El viernes pasado Apple y Google anunciaron una ambiciosa iniciativa conjunta: un sistema de seguimiento de contagios basado en Bluetooth que estaría integrado en iOS y en Android y que por tanto convertiría a nuestros móviles en potenciales de "chivatos" si hemos estado en contacto con una persona infectada por el coronavirus.
La propuesta de ambos gigantes se hacía con una declaración de intenciones según la cual este sistema se desarrollaría "respetando plenamente la privacidad y seguridad de los usuarios". Hemos escuchado ese mensaje otras veces: el problema es si podemos creerlo, y a pesar de las teóricas buenas intenciones de Google y Apple, varios expertos en este ámbito afirman que no.
Así funciona la trazabilidad de contacto
Aunque ya habíamos explicado con anterioridad cómo funciona el sistema, no está de más hacer un breve recordatorio. Los documentos técnicos que ofrecen tanto Apple como Google revelan los fundamentos de esa "trazabilidad de contacto" (contact tracing) que según algunos expertos puede ser crucial a la hora de evitar futuros reputes de la pandemia de coronavirus que nos tiene confinados desde hace semanas.
La idea es la de plantear un sistema de trazabilidad de contacto que permite hacer un seguimiento de los contagios a través de nuestros dispositivos móviles. La primera implementación podría ser una aplicación móvil desarrollada conjuntamente por Apple y Google que los usuarios tendrían que instalar, pero todo apunta a que la idea es integrar dicho sistema en iOS y Android a través de futuras actualizaciones de estos sistemas operativos.
Este sistema hace que nuestro teléfono registre todos los teléfonos que se encuentran cerca de él a lo largo del tiempo. Cada teléfono emite a través de Bluetooth un código unívoco que lo identifica —pero que teóricamente desanonimiza al propietario—, y los teléfonos que están cerca de él registran ese código (además de mandar el suyo propio).
Esa información va formando parte de una base de datos que entra en acción cuando una persona resulta dar positivo por coronavirus. Si eso sucede, puede optar por informar de ello en ese sistema de trazabilidad de contacto. Si lo hace, el resto de teléfonos que en algún momento estuvieron cerca de ese teléfono recibirán una notificación de cuándo lo estuvieron, alertando a esas personas del potencial riesgo de que también estén contagiados y ofreciéndoles información sobre cómo actuar en ese caso.
No está claro quién se encarga de difundir esa información sobre la confirmación del contagio: es probable que no lo haga el propio afectado, sino un proveedor legítimo de servicios sanitarios —en España esa podría ser la Seguridad Social— que evite así diagnósticos falsos emitidos por parte de malos actores, por ejemplo.
Primer problema: la seguridad
La idea es sin duda interesante, pero plantea amenazas claras a la seguridad y la privacidad de los usuarios. Los documentos técnicos publicados por Apple y Google se encargan de tratar de tranquilizarnos sobre lo primero, por ejemplo. Se crearían tres niveles de claves para cifrar y proteger todo ese trasiego de información, cada una destinada a a un ámbito distinto:
En nuestro móvil se mantendrían los identificadores de proximidad (que son el nivel más bajo de estas tres claves), y si acabamos dando positivo en coronavirus se compartirían las claves diarias de todos los días que hemos estado contagiados para que todos los que estuvieron cerca puedan recibir esa notificación.
Combinar esas dos claves plantea ciertas dudas sobre la seguridad del sistema. Esas dudas las exponía el criptógrafo Matt Tait, que afirmaba que una vez que las claves diarias sean públicas, es posible descubrir que IDs de proximidad están asociadas a un ID específico —que es justo lo que la aplicación acabará haciendo para confirmar a otras personas que podrían estar expuestas.
If you *do* get COVID, there's a nasty edge-case that needs to be (and can be) addressed, which is that a daily key can be used to correlate all of your proximity IDs for the corresponding day.
— Pwn All The Things (@pwnallthethings) 10 de abril de 2020
Moxie Marlinspike tampoco parecía demasiado convencido de que el sistema fuera tan interesante como prometían Apple y Google. Este hacker y desarrollador sabe de lo que habla: es el co-creador del protocolo Signal, el protocolo criptográfico que permite cifrar comunicaciones de voz, vídeo y texto (mensajería instantánea) de extremo a extremo y que se usa, por ejemplo, en la aplicación del mismo nombre, y también en WhatsApp, Facebook Messenger y Skype.
Este desarrollador también destacaba que todo parece seguro y privado hasta que das positivo por coronavirus. En ese caso la dirección MAC del chip Bluetooth de tu dispositivo (algo así como su DNI) se vuelve enlazable y, por tanto, se genera cierto riesgo de que ese dato se use con fines distintos a los que proponen Google y Apple para el sistema.
That seems untenable. So to be usable, published keys would likely need to be delivered in a more 'targeted' way, which probably means... location data.
— Moxie Marlinspike (@moxie) 10 de abril de 2020
No solo apuntaba a ese problema, sino a la ingente cantidad de información que un sistema así puede generar. Aunque las claves diarias solo ocupan 16 bytes, el número de contagios harían que "cientos de MB se descarguen por parte de todos los móviles". Eso, según él "es insostenible", lo que provocaría que "para hacerlas usables, las claves deberían ser entregadas de una forma más 'dirigida', lo que probablemente signifique... datos de localización".
No se vayan, aún hay más: el problema de la privacidad
Pero la cosa no acaba ahí. El propio Marlinspike indicaba cómo todo este sistema puede ser contaminado por trolls que no paren de circular por ciertas áreas y acaben informando de una infección que en realidad no lo es y que acabe provocando que muchas personas crean que están expuestas cuando en realidad no lo están.
In my opinion - these types of data are poor proxies for the ground truth we really seek: actual #COVID19 infection rates -- which can only be truly known by widespread testing. If we had testing in place, it would make the need to pursue these privacy-invasive techniques moot
— ashkan soltani (@ashk4n) 10 de abril de 2020
Eso, según otros expertos como Ashkan Soltani —que formó parte de la FTC y fue consejero de Obama— solo se puede remediar con pruebas masivas de coronavirus, algo que "haría que la necesidad de seguir estas técnicas de invasión de la privacidad fuera discutible".
El Grupo de Seguridad del Laboratorio de Informática de la Universidad de Cambridge planteaba también muchas dudas sobre la validez de esta propuesta de Apple y Google en un artículo detallado y muy completo.
Para empezar, citaban el trabajo de Serge Vaudenay (PDF) un criptógrafo francés que trabaja en la prestigiosa institución suiza EPFL y que argumentaba que "los sistemas de trazabilidad de proximidad son de importancia capital para controlar la pandemia de COVID-19. Al mismo tiempo, llegan con amenazas de privacidad serias". "De hecho", apuntaba, "es sorprendente que la descentralización cree más amenazas a la privacidad de las que resuelve. La gente enferma de la que se informa anónimamente puede ser deanonimizada, los encuentros privados pueden descubrirse, y la gente puede ser coaccionada a revelar sus datos privados".
También citaban los casos de sistemas de este tipo como TraceTogether —cuyo código se publicó como Open Source recientemente— que ya están en marcha por ejemplo en Singapur. Este tipo de sistema, indicaban "no es anónimo. [...] No se trata de consentimiento o anonimato, sino de ser persuasivo y tener buen trato con los pacientes".
Esperar a pruebas diagnósticas para ayudar en la tarea del control de la pandemia es de momento impracticable dado el limitado número de ellas que se pueden hacer al día y el tiempo que tardan en ofrecerse los resultados, pero es que las autoridades sanitarias también necesitan datos de localización. No ya para una potencial ubicación de los contagios —o para reducir el ingente tráfico de datos del sistema, como apuntaba Marlinspike—, sino para saber dónde construir por ejemplo nuevos hospitales de campaña o enviar más equipos y personal médico.
A todo ello se le suma el hecho de que este tipo de sistema es un caramelo para los trolls. Como apuntaba el documento, es fácil imaginar a algún usuario malintencionado pegarle un móvil a un perro y dejar que corretee por el parque y la calle, o que un grupo de malos actores —citaban a Rusia específicamente— usara la aplicación para efectuar ataques de denegación de servicio y así sembrar el pánico. Y por supuesto serviría para que "el pequeño Johny autoinformara de los síntomas para lograr que todos los que van al colegio tuvieran que volver a casa" y así evitar la pandemia: vacaciones al instante.
Tampoco ayuda el hecho de que la aplicación o el sistema tuviese ese comportamiento "opt-in" en el que el usuario sería quien decidiese si participar o no en el sistema de seguimiento. Eso, como indican los expertos de este grupo haría que "nadie tenga incentivos para usarla, excepto quienes quieran probarla y la gente que cumple religiosamente con todo lo que el gobierno pide. Si la adopción es de un 10-15%, como en Singapur, no será muy útil".
Para los responsables de esa reflexión, las aplicaciones de trazabilidad "son simplemente parte del haz-algo-por-Dios-itis". Para ellos no necesitamos estos sistemas de trazabilidad, sino personas que se encarguen de gestionar ese tipo de información como se está gestionando hasta ahora con servicios de consulta y potencial diagnóstico telefónico, por ejemplo. El párafo final es contundente:
"Nuestros esfuerzos deberían ir dirigidos a ampliar las pruebas de contagio, fabricar ventiladores, volver a formar a todos los que tengan antecedentes clínicos, desde las enfermeras veterinarias hasta los fisioterapeutas, para que los utilicen, y construir hospitales de campaña. Debemos denunciar las estupideces cuando las veamos, y no dar a los políticos la falsa esperanza de que la "tecno-magia" les permitirá evitar las decisiones difíciles. De lo contrario será mejor que nos mantengamos al margen. La respuesta no debe ser impulsada por los criptógrafos sino por los epidemiólogos, y debemos aprender lo que podamos de los países que mejor se las han arreglado hasta ahora, como Corea del Sur y Taiwán"
Jason Bay, responsable de TraceTogether, que además es director senior de la Agencia Tecnológica del Gobierno en Singapur, tampoco estaba a favor de usar esta solución como "panacea contra el coronavirus". Para él tratar de concebir esos sistemas como solución al problema "es un ejercicio de triunfalismo tecnológico. Hay vidas en juego. Los falsos positivos y falsos negativos tienen consecuencias en la vida (y muerte) real. Usamos TraceTogether como suplemento de la trazabilidad del contacto [de las autoridades sanitarias], no para sustituirlo".
Jaap-Henk Hoepman, profesor de Seguridad Digital en la Radboud University Nijmegen, en Holanda, y responsable del Privacy & Identity Lab, también denunciaba el problema de un sistema de este tipo.
"Debemos parar a Apple y Google en esta iniciativa", afirmaba, "o de lo contrario deshacernos de nuestros smartphones, porque se convertirán realmente en agentes de la Stasi en nuestros bolsillos". Como el resto de expertos, apuntaba a que este esquema de seguimiento teóricamente descentralizado se convertía en centralizado en cuanto se forzaba al teléfono a informar a las autoridades de un potencial contagio.
Fuente: Business Insider
Eso "convierte de forma efectiva a nuestros smartphones en una herramienta global de vigilancia masiva". De hecho este experto criticaba especialmente a la empresa de Cupertino. "Cualquier ilusión que tuviéramos de que podíamos de alguna manera domar al agente de la Stasi en nuestro bolsillo, comprando iPhones más caros porque Apple se comprometió a tomar nuestra privacidad en serio, o teniendo cuidado con las aplicaciones que instalamos o no en nuestros teléfonos, es sólo eso: una ilusión".
Para él los peligros de un sistema de este tipo no están en que pudiera efectivamente ayudar a esa futura fase de retorno a la normalidad, sino a todo lo que podría venir después tras implantar este tipo de sistema en nuestros móviles. Hoepman mencionaba algunos ejemplos:
- La policía podría ver rápidamente quién ha estado cerca de la víctima de un crimen activando el teléfono de la víctima como "infectado".
- Lo mismo podría aplicarse para encontrar a las fuentes de los periodistas o a los "soplones" que filtran información
- Una empresa podría instalar balizas Bluetooth equipadas con este software en puntos de interés para marcar ciertas balizas como "infectadas" y así localizar a quienes pasaron cerca.
- Si tienes Google Home en casa, Google podría usar este sistema para identificar a todos los que visitaron tu hogar.
- Tu pareja, si es celosa, podría instalar una aplicación secreta en tu móvil para seguirte y comprobar con quién has estado en contacto, o a padres para espiar a sus hijos.
Muchos de ellos no necesitan de hecho esta tecnología para hacerse realidad porque ya hay otros métodos de llevar a cabo acciones similares, pero lo cierto es que la tecnología que proponen Apple y Google, por muy buenas intenciones que tenga, plantea serias dudas sobre si el remedio puede ser, como dice el refrán, peor que la enfermedad.
El debate está ahí, y puede que para muchos se resuma muy bien en una frase que apuntaban en un interesante (y algo pesimista) estudio de cómo será volver a la normalidad por parte de Vox. Allí hablaban de cómo al menos esto es intentar esto, aunque eso suponga "construir un enorme estado de vigilancia digital. Me importa mi privacidad, pero no tanto como lo que me importa mi madre".
Imagen | Unsplash
Ver 38 comentarios
38 comentarios
p2dzca
A cuenta de la iniciativa "contact tracing" de Apple y Google:
Les importa un bledo nuestra privacidad. A Google desde hace muchos años, porque su negocio se sustenta sobre la recopilación y explotación de información personal.
Apple es un caso aparte, lleno de hipocresía. A la cara, no dejan de predicar que les importa la privacidad de sus usuarios, pero no es cierto. Sin ir más lejos, hace tres meses (enero 2020) Apple decidió no mejorar la seguridad de las copias de los datos que sus usuarios tiene en iCloud. En vez de utilizar "zero knowledge" (donde la clave estaría en los dispositivos de los usuarios) decidió cifrar los datos con una clave que Apple conoce y que le permite leer los datos de sus usuarios. Otro ejemplos: Apple dejó los servidores de iCloud en China en manos de empresas del Gobierno Chino para que así pudiera espiar a los usuarios de Apple residentes en China. Y también cedió ante el Gobierno Chino eliminando de su tienda las aplicaciones de VPN. Cuando Apple tiene que elegir entre dinero y privacidad de los usuarios, elige dinero.
sologizmos
el interés tiene pies, FIN
como seguro no podre evitar el actualizar el móvil a la larga, o cuando lo cambie tendré la ultima versión, mas le vale a apple y google (si finalmente sacan esto) poner la opción de activar y desactivar
victor-bcn
Si existe el karma espero que actúe con todos estos que no quieren participar en ayudar con el cuento de la privacidad.
Espero que no os coja el covid19 por qué hablando mal,,,os estaría bien merecido.
tboneporn
A mi me dán más seguridad los dispensadores humanos de mascarillas hoy en el metro,sin su protección y entregadas de mano en mano.No hay nada como el olor de un gobierno liberticida e incompetente por la mañana,huele a.........tirania,eso sí,progresista.
xrscully
Hoy comiendo en mi centro de trabajo con mis compañeros (trabajamos a turnos de 12 horas por toda esta problemática... y somos a los que nos aplauden cada noche y no somos médicos) comentábamos la noticia de la futura privación de libertades de los ciudadanos. A mi personalmente me parece gravísimo.
Aprovechando la ocasión del virus (o quizás aprovechando lo que ciertas esferas han creado artificialmente para adelantar los acontecimientos de control de población), van a conseguir tener toda la información de cada uno de nosotros: a dónde vamos, de dónde venimos, con quién hemos estado.... incluso lo que hemos comprado y donde (ya que el dinero físico va a desaparecer antes de un lustro). Muy peligroso si no hay un control de la privacidad. Y ya adelanto que no va a haber ningún control porque todo este poder en manos de un político/empresario/sociedad interesado es un juguete muy jugoso como para no sacarle todo el provecho.
nexus01
Recordad, el móvil dónde mejor está es cuidando la casa en tu ausencia.
Mr.Floppy
Sigamos poniendo pegas a todo.
Por supuesto, es mucho mejor lo que tenemos ahora. Dónde va a parar...
Algunos no quieren entender que el futuro de estas cosas llegará. Les guste o no.
pableras
Pienso en voz alta:
Si es el usuario el que confirma que ha dado positivo, el sistema podría perder su validez. Pero si es una tercera persona quien informa de este positivo, el sistema ya no es anónimo, ¿no? tienen que identificarle para poder "señalizarle"
En cualquier caso, estando Google detrás no es que me inspire mucha confianza.
carlmty
Saben cuantos de esos paranoicos de la privacidad han muerto en España y EU durante estos días a causa de COVID-19. Si van a cuidar mi salud a cambio de algunos anuncios implantenme un chip en la nuca que yo no pienso robar un banco ni derrumbar la estatua de la libertad o matar a un enemigo, ya dejen sus niñerias y conspiraciones para la siguiente vida que esta se les puede acabar en 14 dias.
poncho777
La gente se alarma si en Occidente planteamos un seguimiento puntual Móvil para ser proactivos con el Virus Chino pero luego no pasa nada si China lo hace y además de por vida y para sus experimentos sociales o ves tú a saber para que más...
pablo_
Personalmente, no veo nada tan malo en la propuesta como para eclipsar lo negativo que pueda aportar. ¿Acaso no damos ya sendas pistas de con quién estamos y dejamos de estar a través de redes sociales o aplicaciones de geolocalización?
Yo veo que en la situación actual un sistema así puede ser muy beneficioso. Para empezar, ¿por qué el hecho de que al pequeño Johnny le salga una notificación en el teléfono tiene que implicar no ir a clase durante un mes? ¿No sería más razonable pensar que la alerta de esa aplicación podría servir para hacerle el test antes, y actuar luego en consecuencia denlo ue dicho test señalara? Lo digo porque, en el imposible caso de que todo el mundo fuera un troll, la cantidad de personas a las que habría que relizarles el test sería la misma que sin esta aplicación: toda la población. La diferencia es que este es el peor caso y, además, muy poco probable. Creo que puede ser de gran utilidad para centrar estos primeros esfuerzos en hacer tests.
Lo que me fastidia es que, en una sociedad donde constantemente hemos utilizado nuestra privacidad como moneda de cambio para cualquier chorrada, ahora que es por un motivo necesario de verdad nos preocupamos por ella. Un mes de cuarentena y ni ciudadanos ni redactores de noticias como esta hemos cambiado el chip.
Seth_
¿Qué tan invasiva es esta solución con la privacidad con respecto a los sistemas de seguimiento actuales?
Entendía también que el sistema de alerta podría quedarse en tu dispositivo sin tener que subir tu información a un servidor.
alexprox
Realmente que interesa saber quién está infectado y sus datos o salvar a los que está infectado con el tratamiento que ayuda y los respiradores, también que sea accesible a todo.
p2dzca
Como ya dijo hace veinte años uno de los mejores expertos en seguridad y criptógrafo del mundo, Bruce Schneier:
"It is poor civic hygiene to install technologies that could someday facilitate a police state."
Secrets and Lies (2000).
maxheadroom2
Excelente