos relevantes”.

Por cosas como esta y las crecientes dudas que planean sobre la privacidad de los usuarios al usar la app, la red social china WeChat (el WhatsApp asiático) ha decidido bloquear en su plataforma los vídeos de ZAO.