Los gobiernos de todo el mundo están lanzando apps de rastreo de contagios del Covid-19. A pesar de su loable objetivo de frenar la expansión de la pandemia y acelerar la vuelta a la normalidad, como era de esperar, llegan envueltas en la polémica. Como su propio nombre indica, una app de “rastreo” plantea dudas sobre la amenaza a la privacidad y seguridad de los ciudadanos. En este artículo listamos 20 de las preguntas más frecuentes que nos surgen a todos sobre el uso de estas apps.
1. ¿Cuál es el objetivo de estas apps?
El objetivo de estas apps es frenar la propagación del virus. En el pasado, el procedimiento era diferente: a través de entrevistas a los individuos contagiados, se les preguntaba por las personas con quienes habían estado en contacto. Una vez identificadas, se notificaba a estas personas para que se pusiesen en cuarentena o para darles prioridad en las pruebas de diagnóstico. Este método manual plantea también problemas de privacidad, se presta al error, resulta tremendamente costoso en tiempo y personal y, además, se limita a los contactos que pueden ser identificados por la persona infectada.
2. ¿Cómo funcionan las apps de rastreo de contagios?
Depende de cada app en particular, pero en general todas funcionan emitiendo constantemente códigos Bluetooth únicos y cambiantes. Al mismo tiempo, monitorizan constantemente los teléfonos a su alrededor, registrando los códigos de cualquier otro teléfono que encuentren dentro de un cierto rango y por cuánto tiempo. Por ejemplo, dentro de un radio de 2 metros durante 10 minutos.
Cuando una autoridad sanitaria confirma que un usuario está infectado, su app sube a un servidor los códigos anónimos generados durante las últimas dos semanas. Si la app de otro usuario encuentra una coincidencia con uno de sus códigos almacenados, le notifica que puede haber estado expuesto y le informa de los pasos a seguir: cuarentena o prueba de diagnóstico o lo que decida la autoridad sanitaria.
El sistema utiliza Bluetooth LE, no GPS, es totalmente opcional, no recopila datos de localización de los usuarios y no carga ningún código de nadie sin un diagnóstico positivo de Covid-19.
3. ¿Qué tienen que ver Apple y Google en todo esto?
El 10 de abril, Apple y Google sorprendieron con el anuncio de su alianza para crear una tecnología basada en Bluetooth LE (Low Energy) para el rastreo de contactos integrada en los sistemas operativos iOS y Android. Los distintos países podrán desarrollar sus aplicaciones de seguimiento de contactos sobre las funciones proporcionadas por las APIs y la plataforma de Apple y Google. Ambas empresas han creado esta tecnología para facilitar a los gobiernos de todo el mundo la creación de apps de seguimiento de contagios si así lo desean.
4. ¿Por qué estas apps utilizan Bluetooth LE y no GPS?
La tecnología GPS permite ubicar en todo momento a una persona, lo que supondría una grave amenaza a la privacidad. Por el contrario, la comunicación Bluetooth se produce directamente entre dispositivos móviles, sin que se registre la ubicación donde se produjo la proximidad, lo que facilita la creación de un sistema descentralizado.
Por otro lado, Bluetooth LE permite estimar con mayor precisión la proximidad funcional en entornos de alto riesgo para la proximidad: dentro de edificios, en vehículos y aviones, en el tránsito subterráneo, etc. Incluso podría saberse si dos personas a menos de 2 m entre sí están separadas por un tabique midiendo la potencia de la señal Bluetooth y con información complementaria de los sensores del terminal: si está dentro o fuera de un bolso o bolsillo, si está quieto o en movimiento, etc.
5. ¿Hasta qué punto mi privacidad y seguridad se verán amenazadas si instalo estas apps?
Es difícil de saber porque cada país desarrollará su propia app, e incluso cada región dentro de cada país, basada o no en la plataforma de Apple y Google. Alrededor de 300 científicos e investigadores de todo el mundo han firmado un manifiesto donde proponen los siguientes principios que deberían ser adoptados por cualquier app:
- Las aplicaciones de rastreo de contactos sólo deben utilizarse para apoyar las medidas de salud pública para la contención del Covid-19. El sistema no debe ser capaz de recopilar, procesar o transmitir más datos de los necesarios para lograr este propósito.
- Cualquier solución considerada debe ser totalmente transparente. Los protocolos y su implantación, incluidos los subcomponentes proporcionados por las posibles empresas colaboradoras, deben estar disponibles para su análisis público. Debe documentarse sin ambigüedades cómo, dónde y para qué se almacenan los datos procesados. Los datos recopilados deben ser mínimos para el propósito dado.
- Cuando existan múltiples opciones posibles para implementar un determinado componente o función de la aplicación existe, se debe elegir la opción que mejor preserve la privacidad. Desviaciones de este principio sólo son permisibles en caso necesario para lograr el propósito de la aplicación con mayor eficacia, y debe justificarse claramente.
- El uso de las aplicaciones de rastreo de contactos y los sistemas que las soportan debe ser voluntario, utilizado con el consentimiento explícito del usuario y los sistemas deben ser diseñados para poder ser apagados, y todos los datos borrados, cuando la crisis actual llegue a su fin.
Por su lado, Apple y Google aseguran que la privacidad del usuario es un requisito esencial en el desarrollo de su propia especificación:
- No se requiere la posición del usuario: cualquier uso de ubicación será opcional. En caso de que sea necesario acceder a la geolocalización del dispositivo, se exigirá consentimiento expreso.
- Los identificadores únicos de proximidad cambiarán cada 15 minutos, de tal forma que sea inútil rastrear a una persona usando Bluetooth.
- Los identificadores únicos de proximidad se intercambiarán únicamente entre dispositivos y no se subirán a la nube.
- El usuario debe decidir si quiere participar en la iniciativa.
- El usuario debe consentir si quiere ser identificado —de forma anónima, siempre— como una persona que tiene Covid-19.
Habrá que esperar a las apps desplegadas por los distintos gobiernos para evaluar hasta qué punto cumplen o no con estas directrices.
6. ¿Cómo de eficaces resultarán estas apps para frenar la pandemia?
Según un análisis realizado por investigadores del proyecto Covid-Watch, las aplicaciones de rastreo de contactos necesitan que entre el 50 y el 70 por ciento de la población las utilice. De lo contrario, las personas sintomáticas no sabrían dónde contrajeron el virus y las personas asintomáticas seguirían propagándolo sin saberlo. Como referencia, en Corea del Sur sólo llegó a usar la app oficial un 10% de la población.
Por mucho que Apple y Google respalden estas aplicaciones, su grado de penetración será menor del esperado. De acuerdo con analistas de Counterpoint Research, alrededor de 1.500 millones de usuarios utilizan teléfonos básicos que no operan bajo Android ni iOS y que carecen de chips Bluetooth LE. Igualmente, quienes utilizan smartphones con más de cinco años de antigüedad no podrán instalar esta aplicación por restricciones de tecnología o del sistema operativo.
Por su lado, Bill Gates señala acertadamente en una reciente entrada de su blog que: «una limitación es que no tienes que estar necesariamente en el mismo lugar al mismo tiempo para infectar a alguien, puedes dejar el virus sobre una superficie. Este sistema se perdería este tipo de transmisión».
Por último, cualquier rastreo de contacto efectivo carece de utilidad sin pruebas masivas de diagnóstico, que hoy todavía son pocas, caras y lentas. Además, los individuos diagnosticados necesitan la libertad económica y el espacio para recluirse en cuarentena. Y muchas personas mayores o de bajos ingresos, las que pueden estar en mayor riesgo, son precisamente las menos propensas a tener teléfonos inteligentes capaces de albergar estas apps.
7. Cuando la app me avisa de que alguien que estuvo en mi proximidad ha sido contagiado, ¿qué garantías tengo de ello?
Está claro que cualquiera no podrá notificar que está contagiado porque entonces el sistema se prestaría a todo tipo de errores y abusos: desde usuarios que se auto-diagnostican incorrectamente, hasta trolls que inundan el sistema con falsos positivos. La solución exige que el diagnóstico positivo sea aprobado por una autoridad médica o de salud pública competente.
Otros falsos positivos pueden provenir simplemente de errores en los cálculos de proximidad por Bluetooth LE, en especial porque falle al detectar paneles, tabiques o paredes.
Como cualquier sistema de detección, las apps de rastreo tendrán su tasa de falsos positivos, así como de falsos negativos: desde virus depositados sobre superficies hasta contactos con personas sin smartphone o que optan por no activar el rastreo.
8. Si la app me avisa de que he próximo a una persona contagiada, ¿qué tengo que hacer?
Cada país decidirá cómo se te avisa, ya sea por medio de una llamada, un mensaje o una notificación en el smartphone. A partir de ahí, puede que se te recomiende la cuarentena, la visita a un centro de salud o un hospital para hacerte el test, u otras opciones según tu territorio.
9. ¿Qué datos personales compartirán las apps y con quién?
Estos esquemas están diseñados para no cargar ningún dato de la mayoría de los usuarios (los no contagiados) y sólo códigos Bluetooth anónimos de personas infectadas. Aun así, a la hora de notificar el contagio, un usuario tiene que subir necesariamente algunos datos al servidor, que por muy anónimos que sean pueden dejar un rastro, como la dirección IP de su terminal. Quien gestione ese servidor, probablemente una institución pública de salud, podría llegar a identificar los teléfonos de las personas que se reportan como positivas y, por lo tanto, sus ubicaciones e identidades.
Asímismo, se proponen tiempos prudenciales para albergar dicha información y se aconseja no almacenar metadatos de las comunicaciones pero, de nuevo, no parece estar implementado de forma intrínseca en el código, sino que se apela a las buenas prácticas de los gestores de los servidores.
10. ¿Quién sabrá si he sido contagiado?
Cuando un individuo comparte voluntariamente su diagnóstico, su app subirá a un servidor los códigos que ha ido generando durante los 14 días previos. Todas las apps están descargando del mismo servidor estos listados de códigos para comprobar si alguno coincide con los almacenadas localmente. Por tanto, nadie sabrá si te has contagiado, salvo obviamente la autoridad sanitaria que te diagnosticó en primer lugar.
11. ¿Qué app nos propondrán usar previsiblemente en España?
Aparentemente, la Secretaría de Digitalización e Inteligencia Artificial apuesta por un sistema descentralizado como el recomendado por la UE. Inicialmente España se adhirió al Pepp-PT, pero éste ha modificado parte de su compromiso inicial y actualmente aboga por un sistema centralizado.
12. ¿Cuándo empezará su uso?
Depende de cada país. En España, se espera su puesta en marcha es el martes 28 de abril.
13. ¿Estoy obligado a usar estas apps?
De momento, no. Como hemos visto, la eficacia del sistema se basa en su uso masivo, por lo que, como mínimo, el 60% de la población debería usarlas para que el sistema resulte efectivo. Cada ciudadano equilibrará en su conciencia el bien público con la salvaguarda de la privacidad para tomar la decisión de si usarlas o no.
14. Si tengo la app instalada, ¿alguien podrá rastrear mis movimientos?
En principio, no, ya que las apps de seguimiento de contactos se basan en Bluetooth LE y no en GPS. Y digo en principio porque el creador de la app podría querer activar el uso de GPS, pero esa opción ya no depende de la plataforma de rastreo proporcionada por Apple y Google o por otras iniciativas, como DP3T. En cualquier caso, salvo ciberataque a sus servidores, el seguimiento sólo estará disponible para las autoridades de salud pública.
15. Está surgiendo una gran cantidad de apps de rastreo de contagios por todo el mundo, ¿son todas iguales?
No. Aunque todas se basan en Bluetooth siguiendo un esquema más o menos como el descrito, difieren en quién controla la información de los servidores y en cuánta información personal se almacena en dichos servidores. Las versiones que más celosamente protegen la privacidad sólo cargan las claves generadas por los dispositivos, que no son personalmente identificables (salvo complicados ataques descritos más adelante). En otras versiones, las apps suben además el perfil personal completo de los usuarios: nombre, edad, domicilio, código de identificación, etc.
Recientemente se ha creado la Coalición TCN, una coalición mundial para establecer los protocolos de rastreo de los primeros contactos digitales para luchar contra Covid-19. Esta coalición tiene por objeto aunar esfuerzos para desarrollar un protocolo abierto y compartido que pueda ser utilizado por múltiples aplicaciones para frenar la pandemia preservando la privacidad.
16. ¿Violan estas apps las leyes de protección de datos?
Según el comunicado de prensa de la Comisión Europea, «deberán ser plenamente conformes con las normas de protección de datos y de la intimidad de la UE, expuestas en las directrices presentadas hoy tras la consulta al Comité Europeo de Protección de Datos.»
17. Cuando pase la pandemia, ¿podrán rastrearme?
Esta pregunta difícil de contestar. Jaap-Henk Hoepman, profesor de Seguridad Digital en la Radboud University Nijmegen, en Holanda, y responsable del Privacy & Identity Lab, no lo tiene claro, como denuncia en su blog. Para él los peligros de un sistema de este tipo no están en que pudiera efectivamente ayudar a esa futura fase de retorno a la normalidad, sino a todo lo que podría venir después tras implantar este tipo de sistema en nuestros móviles:
- La policía podría ver rápidamente quién ha estado cerca de la víctima de un crimen activando el teléfono de la víctima como «infectado».
- Lo mismo podría aplicarse para encontrar a las fuentes de los periodistas o a los «soplones» que filtran información.
- Una empresa podría instalar balizas Bluetooth equipadas con este software en puntos de interés para marcar ciertas balizas como «infectadas» y así localizar a quienes pasaron cerca.
- Si tienes Google Home en casa, Google podría usar este sistema para identificar a todos los que visitaron tu hogar.
- Si tu pareja es celosa, podría instalar una aplicación secreta en tu móvil para seguirte y comprobar con quién has estado en contacto; o padres para espiar a sus hijos.
18. ¿Cómo funciona la criptografía detrás de estas apps?
Situándonos en una perspectiva más técnica, la criptografía varía de unas apps a otras, pero todas siguen unos pasos semejantes:
- Al instalar la aplicación, se genera una clave única asociada al dispositivo en cuestión, tomando en cuenta componentes del sistema. Se persigue así la impredictibilidad e imposibilidad de replicación para asegurar la privacidad y el anonimato. Además, se almacena localmente en el dispositivo de forma segura.
- De esa primera clave, se deriva una segunda clave, que se regenerará diariamente.
- Mientras el Bluetooth está activado, se aprovecha la comunicación para enviar, en los paquetes asociados al protocolo, un identificador de proximidad. Los terminales con Bluetooth activado se intercambian entre sí estos identificadores de proximidad cuando entran dentro del radio de alcance mutuo predefinido. Estas claves cambian cada 15 minutos y se derivan a partir de las claves diarias anteriores.
- Los identificadores de proximidad enviados y recibidos son procesados y almacenados exclusivamente de forma local.
- Si uno de los dueños del teléfono es diagnosticado como positivo, las autoridades sanitarias le asignan un número de permiso.
- Esta persona envía una solicitud a la base de datos pública con el número de permiso y su historial de números de eventos de contacto transmitidos.
- Si el número de permiso es válido, los números de eventos de contacto se almacenan en la base de datos y se transmiten a todos los demás teléfonos.
- Cada teléfono compara los números de eventos de contacto publicados públicamente con su propia historia. Si hay alguna coincidencia, significa que estaban cerca de un individuo infectado y se les da instrucciones sobre qué hacer a continuación.
19. ¿Qué escenarios de ataque pueden diseñarse para saltarse las medidas de protección?
Se barajan diferentes ataques para revelar la identidad de los usuarios diagnosticados como positivos. Por fortuna, las arquitecturas descentralizadas exigen rastrear individualmente a los usuarios, lo que implica muchísimo tiempo y reduce drásticamente la escala del ataque.
Por ejemplo, un atacante podría grabar con una cámara la cara de todo el que pasa por delante mientras registra las señales Bluetooth de sus apps. En el futuro, si uno de esos transeúntes informa de que es positivo, la app del atacante recibirá como cualquier otra todas sus claves del servidor y será capaz de hacer coincidir los códigos que el usuario emitió en el momento de pasar por delante de la cámara, identificando así a un extraño como positivo.
Otra versión de este ataque de correlación permitiría el rastreo comercial: una empresa de publicidad podría ubicar en comercios a pie de calle balizas Bluetooth que recojan los códigos de rastreo de contactos emitidos por los clientes que las visitan. La empresa podría entonces utilizar la aplicación de salud pública para descargar todas las claves de las personas que luego son diagnosticadas con Covid-19 y generar todos sus códigos de las últimas dos semanas. Ese método podría determinar hipotéticamente qué rastro de códigos representaba a una sola persona y seguirlos de tienda en tienda.
Dado que el sistema toma no sólo como variable el tiempo de exposición sino también la cercanía de los dispositivos, un atacante podría generar falsos positivos amplificando su señal vía hardware de modo que usuarios que se encuentran a una gran distancia seguirían siendo igualmente notificados, pese a ser físicamente imposible que se hayan contagiado de ese usuario.
Tal vez el problema más grave resida en el propio diseño de las apps más que en los potenciales ataques. Como argumenta en Twitter tras el anuncio de Apple y Google el criptógrafo Moxie Marlinspike, creador de la popular aplicación de comunicaciones cifradas Signal, según la descripción inicial de la API de Apple y Google, el teléfono de cada usuario de la aplicación tendría que descargar cada día las claves de cada persona recién diagnosticada con Covid-19, lo que rápidamente se traduciría en una importante carga de datos: «Si un número moderado de usuarios de teléfonos inteligentes se infectan en una semana determinada, eso es 100s de [megabytes] por cada teléfono a descargar».
Un argumento a favor del sistema centralizado es que las apps podrían determinar mejor quién necesita descargar qué claves recogiendo datos de localización GPS, enviando a los usuarios sólo las claves relevantes para su área de movimiento.
En tal caso, Google y Apple señalan que si una aplicación de rastreo de ubicación desea utilizar el GPS, primero deberá pedir permiso al usuario, como lo hace cualquier aplicación.
20. ¿Por qué Apple y Google cambiaron el nombre a su propuesta?
En su nuevo comunicado del 24 de abril, Apple y Google ya no se refieren a su sistema como «rastreo de contactos» sino como «notificación de exposición» por considerar que esta expresión explica mejor el valor de su propuesta. Según dicen, la finalidad de la herramienta no es «rastrear» usuarios, sino «notificarlos» cuando existe una posible exposición a una persona con coronavirus. Para determinar el nivel de exposición, el software será capaz de calcular la proximidad entre dispositivos y el tiempo de exposición, limitado a 30 minutos.
The post 20 preguntas sobre las apps de rastreo de contagios del Covid-19 appeared first on Think Big.