Atrás

Nuestra historia

Imparcial.Anónimo.Verificable. Nounodetres.Lostres.

La mayoría de las plataformas de encuestas eligen una o dos de estas propiedades y abandonan discretamente la tercera. Nosotros nos negamos a elegir. El resto de esta página explica cómo se mantienen las tres simultáneamente, por qué existe la brecha en primer lugar, y cómo verificar cualquiera de ellas sin confiar en una sola palabra de lo que acabamos de escribir. No somos la única plataforma que valora estas propiedades — somos la única que conocemos donde están garantizadas por la arquitectura, no por la política.

Creemos en tres cosas, en orden.

Un voto que no puede ser honesto no es un voto.

Una encuesta que puede inclinarse no es una encuesta.

Un resultado que no puede verificarse no es un resultado.

La plataforma está construida hacia atrás desde esos tres principios. Todo lo demás vino después.

§2 · El problema

Cuando el dueño de la encuesta hace la pregunta, también está pidiendo la respuesta

Una encuesta debería revelar lo que la gente piensa. La mayoría de las encuestas en línea revelan lo que el operador quiere encontrar — y no porque el operador esté mintiendo. Las encuestas en línea tienen un modo de fallo silencioso que no requiere ninguna mala intención para producirse.

Ellos escriben la pregunta, y una pregunta formulada como "¿Debería la ciudad prohibir X?" recibe una respuesta diferente que "¿Debería la ciudad permitir X?". Listan las opciones, y la opción al inicio de la lista recoge más votos que la del final independientemente del contenido. Invitan a la audiencia, y la audiencia que invitan inclina el resultado antes de que nadie haya emitido un solo voto. Observan el conteo en vivo, y el conteo mismo desplaza a los votantes posteriores hacia el lado que va ganando. Deciden cuándo cerrar la encuesta, y qué números destacar al terminar.

Nada de esto requiere un dueño de encuesta con malas intenciones. Personas honestas, haciendo preguntas honestas, igual producen resultados sesgados cuando sus herramientas no se resisten.

Y hay un segundo modo de fallo que no depende del dueño de la encuesta en absoluto. Cuando los votantes saben — o sospechan — que su respuesta está siendo rastreada, dejan de responder honestamente. Dan la respuesta socialmente segura, la que su jefe aprobaría, la que no terminará en un perfil ligado a su nombre dentro de una década. La encuesta pregunta "¿qué piensas?" y obtiene "¿qué es seguro decir?". El resultado parece correcto; los números cuadran; simplemente no son los números que el público realmente cree.

En un sistema donde el operador cuenta los votos, controla la pregunta, y silenciosamente sabe quién votó qué, estás confiando en el operador en cada eje a la vez. La mayoría de las personas lo hacen, por defecto, porque no hay nada más en qué confiar.

§3 · Anonimato, en ambos lados

"Anónimo" es una descripción de la base de datos, no una palabra de marketing — y va en ambas direcciones

El anonimato es una propiedad de la arquitectura, no de la política. Una base de datos que tiene tu identidad pero elige no mostrarla no te hace anónimo — te hace innombrado. Sostenemos la definición más estricta: no tenemos tu identidad del lado del votante, y tampoco la tenemos del lado de quien pregunta.

Lado del votante. En nuestro nivel de verificación más bajo, no nos das nada voluntariamente — sin correo, sin teléfono, sin wallet, sin nombre real. Aún así convertimos en hash tu IP y la huella de tu dispositivo para que la misma persona no pueda votar cien veces desde cien pestañas, pero esos hashes no te identifican.

En niveles de verificación más altos — donde sí necesitamos saber algo sobre ti para detener votos falsos — el límite es diferente pero el resultado es el mismo. Toma la verificación SMS (IMDifferent ID): demuestras que tienes acceso a un número de teléfono, lo convertimos en hash, emites un voto. Después de eso, la plataforma tiene el hash — no tu número de teléfono. Buscar "¿quién votó por la opción X?" desde dentro de nuestra base de datos requiere una entrada externa (tu teléfono real) probada contra un hash unidireccional que no decodifica. Nada en la superficie pública, la API, o nuestro flujo operativo ejecuta esa consulta. El paso de verificación registra "este identificador hash votó"; nunca registra "esta persona votó".

La huella de tu voto en el registro on-chain diario es un hash unidireccional: una huella digital, no una copia. Dada esa huella, nadie — ni nosotros, ni una orden judicial, ni un futuro adquirente — puede reconstruir el voto, el votante, o el momento.

Lado del creador de la encuesta. Por defecto, la página de la encuesta no muestra quién la creó. Ves la pregunta, las opciones, la categoría, y el nivel de verificación requerido — no ves "preguntado por Bob de RR.HH." o "preguntado por [político favorito/menos favorito]". Eso es deliberado. Una vez que sabes quién pregunta, la pregunta deja de ser neutral: los votantes se inclinan hacia lo que creen que el preguntador quiere escuchar, o en contra por principio. Ocultar al preguntador es como detenemos esa presión que entraría al resultado. La base de datos de la plataforma sí registra qué cuenta creó la encuesta (para que el creador pueda gestionar sus propias encuestas), pero ese vínculo no cruza hacia la superficie pública.

§4 · Votos falsos

Lo que realmente hacemos sobre los votos falsos

El costo de emitir un voto falso siempre debería ser mayor que el valor de emitir uno. Esa es la regla. Todo lo demás es implementación.

Una plataforma que dice ser "anónima" sin antifraude es trivialmente manipulada: una persona, cien pestañas del navegador, cien votos, lo llaman democracia. Nosotros no hacemos eso. Cada voto entra al sistema a través de una de cinco puertas, y cada puerta tiene un costo diferente para atravesarla:

  • Anónimo

    sin control en la puerta

    Gratis, rápido, fácil de manipular. Se usa cuando lo que está en juego en la encuesta es bajo y el dueño explícitamente acepta el compromiso.

  • IMDifferent ID

    un número de teléfono

    Una tarjeta SIM, un voto. Cuesta unos pocos dólares por voto falso — suficiente para detener enjambres de bots, no lo suficiente para detener a un atacante decidido con presupuesto.

  • Gitcoin Passport

    un sybil score

    Agrega señales de fuentes de identidad existentes para producir una insignia de "esto probablemente es un humano". Más difícil de falsificar a escala que SMS.

  • Coinbase Verified

    una cuenta financiera con KYC

    Falsificar esto significa falsificar una verificación de identidad de grado bancario. Estamos hablando de miles de dólares por voto falso, no de centavos.

  • World ID

    prueba de que tienes un iris humano

    Cuesta una visita física a un Worldcoin Orb. Efectivamente imposible de falsificar a escala; uno de los mecanismos antisybil más fuertes disponibles públicamente hoy.

El costo exacto de cada puerta está documentado; nada se esconde detrás de lenguaje de marketing. El nivel Anónimo es anónimo a propósito — no es una falla de seguridad, es una configuración que el dueño de la encuesta eligió, y cada resultado lista el nivel en el que se recolectó.

§5 · Por qué múltiples puertas

Diferentes encuestas merecen diferentes puertas

La fricción es una herramienta, no una virtud. Muy poca, y obtienes votos falsos. Demasiada, y no obtienes ningún voto. La cantidad correcta es la calibrada a lo que realmente está en juego.

No hacemos que cada encuesta pase por World ID. La mayoría de las encuestas no necesitan ese nivel de fricción, y la fricción misma excluye votantes. Pedir a tus vecinos que escaneen sus iris antes de votar sobre la renovación del parque para perros es excesivo; pedir al consejo de una fundación que vote sobre una asignación de presupuesto de $5 millones a través de un nivel anónimo es imprudente. Ambos están equivocados, en direcciones opuestas.

Así que el dueño de la encuesta elige la puerta. Una encuesta pública casual abre con IMDifferent ID. Una elección sindical corre a través de Coinbase Verified. Un referéndum de seguridad de IA que absolutamente no puede tolerar ataques sybil corre solo a través de World ID. El nivel de verificación se registra con el voto, y cualquiera que revise el resultado más tarde puede ver exactamente qué tipo de audiencia lo produjo — y juzgar el resultado en consecuencia.

§6 · Inicio de sesión

Por qué no usamos inicio de sesión social Web2, a propósito

La conveniencia que viene de un tercero observando cada inicio de sesión no es conveniencia para ti. Es conveniencia para ellos, y una fuga lenta de quién eres hacia empresas a las que no te inscribiste para informar.

La mayoría de los sitios web te permiten iniciar sesión con un proveedor de cuenta social — lo que la industria llama "Web2 social login". Es conveniente — y eso es precisamente el problema. Cada vez que inicias sesión con uno de esos proveedores, el proveedor aprende: esa cuenta de usuario acaba de iniciar sesión en este sitio en este momento. A lo largo de los años, esos registros se convierten en un perfil de tu vida cívica: en qué encuestas votaste, cuándo, y con qué frecuencia.

No nos integramos con ninguno de ellos. No porque la criptografía sea más débil — no lo es — sino porque el límite de privacidad está en el lugar equivocado por defecto. Una vez que el proveedor de cuenta social sabe que iniciaste sesión en una plataforma de encuestas, esa información se almacena en sus sistemas para siempre, gobernada por su política de privacidad, no la nuestra.

En cambio, cuando creas una cuenta, te enviamos un enlace seguro por correo electrónico — una URL de inicio de sesión de un solo uso y tiempo limitado que funciona una vez y luego expira. Sin contraseña que filtrar. Sin proveedor de inicio de sesión externo rastreándote a través de sitios. Tu proveedor de correo ve el mensaje; nadie más. Y — importante — el enlace seguro tampoco expone tu identidad a nosotros. Después de que el enlace se usa, convertimos en hash tu correo y descartamos la versión plain-text. El hash es suficiente para volver a iniciar tu sesión (escribes tu correo de nuevo, lo convertimos en hash de la misma manera, igualamos el hash) pero no es suficiente para que sepamos quién eres. El correo pasó a través de nuestro sistema; no se quedó allí.

§7 · Privacidad por diseño

No podemos enviarte correos, aunque quisiéramos

La privacidad que depende de que no cambiemos de opinión no es privacidad — es una esperanza. La privacidad real le quita la elección a nosotros, que es la única clase en la que confiamos en mantenernos a nosotros mismos.

La prueba más fuerte de "privacidad por diseño" es la aburrida: ¿puede la empresa realmente contactar a sus usuarios para marketing, retención, correos de "te extrañamos", o cualquier otra cosa? En la mayoría de las plataformas, la respuesta es sí — tienen tu correo en plain-text, listo para ser exportado a una herramienta de marketing el día que decidan crecer más rápido.

En la nuestra, la respuesta es no. Después de que el inicio de sesión por enlace seguro se completa, convertimos en hash tu correo y descartamos el original. El hash es suficiente para volver a iniciar tu sesión (escribes tu correo de nuevo, lo convertimos en hash de la misma manera, igualamos el hash) pero no es suficiente para enviarte nada. No hay lista de correos de usuarios en plain-text en nuestra base de datos. No hay integración con herramienta de marketing. No hay "newsletter que lanzaremos cuando el crecimiento se desacelere". Esto no es restricción; es arquitectura. La información simplemente no está allí.

La misma lógica aplica a números de teléfono, direcciones IP, y huellas de dispositivos. Se convierten en hash antes de tocar el almacenamiento persistente. Se usan para detectar abuso repetido desde la misma fuente. No pueden ser exportados, vendidos, o entregados por orden judicial en forma plain-text porque no se almacenan en forma plain-text.

Y no mostramos publicidad — así que no necesitamos nada de esto. La publicidad dirigida funciona conociendo quién eres: tu edad, tu género, tu ubicación aproximada, los tipos de encuestas en las que haces clic. Una plataforma que se monetiza a través de ingresos publicitarios tiene que recopilar señales demográficas para funcionar. Quitar la publicidad del panorama eliminó la razón para recopilar esos datos en primer lugar.

§8 · No nos creas

No confíes en esta página — verifícala

La confianza es algo ganado a lo largo de años. No tuvimos años. Así que construimos la plataforma para que la confianza no sea requerida — solo la verificación lo es.

El registro on-chain del anclaje prueba la integridad del procesamiento, no la identidad del votante: muestra que ningún voto fue añadido, eliminado, o reescrito entre el momento en que fueron sellados y el momento en que ejecutaste el verificador — pero nunca muestra quién fue cualquier votante individual. Cada otra afirmación de arriba es auditable desde fuera de este sitio:

  1. El contrato. Base mainnet, dirección fija y verificada on-chain. Lee el código fuente, el bytecode, y la dirección del anclador tú mismo en el navegador de anclajes.
  2. Los anclajes diarios. Elige cualquier día en el navegador de anclajes. Toma el Merkle root publicado, ejecuta el verificador independiente con cualquier ID de voto, y confirma la prueba contra el root on-chain. Ninguna parte de esto requiere nuestra cooperación.
  3. La identidad de la wallet. La ficha pública del anclador en /.well-known/imdifferent-anchor.json declara la cadena, el contrato, y la dirección de la wallet del anclador. El manifiesto de auditoría firmado en /api/audit/manifest y la cadena mensual de prueba de vida en /.well-known/imdifferent-pol/ están ambos firmados por esa misma wallet — verifica las firmas contra la dirección on-chain del anclador tú mismo.
  4. El modelo de amenazas. La guía de verificación independiente documenta lo que cada uno de estos mecanismos prueba y, igual de importante, lo que no.

Si algún paso falla en verificarse, la página está equivocada. Avísanos en admin@imdifferent.id — preferimos escucharlo de ti que enviarlo adelante.