El viernes pasado Apple y Google anunciaron una ambiciosa iniciativa conjunta: un sistema de seguimiento de contagios basado en Bluetooth que estaría integrado en iOS y en Android y que por tanto convertiría a nuestros móviles en potenciales de "chivatos" si hemos estado en contacto con una persona infectada por el coronavirus.
La propuesta de ambos gigantes se hacía con una declaración de intenciones según la cual este sistema se desarrollaría "respetando plenamente la privacidad y seguridad de los usuarios". Hemos escuchado ese mensaje otras veces: el problema es si podemos creerlo, y a pesar de las teóricas buenas intenciones de Google y Apple, varios expertos en este ámbito afirman que no.
Así funciona la trazabilidad de contacto
Aunque ya habíamos explicado con anterioridad cómo funciona el sistema, no está de más hacer un breve recordatorio. Los documentos técnicos que ofrecen tanto Apple como Google revelan los fundamentos de esa "trazabilidad de contacto" (contact tracing) que según algunos expertos puede ser crucial a la hora de evitar futuros reputes de la pandemia de coronavirus que nos tiene confinados desde hace semanas.
La idea es la de plantear un sistema de trazabilidad de contacto que permite hacer un seguimiento de los contagios a través de nuestros dispositivos móviles. La primera implementación podría ser una aplicación móvil desarrollada conjuntamente por Apple y Google que los usuarios tendrían que instalar, pero todo apunta a que la idea es integrar dicho sistema en iOS y Android a través de futuras actualizaciones de estos sistemas operativos.
Este sistema hace que nuestro teléfono registre todos los teléfonos que se encuentran cerca de él a lo largo del tiempo. Cada teléfono emite a través de Bluetooth un código unívoco que lo identifica —pero que teóricamente desanonimiza al propietario—, y los teléfonos que están cerca de él registran ese código (además de mandar el suyo propio).
Esa información va formando parte de una base de datos que entra en acción cuando una persona resulta dar positivo por coronavirus. Si eso sucede, puede optar por informar de ello en ese sistema de trazabilidad de contacto. Si lo hace, el resto de teléfonos que en algún momento estuvieron cerca de ese teléfono recibirán una notificación de cuándo lo estuvieron, alertando a esas personas del potencial riesgo de que también estén contagiados y ofreciéndoles información sobre cómo actuar en ese caso.
No está claro quién se encarga de difundir esa información sobre la confirmación del contagio: es probable que no lo haga el propio afectado, sino un proveedor legítimo de servicios sanitarios —en España esa podría ser la Seguridad Social— que evite así diagnósticos falsos emitidos por parte de malos actores, por ejemplo.
Primer problema: la seguridad
La idea es sin duda interesante, pero plantea amenazas claras a la seguridad y la privacidad de los usuarios. Los documentos técnicos publicados por Apple y Google se encargan de tratar de tranquilizarnos sobre lo primero, por ejemplo. Se crearían tres niveles de claves para cifrar y proteger todo ese trasiego de información, cada una destinada a a un ámbito distinto:
En nuestro móvil se mantendrían los identificadores de proximidad (que son el nivel más bajo de estas tres claves), y si acabamos dando positivo en coronavirus se compartirían las claves diarias de todos los días que hemos estado contagiados para que todos los que estuvieron cerca puedan recibir esa notificación.
Combinar esas dos claves plantea ciertas dudas sobre la seguridad del sistema. Esas dudas las exponía el criptógrafo Matt Tait, que afirmaba que una vez que las claves diarias sean públicas, es posible descubrir que IDs de proximidad están asociadas a un ID específico —que es justo lo que la aplicación acabará haciendo para confirmar a otras personas que podrían estar expuestas.
If you *do* get COVID, there's a nasty edge-case that needs to be (and can be) addressed, which is that a daily key can be used to correlate all of your proximity IDs for the corresponding day.
— Pwn All The Things (@pwnallthethings) 10 de abril de 2020
Moxie Marlinspike tampoco parecía demasiado convencido de que el sistema fuera tan interesante como prometían Apple y Google. Este hacker y desarrollador sabe de lo que habla: es el co-creador del protocolo Signal, el protocolo criptográfico que permite cifrar comunicaciones de voz, vídeo y texto (mensajería instantánea) de extremo a extremo y que se usa, por ejemplo, en la aplicación del mismo nombre, y también en WhatsApp, Facebook Messenger y Skype.
Este desarrollador también destacaba que todo parece seguro y privado hasta que das positivo por coronavirus. En ese caso la dirección MAC del chip Bluetooth de tu dispositivo (algo así como su DNI) se vuelve enlazable y, por tanto, se genera cierto riesgo de que ese dato se use con fines distintos a los que proponen Google y Apple para el sistema.
That seems untenable. So to be usable, published keys would likely need to be delivered in a more 'targeted' way, which probably means... location data.
— Moxie Marlinspike (@moxie) 10 de abril de 2020
No solo apuntaba a ese problema, sino a la ingente cantidad de información que un sistema así puede generar. Aunque las claves diarias solo ocupan 16 bytes, el número de contagios harían que "cientos de MB se descarguen por parte de todos los móviles". Eso, según él "es insostenible", lo que provocaría que "para hacerlas usables, las claves deberían ser entregadas de una forma más 'dirigida', lo que probablemente signifique... datos de localización".
No se vayan, aún hay más: el problema de la privacidad
Pero la cosa no acaba ahí. El propio Marlinspike indicaba cómo todo este sistema puede ser contaminado por trolls que no paren de circular por ciertas áreas y acaben informando de una infección que en realidad no lo es y que acabe provocando que muchas personas crean que están expuestas cuando en realidad no lo están.
In my opinion - these types of data are poor proxies for the ground truth we really seek: actual #COVID19 infection rates -- which can only be truly known by widespread testing. If we had testing in place, it would make the need to pursue these privacy-invasive techniques moot
— ashkan soltani (@ashk4n) 10 de abril de 2020
Eso, según otros expertos como Ashkan Soltani —que formó parte de la FTC y fue consejero de Obama— solo se puede remediar con pruebas masivas de coronavirus, algo que "haría que la necesidad de seguir estas técnicas de invasión de la privacidad fuera discutible".
El Grupo de Seguridad del Laboratorio de Informática de la Universidad de Cambridge planteaba también muchas dudas sobre la validez de esta propuesta de Apple y Google en un artículo detallado y muy completo.
Para empezar, citaban el trabajo de Serge Vaudenay (PDF) un criptógrafo francés que trabaja en la prestigiosa institución suiza EPFL y que argumentaba que "los sistemas de trazabilidad de proximidad son de importancia capital para controlar la pandemia de COVID-19. Al mismo tiempo, llegan con amenazas de privacidad serias". "De hecho", apuntaba, "es sorprendente que la descentralización cree más amenazas a la privacidad de las que resuelve. La gente enferma de la que se informa anónimamente puede ser deanonimizada, los encuentros privados pueden descubrirse, y la gente puede ser coaccionada a revelar sus datos privados".
También citaban los casos de sistemas de este tipo como TraceTogether —cuyo código se publicó como Open Source recientemente— que ya están en marcha por ejemplo en Singapur. Este tipo de sistema, indicaban "no es anónimo. [...] No se trata de consentimiento o anonimato, sino de ser persuasivo y tener buen trato con los pacientes".
Esperar a pruebas diagnósticas para ayudar en la tarea del control de la pandemia es de momento impracticable dado el limitado número de ellas que se pueden hacer al día y el tiempo que tardan en ofrecerse los resultados, pero es que las autoridades sanitarias también necesitan datos de localización. No ya para una potencial ubicación de los contagios —o para reducir el ingente tráfico de datos del sistema, como apuntaba Marlinspike—, sino para saber dónde construir por ejemplo nuevos hospitales de campaña o enviar más equipos y personal médico.
A todo ello se le suma el hecho de que este tipo de sistema es un caramelo para los trolls. Como apuntaba el documento, es fácil imaginar a algún usuario malintencionado pegarle un móvil a un perro y dejar que corretee por el parque y la calle, o que un grupo de malos actores —citaban a Rusia específicamente— usara la aplicación para efectuar ataques de denegación de servicio y así sembrar el pánico. Y por supuesto serviría para que "el pequeño Johny autoinformara de los síntomas para lograr que todos los que van al colegio tuvieran que volver a casa" y así evitar la pandemia: vacaciones al instante.
Tampoco ayuda el hecho de que la aplicación o el sistema tuviese ese comportamiento "opt-in" en el que el usuario sería quien decidiese si participar o no en el sistema de seguimiento. Eso, como indican los expertos de este grupo haría que "nadie tenga incentivos para usarla, excepto quienes quieran probarla y la gente que cumple religiosamente con todo lo que el gobierno pide. Si la adopción es de un 10-15%, como en Singapur, no será muy útil".
Para los responsables de esa reflexión, las aplicaciones de trazabilidad "son simplemente parte del haz-algo-por-Dios-itis". Para ellos no necesitamos estos sistemas de trazabilidad, sino personas que se encarguen de gestionar ese tipo de información como se está gestionando hasta ahora con servicios de consulta y potencial diagnóstico telefónico, por ejemplo. El párafo final es contundente:
"Nuestros esfuerzos deberían ir dirigidos a ampliar las pruebas de contagio, fabricar ventiladores, volver a formar a todos los que tengan antecedentes clínicos, desde las enfermeras veterinarias hasta los fisioterapeutas, para que los utilicen, y construir hospitales de campaña. Debemos denunciar las estupideces cuando las veamos, y no dar a los políticos la falsa esperanza de que la "tecno-magia" les permitirá evitar las decisiones difíciles. De lo contrario será mejor que nos mantengamos al margen. La respuesta no debe ser impulsada por los criptógrafos sino por los epidemiólogos, y debemos aprender lo que podamos de los países que mejor se las han arreglado hasta ahora, como Corea del Sur y Taiwán"
Jason Bay, responsable de TraceTogether, que además es director senior de la Agencia Tecnológica del Gobierno en Singapur, tampoco estaba a favor de usar esta solución como "panacea contra el coronavirus". Para él tratar de concebir esos sistemas como solución al problema "es un ejercicio de triunfalismo tecnológico. Hay vidas en juego. Los falsos positivos y falsos negativos tienen consecuencias en la vida (y muerte) real. Usamos TraceTogether como suplemento de la trazabilidad del contacto [de las autoridades sanitarias], no para sustituirlo".
Jaap-Henk Hoepman, profesor de Seguridad Digital en la Radboud University Nijmegen, en Holanda, y responsable del Privacy & Identity Lab, también denunciaba el problema de un sistema de este tipo.
"Debemos parar a Apple y Google en esta iniciativa", afirmaba, "o de lo contrario deshacernos de nuestros smartphones, porque se convertirán realmente en agentes de la Stasi en nuestros bolsillos". Como el resto de expertos, apuntaba a que este esquema de seguimiento teóricamente descentralizado se convertía en centralizado en cuanto se forzaba al teléfono a informar a las autoridades de un potencial contagio.
Eso "convierte de forma efectiva a nuestros smartphones en una herramienta global de vigilancia masiva". De hecho este experto criticaba especialmente a la empresa de Cupertino. "Cualquier ilusión que tuviéramos de que podíamos de alguna manera domar al agente de la Stasi en nuestro bolsillo, comprando iPhones más caros porque Apple se comprometió a tomar nuestra privacidad en serio, o teniendo cuidado con las aplicaciones que instalamos o no en nuestros teléfonos, es sólo eso: una ilusión".
Para él los peligros de un sistema de este tipo no están en que pudiera efectivamente ayudar a esa futura fase de retorno a la normalidad, sino a todo lo que podría venir después tras implantar este tipo de sistema en nuestros móviles. Hoepman mencionaba algunos ejemplos:
- La policía podría ver rápidamente quién ha estado cerca de la víctima de un crimen activando el teléfono de la víctima como "infectado".
- Lo mismo podría aplicarse para encontrar a las fuentes de los periodistas o a los "soplones" que filtran información
- Una empresa podría instalar balizas Bluetooth equipadas con este software en puntos de interés para marcar ciertas balizas como "infectadas" y así localizar a quienes pasaron cerca.
- Si tienes Google Home en casa, Google podría usar este sistema para identificar a todos los que visitaron tu hogar.
- Tu pareja, si es celosa, podría instalar una aplicación secreta en tu móvil para seguirte y comprobar con quién has estado en contacto, o a padres para espiar a sus hijos.
Muchos de ellos no necesitan de hecho esta tecnología para hacerse realidad porque ya hay otros métodos de llevar a cabo acciones similares, pero lo cierto es que la tecnología que proponen Apple y Google, por muy buenas intenciones que tenga, plantea serias dudas sobre si el remedio puede ser, como dice el refrán, peor que la enfermedad.
El debate está ahí, y puede que para muchos se resuma muy bien en una frase que apuntaban en un interesante (y algo pesimista) estudio de cómo será volver a la normalidad por parte de Vox. Allí hablaban de cómo al menos esto es intentar esto, aunque eso suponga "construir un enorme estado de vigilancia digital. Me importa mi privacidad, pero no tanto como lo que me importa mi madre".
Imagen | Unsplash