¿De seguridad a cibervigilancia? Cómo afecta a la privacidad las apps de rastreo del COVID-19

¿De seguridad a cibervigilancia? Cómo afecta a la privacidad las apps de rastreo del COVID-19

En un post reciente comentábamos el debate que habíamos tenido en el marco de las sesiones UOC-Con sobre los aspectos de libertad y privacidad relacionados con las aplicaciones de rastreo de contactos de COVID-19.

Como hablamos, aún planean muchas dudas sobre la efectividad de estas aplicaciones, más teniendo en cuenta que no tendrán un uso extenso al tratarse de aplicaciones de uso opcional para los ciudadanos. Sin embargo, hoy queremos detallar un poco más de los aspectos técnicos de estas aplicaciones y ver si realmente debemos preocuparnos por el hecho que estas aplicaciones que nacen con la misión de incrementar la seguridad de grupo ante una epidemia sanitaria, nos lleven a un estado de cibervigilancia permanente.

Ante la posibilidad que este tipo de aplicaciones puedan exponer datos sensibles de los usuarios, la Comisión Europea ha recomendado un enfoque común de la UE y en un debate plenario celebrado el 14 de mayo, el Parlamento subrayó que toda medida digital contra la pandemia debe ajustarse plenamente a la legislación sobre protección de datos y de la intimidad. Dijo que el uso de las aplicaciones no debería ser obligatorio y que deberían incluir cláusulas de extinción para que dejen de utilizarse una vez que la pandemia haya terminado. Se subrayó la necesidad de que los datos sean anónimos y que no deben almacenarse en bases de datos centralizadas. También reconoció las aplicaciones de rastreo de contactos basadas en bluetooth como las más prometedoras, ya que no se recogen datos en tiempo real de la ubicación de las personas sino solo información de los contactos que hemos tenido.

Al inicio de la pandemia, diferentes comunidades autónomas españolas y el gobierno central sacaron apps para hacer el rastreo de contactos. Aquellas apps tenían varios problemas de privacidad que ahora se quieren solucionar. En España se utilizará una aplicación llamada Radar COVID basada en el sistema DP-3T europeo. Actualmente, la app solo funciona en modo piloto en la Gomera, y se espera que a partir de septiembre las comunidades autónomas que lo deseen lo puedan incorporar en sus sistemas sanitarios.

El sistema DP-3T es un trabajo del grupo Pan-European Privacy-Preserving Proximity Tracing (PEPP-PT).  DP-3T propone 3 protocolos de rastreo para dispositivos móviles que tienen una base común, y que se diferencían en la relación que ofrecen entre privacidad y costo de la computación en el móvil. En los tres protocolos, los teléfonos inteligentes generan unos identificadores locales (EphIDs) y los transmiten a través de balizas Bluetooth. Otros teléfonos observan estas balizas y almacenan los EphIDs que contienen (y que son los contactos que han tenido) junto con una indicación de la hora y mediciones para estimar la exposición (por ejemplo, atenuaciones de la señal). Los teléfonos guardan los EphIDs de los contactos durante unos 14 días.

Si un paciente es diagnosticado con COVID-19, las autoridades sanitarias le autorizan a publicar sus EphIDs durante el periodo de contagio a un servidor remoto. Los teléfonos de los usuarios generan tráfico con el servidor de forma aleatoria para proteger que cuando se envíe información de contagio positivo, éste sea inmediatamente identificado por usuarios que estén observando y analizando el tráfico de la red.

Los teléfonos se conectan de forma periódica con el servidor para obtener información de los EphIDs positivos y analizar su exposición (tiempo y proximidad) con estos usuarios. Si el riesgo es mayor a cierto grado, se levanta un alerta en la app.

El servidor actúa únicamente como plataforma de comunicación y no realiza ningún tipo de procesamiento. Los identificadores EphIDs estan protegidos criptográficamente y no es posible reidentificar a una persona únicamente a partir de este identificador. Sin embargo, el proyecto ha levantado algunas inquietudes porque asume que los usuarios deben tener el bluetooth activado todo el tiempo (cosa que por sí sola ya es un riesgo de seguridad y privacidad), y el hecho de retransmitir y guardar información sensible -aunque anónima- en el móvil puede que haga aparecer nuevos ataques más complejos basados en el seguimiento físico y coerción de los usuarios. 

Aunque el proyecto DP-3T no va a introducir un riesgo importante de privacidad a los que actualmente ya afectan a todos los móviles, es evidente que la privacidad es cada vez más un tema que preocupa, y mucho, a instituciones, empresas y ciudadanos. Tener personas formadas en los riesgos y las tecnologías de mejora de la privacidad (Privacy-Enhancing Technologies (PETs)) es cada vez más relevante, y por eso en la UOC, iniciaremos en septiembre un nuevo Máster universitario de Ciberseguridad y Privacidad en el que trataremos todos estos problemas.

Helena Rifà es directora del Máster Universitario de Ciberseguridad y Privacidad de la UOC.

Comentar

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.