Qué era I-XRAY
En septiembre de 2024, los estudiantes de tercer año de Harvard AnhPhu Nguyen y Caine Ardayfio construyeron un sistema llamado I-XRAY que encadenaba gafas inteligentes de consumo, un motor de búsqueda inversa de rostros y sitios públicos de data brokers para identificar desconocidos en tiempo real. Lo demostraron en el transporte público de Boston — mirando a alguien, y en unos 90 segundos viendo el nombre, dirección, número de teléfono y empleador de esa persona en la pantalla de un teléfono.
Publicaron un video de demostración en X el 30 de septiembre de 2024, con el eslogan: "¿Estamos listos para un mundo donde nuestros datos quedan expuestos de un vistazo?" A mediados de octubre, el video había sido visto más de 20 millones de veces. 404 Media, The Verge, Ars Technica, Forbes y el Harvard Crimson cubrieron la historia.
Los estudiantes declararon explícitamente que nunca publicarían el código. Era un proyecto de demostración destinado a mostrar lo que ya era posible con herramientas disponibles públicamente — y a impulsar a las personas a darse de baja de las bases de datos que lo hacen posible.
Cómo funcionaba técnicamente
I-XRAY no era un solo software. Era una cadena de servicios existentes, ninguno de los cuales fue creado para este propósito:
Paso 1 — Captura. Las gafas Ray-Ban Meta (Gen 2) transmitían video en vivo a Instagram Live. Un programa en portátil monitorizaba la transmisión en vivo y extraía imágenes de rostros del feed de video.
Paso 2 — Búsqueda inversa de rostros. Las imágenes de rostros se subían a PimEyes, un motor de búsqueda inversa de rostros con sede en Tiflis, Georgia. PimEyes devolvía URLs de fotos indexadas públicamente que coincidían con el rostro — no un nombre, sino enlaces a páginas web donde aparecía ese rostro.
Paso 3 — Extracción de identidad. Un modelo de lenguaje grande extraía texto de esas URLs para inferir un nombre, ocupación, escuela y otros detalles de páginas web no estructuradas.
Paso 4 — Consulta a data brokers. Con un nombre identificado, el sistema consultaba sitios públicos de búsqueda de personas — FastPeopleSearch, CheckThem, Instant Checkmate — para obtener dirección, número de teléfono, edad y familiares.
Paso 5 — Consulta más profunda opcional. Con un número de teléfono, el sistema podía consultar servicios como Cloaked.com para obtener dígitos parciales del Número de Seguro Social.
Todo el procesamiento ocurría en un ordenador externo, no en las gafas. Las gafas eran solo una cámara que parecía anteojos normales — que era todo el punto. Nguyen dijo a Business Insider que la misma cadena funcionaría con cualquier cámara, incluido un smartphone. Las gafas lo hacían encubierto.
Qué hizo centrales a las gafas
Los estudiantes eligieron Ray-Ban Meta Gen 2 específicamente porque "parecen casi indistinguibles de gafas normales". Una cámara de teléfono apuntada a alguien en un tren es llamativa. Gafas que parecen gafas no lo son.
También cubrieron el LED indicador de grabación para hacer el escaneo completamente invisible — un detalle que anticipó la investigación sobre manipulación del LED de Joanna Stern 20 meses después.
Cómo respondió Meta
La declaración de Meta, repetida en múltiples medios:
"Para ser claros, las gafas Ray-Ban Meta no tienen tecnología de reconocimiento facial. Por lo que podemos ver, estos estudiantes simplemente usan software de reconocimiento facial disponible públicamente en un ordenador que funcionaría con fotos tomadas con cualquier cámara, teléfono o dispositivo de grabación."
Meta enfatizó tres puntos: las gafas no ejecutan reconocimiento facial en el dispositivo; existe un LED de captura que el usuario no puede desactivar; y los términos de servicio prohíben la manipulación del LED. Los estudiantes, por supuesto, simplemente habían cubierto el LED.
Cómo respondió PimEyes
En enero de 2025, el CEO de PimEyes Giorgi Gobronidze dijo a Snopes que la empresa "no estuvo involucrada" en I-XRAY y "no apoya tales experimentos". PimEyes declaró que se cerraron ocho cuentas potencialmente vinculadas al proyecto y que los estudiantes habían usado cuentas personales — la empresa no había concedido acceso a la API.
PimEyes también mantuvo que su servicio no "identifica" personas. Devuelve enlaces a páginas web donde aparece un rostro coincidente. La distinción es técnicamente precisa y prácticamente irrelevante — los enlaces llevan a páginas que contienen nombres.
Qué ocurrió después
No se publicó código. Los estudiantes rechazaron todas las solicitudes. Snopes confirmó en enero de 2025 que la herramienta no se mantenía activamente y que su último funcionamiento completo fue en noviembre de 2024.
Sin imitadores documentados. A pesar de la atención viral, no se encontró ninguna reimplementación pública de I-XRAY en ningún reportaje hasta julio de 2026.
Participación académica. El Library Innovation Lab de Harvard Law School organizó un almuerzo con el profesor Jonathan Zittrain en enero de 2025 para discutir el proyecto y la guía de exclusión voluntaria.
Impulso legislativo. Ningún proyecto de ley de EE. UU. nombra explícitamente a I-XRAY, pero la demostración se convirtió en un punto de referencia para la legislación de privacidad de gafas inteligentes en 2026. El SB 1130 de California (presentado en febrero de 2026) criminaliza la grabación secreta con dispositivos portables en negocios y apunta al hardware que desactiva las luces de grabación. El HB 2603 de Pennsylvania (presentado en junio de 2026) requiere indicadores de grabación visibles en gafas inteligentes.
La conexión con NameTag
En junio de 2026 — 20 meses después de I-XRAY — WIRED descubrió código inactivo de reconocimiento facial llamado "NameTag" en la app Meta AI, que tiene 50 millones de descargas. El código incluía detección facial, generación de faceprints y un sistema de coincidencia que podía reconocer personas previamente encontradas por el usuario.
I-XRAY y NameTag son sistemas técnicamente diferentes. I-XRAY usaba búsqueda inversa de rostros de terceros para identificar desconocidos. NameTag usaba faceprints biométricos en el dispositivo para reconocer personas que el usuario había conocido antes. Pero el arco es el mismo: el formato que hace útiles las gafas inteligentes para fotografía y asistencia con IA es el mismo formato que permite la vigilancia sin consentimiento.
Meta eliminó casi todo el código de NameTag de la app en 24 horas tras el reportaje de WIRED, después del rechazo público y una carta de coalición liderada por la ACLU firmada por 75 organizaciones.
Por qué I-XRAY importa para la detección
La cadena de I-XRAY requería que las gafas transmitieran en vivo a Instagram — lo que significa que las gafas estaban transmitiendo activamente por Wi-Fi y Bluetooth. Toda la cadena dependía de la comunicación inalámbrica entre las gafas y el teléfono emparejado.
Esta es exactamente la señal que lee la detección por radio. Glasses Radar no intenta determinar si se está ejecutando reconocimiento facial al otro lado. Detecta que hay gafas con cámara cerca y comunicándose — la condición previa para todo ataque al estilo I-XRAY.
La propia recomendación de exclusión voluntaria de los estudiantes era eliminarse de PimEyes y los sitios de data brokers. Es buen consejo y vale la pena hacerlo. Pero es defensa a posteriori — reduce el daño de un intento de identificación pero no te avisa de que uno está ocurriendo. La conciencia de que hay gafas con cámara presentes es la primera línea de defensa.
Cómo darte de baja de las bases de datos que usó I-XRAY
Los estudiantes publicaron un Google Doc con instrucciones de exclusión voluntaria. Los pasos principales:
- PimEyes — Solicita la eliminación de tu rostro de su índice en pimeyes.com/en/opt-out-request-form
- FaceCheck.ID — Envía una solicitud de eliminación
- FastPeopleSearch — Visita fastpeoplesearch.com/removal y sigue el formulario
- CheckThem — Solicita la eliminación en checkthem.com/optout
- Instant Checkmate — Usa instantcheckmate.com/opt-out
Estas eliminaciones reducen tu exposición pero no son permanentes. Los data brokers reindexan registros públicos. Darse de baja es una tarea recurrente, no una solución única.
Conclusión
I-XRAY demostró en 2024 lo que muchos investigadores de privacidad habían advertido durante años: gafas inteligentes de consumo que parecen anteojos normales, combinadas con herramientas de reconocimiento facial disponibles libremente y data brokers no regulados, hacen posible la identificación de desconocidos en tiempo real para cualquiera con suficiente motivación para encadenar las herramientas.
El código nunca se publicó. La cadena ya no se mantiene. Pero cada componente sigue existiendo y sigue siendo accesible públicamente. PimEyes sigue operando. Los data brokers siguen vendiendo registros. Y las gafas ahora se venden en mayor volumen que cuando la demostración se volvió viral.
El modelo de amenaza que estableció I-XRAY no es hipotético. Se demostró en un tren, en cámara, y lo vieron decenas de millones de personas.