CoronApp es el brazo de tecnología en la estrategia del Gobierno para enfrentar la expansión del nuevo coronavirus. En esencia, es una aplicación que busca brindar información al ciudadano acerca del COVID-19, pero también fue diseñada como un método para comenzar a identificar poblaciones sanas o infectadas a gran escala.
Su escalabilidad y aplicación masiva pueden ser dos de sus grandes atractivos y, a la vez, son los aspectos que más preocupan a investigadores y analistas que han estado examinando los alcances de estas y otras herramientas similares.
De fondo, la app es la adaptación colombiana de una estrategia que se está implementado en otros países, como Corea del Sur; país de donde salió buena parte de la inspiración para el diseño de CoronApp, según la información oficial.
Además de CoronApp también están disponibles versiones más localizadas, pero con características similares en Medellín (Medellín me Cuida) y en el Valle del Cauca (CaliValle Corona).
La Fundación Karisma, a través de su laboratorio de seguridad digital (K+Lab), ha liderado el análisis de este tipo de herramientas y ha detectado problemas en temas de seguridad digital y privacidad de la información, así como transparencia en su desarrollo, entre otros aspectos.
La investigación se hizo con el ánimo de conocer de primera mano cómo consideraban la privacidad de las personas que usan estas herramientas. Se buscaron los documentos que las acompañan y también se revisó el código o lo que se puede ver de él. Se hicieron análisis estáticos de los instaladores, del código HTML/javascript y se usaron herramientas para analizar el tráfico de datos que se intercambia entre los dispositivos móviles o páginas web y los servidores.
Es importante resaltar que todas las pruebas técnicas aplicadas por el equipo de K+Lab son no intrusivas. En otras palabras, no se trata de una prueba de penetración, sino del análisis de lo que se puede ver interna o externamente en la aplicación o la página web. Algo así como ver y no tocar.
CoronApp: algunos detalles técnicos
Esta aplicación es una herencia de otra app brasileña que se usó en el Mundial de Fútbol de 2014 para hacer seguimiento de epidemias, en aquellos tiempos de dengue, zika y chikunguña y que el Instituto Nacional de Salud de Colombia intentó implementar con esos mismos fines. Al final, lo que había de esta aplicación se convirtió en poco tiempo en CoronApp. La última versión de la app revisada para este análisis fue la 1.2.32 (la última actualización fue el 4 de mayo, versión 1.2.40).
La cuestión entonces es que esta app no solo heredaba las funcionalidades de la versión original, sino un código que era específico para Brasil, lo cual incluía trackers, conexiones con Facebook y Google , permiso de acceso a los contactos, que nada tenían que ver con su función actual. Vale aclarar que en la respuesta que la Agencia Nacional Digital dio a este análisis hay un compromiso sobre destruir los datos que se hubieran recogido en las versiones previas de la aplicación y que ya no se requieren en las nuevas versiones, como por ejemplo el origen étnico de las personas registradas y los contactos telefónicos en el celular.
Una de las primeras cosas que resaltan de la aplicación es la cantidad de permisos que pedía, al parecer innecesarios, pero que de todos modos se incluían insinuando futuras funcionalidades. En definitiva, la app tenía el potencial de ver la lista de contactos del teléfono, su ubicación y pedía permisos de administración de Bluetooth, que iban a ser usados para aplicar el famoso rastreo de contactos por proximidad (contact tracing). Esto es que el teléfono empezará a conectarse con otros para intercambiar información y saber qué otros dispositivos están cerca. De fondo, nunca hubo claridad sobre quién tendrá acceso a esa información y bajo qué condiciones, pero todo esto está ahí listo para ser activado.
Siendo una herramienta que responderá a una emergencia y, por tanto, debe ser limitada en su alcance, no hay una definición precisa sobre quién podrá acceder a estos datos, la disposición tan solo repite la norma legal de excepción que permite a cualquier entidad pública o administrativa acceder a datos personales, cuando lo correcto sería establecer un compromiso más concreto.
Para la versión examinada, el análisis de tráfico de la aplicación no ofreció muchos problemas, porque originalmente la aplicación enviaba y recibía el tráfico por HTTP, sin SSL. En otras palabras, el movimiento de información se hacía sin cifrado, el mínimo de seguridad que en este tipo de productos es algo que se diseña de forma predeterminada para garantizar algo de privacidad a las personas usuarias y más teniendo en cuenta la sensibilidad de los datos que se manejan.
Esta misma semana, la agencia Reuters reportó que el Gobierno canceló la funcionalidad de seguimiento de contactos con la que había sido diseñada originalmente la aplicación. La decisión, al parecer, es utilizar la tecnología que está siendo desarrollada por Apple y Google (los dueños de los sistemas operativos móviles dominantes en el mercado).
Falta de información
El desarrollo de cualquier solución tecnológica debe estar guiado por unos objetivos, que ayudan a medir su efectividad y utilidad. Es muy importante comunicar estos objetivos para dar a conocer qué es y qué hace la herramienta.
En este proceso de análisis se identificó la ausencia de información pública que permita entender cuál es el propósito de estas herramientas y cómo se integran en la estrategia. Entender qué es lo que realmente hacen servirá para informar el debate sobre el uso de las aplicaciones en el país.
Los anuncios públicos que los gobernantes hacen en Colombia sobre el rol de las aplicaciones ponen su centro esencialmente en las funciones de vigilancia de las herramientas con muy pobres explicaciones sobre su articulación con el resto de la estrategia para la pandemia. Más que vigilar el contagio del virus, parece que nos piden que confiemos en que la tecnología ayudará vigilando a las personas. Más que analizar los modelos de las aplicaciones que se despliegan por el mundo para seleccionar y definir cuál será la versión “a la colombiana”, la carrera contra el tiempo parece ser porque nuestras soluciones incluyan todas las funciones que hay en el mundo.
Lo que más preocupa es que se sabe que la tecnología no reemplaza buenas políticas públicas. Desplegar tecnología basados en ilusiones de resultados puede generar más problemas que beneficios, además de una crisis más profunda al quebrar la confianza que se deposita en ellas.
Es necesario entender qué hacen las aplicaciones y cómo lo hacen, por qué incorporar funcionalidades que representan importantes riesgos —como las de rastreo de contagio por proximidad y los pasaportes de movilidad—, sin que sean parte de una estrategia integral de política pública que aborde sus limitaciones técnicas y especialmente los grandes riesgos sociales que entrañan.
En medio del temor natural que produce una situación como la que existe, una parte de la ciudadanía está dispuesta a intercambiar algo de su privacidad por tener información y están dispuestos a aportar datos para el seguimiento del contagio a aplicaciones que buscan en el contexto de la pandemia.
Ese acto de fe al entregar su información, su ubicación, sus datos médicos y probablemente incluso con quién se encuentran, dónde y cuándo, debería suscitar una respuesta supremamente responsable de los entes que están recibiendo esta gran confianza. Estos ejercicios deben ser el punto de partida para una importante mejora en el tratamiento de datos que las entidades públicas hacen en esta emergencia y que estén a la altura técnica que merece esta coyuntura.
Tomado de El Espectador