Lo que necesitas saber sobre las aplicaciones de rastreo de contactos y la privacidad

​

Casi todos los expertos en salud pública dicen que tendremos que emplear pruebas y rastreo a escala masiva para combatir la propagación de COVID-19. Esto ha llevado a varios países y compañías tecnológicas a desarrollar aplicaciones de rastreo de contactos de coronavirus para teléfonos inteligentes. La idea es que tal aplicación permitiría a alguien que diera positivo, compartir un registro completo de con quién había estado en contacto.

Aunque se han planteado algunas preguntas sobre si este tipo de rastreo es la solución, podría ser una herramienta eficaz en cualquier programa nacional de prueba y rastreo. Sin embargo, si la idea de que una agencia del gobierno lo monitoree lo hace sentir incómodo, no está solo. Tales aplicaciones representan un tipo de vigilancia con el que muchos se sienten incómodos.

Algunos desarrolladores han tomado esto en consideración y están construyendo sistemas que protegen la privacidad de sus usuarios. Otras aplicaciones de rastreo de contactos han hecho poco para mantener los datos de los usuarios seguros y privados, abriendo la puerta al mal uso de los datos y al abuso de la privacidad.

Nuestra misión principal es proteger los derechos a la privacidad y la libertad, por lo que nuestro equipo de seguridad ha examinado los protocolos de rastreo de contactos más populares para evaluar su potencial de abuso. Este artículo dará ejemplos de buenos, defectuosos y malos enfoques para el rastreo de contactos desde la perspectiva de la privacidad. No se pretende que sea una lista exhaustiva de todos los protocolos de rastreo de contactos. Más bien debería ayudar a identificar los puntos clave que refuerzan o socavan las protecciones de la privacidad de un protocolo.

Por Qué Es Importante

Dada la enormidad del desafío que plantea el COVID-19, es importante que lo hagamos bien. Debemos hacer lo que podamos para controlar la propagación del virus y al mismo tiempo proteger nuestros derechos humanos fundamentales.

La historia nos ha demostrado que los regímenes de vigilancia son más fáciles de construir que de desmantelar. Las revelaciones de Snowden nos enseñaron que debemos estar siempre vigilantes cuando protegemos nuestro derecho a la privacidad. Debemos diseñar cualquier sistema de rastreo de contactos con cuidado para asegurarnos de que no creamos un sistema invasivo de recolección de datos que pueda ser utilizado para vigilar a los ciudadanos una vez que esta crisis haya terminado o para actividades que no tengan nada que ver con la contención del virus.

Además, la protección de la privacidad es crucial para la eficacia de cualquier programa de rastreo de contactos que utilice aplicaciones. Para tener un impacto medible, una aplicación de rastreo de contactos deberá tener una aceptación casi universal entre los usuarios de teléfonos inteligentes. Si los usuarios se niegan a descargar o utilizar una aplicación por motivos de privacidad, ésta será menos útil para prevenir la propagación de la enfermedad.

Enfoques Que Son Privados Por Diseño

Actualmente hay una carrera para desarrollar una aplicación que pueda registrar rápidamente si pasas suficiente tiempo cerca de alguien lo suficientemente cercano como para que la transmisión de la enfermedad pueda tener lugar. Los gobiernos, los académicos y las empresas privadas están trabajando en protocolos, o en el conjunto de instrucciones que rigen la forma en que los dispositivos electrónicos se comunican, para estas aplicaciones. Las leves diferencias en la forma en que estos protocolos recogen y comunican los datos pueden tener profundas repercusiones en la privacidad de sus usuarios.

Dos protocolos que han hecho un buen trabajo evitando algunos de los peligros para la privacidad inherentes a cualquier aplicación de rastreo de contactos son los protocolos descentralizados de rastreo de proximidad para la preservación de la privacidad (DP-3T) y de números de contacto temporales (TCN).

Aunque estos protocolos fueron desarrollados por diferentes equipos, adoptan enfoques similares al problema y, por lo tanto, tienen puntos fuertes similares. Ambos protocolos son de código abierto, minimizan la cantidad de datos que se recogen y no recogen información de geo-localización. Se basan en códigos de identificación temporales que la aplicación comparte por Bluetooth con otros dispositivos en un radio de seis pies para registrar los encuentros entre individuos. La principal diferencia entre estos dos protocolos es cómo generan y registran estos códigos de identificación temporales.

Ambos protocolos almacenan el registro de contactos (el registro de las personas con las que te has encontrado a lo largo del día) localmente en tu dispositivo. Pero la característica que diferencia al DP-3T y al TCN de otras aplicaciones de rastreo de contactos basadas en Bluetooth es que utilizan un protocolo de procesamiento de informes descentralizado. Si das positivo en COVID-19, estas aplicaciones comparten sus claves secretas del período de tiempo en que te contagiaste con un servidor central. Usando esas claves, el servidor puede derivar todas las identificaciones temporales que tu aplicación encontró y crear un informe. Las aplicaciones de todos los dispositivos comprueban sus registros de contactos locales con ese informe. Si la aplicación detecta una coincidencia, ese usuario sabrá que debe ponerse en cuarentena. Debido a que los informes se verifican localmente en los dispositivos de los usuarios y no por el servidor central, éste no puede identificar ningún registro de contacto o usuario.

Si todavía no está claro cómo funciona este sistema, este cómic hace un buen trabajo explicándolo. [click aquí para descargarlo directamente en pdf en español]

Este enfoque descentralizado hace que sea muy difícil que una organización o un actor abuse de los datos. Los datos que son públicos son anónimos, y los datos sensibles nunca salen del dispositivo de un individuo. Otro aspecto crítico de estos dos protocolos es que la aplicación borra los datos después de 14 días (que es la cantidad de tiempo que alguien puede estar asintomático mientras sigue enfermo con COVID-19). Esto significa que una vez que el brote de coronavirus haya sido tratado, no quedará ninguna base de datos para que la usen los gobiernos o las empresas.

Los países que han adoptado o apoyan aplicaciones que utilizan DP-3T o TCN (o un protocolo similar que utiliza el procesamiento descentralizado de informes) incluyen:

• Suiza
• Austria
• Estonia
• Finlandia
• Italia

El sistema de notificación de exposición de Google/Apple, que es una interfaz de programación de aplicaciones diseñada para facilitar que las aplicaciones de rastreo de contactos funcionen con los sistemas operativos Android e iOS, requiere el almacenamiento descentralizado de datos y está inspirado en el DP-3T.

Enfoques Defectuosos

Al igual que el DP-3T y el TCN, los protocolos Paneuropeos de Rastreo de Proximidad para la Preservación de la Privacidad (PEPP-PT) y el BlueTrace dependen de la tecnología Bluetooth para enviar y recibir códigos de identificación temporales para registrar los encuentros entre individuos. También son de código abierto, minimizan la cantidad de datos recogidos y no recogen datos de geo-localización. Sin embargo, PEPP-PT y BlueTrace dependen de un servidor centralizado para generar los códigos de identificación temporales, que según un análisis de los desarrolladores del DP-3T podría permitir al servidor identificar al individuo que está detrás de cualquier código temporal y rastrear sus movimientos.

PEPP-PT y BlueTrace también dependen del procesamiento centralizado de informes. Si el resultado de la prueba de COVID-19 es positivo y está usando una de estas aplicaciones, debe subir todo su registro de contactos a un servidor central. El servidor central entonces hace coincidir tu registro con los detalles de contacto de todas las personas que encontraste y envía una advertencia. Aunque esto permite a los profesionales de la salud verificar los encuentros, lo que puede reducir el número de falsos positivos, esto crea una base de datos masiva que puede ser explotada o abusada. Además, quienquiera que opere esta base de datos tiene acceso a muchos más datos de los necesarios para prevenir la propagación del virus.

Entre los países que han adoptado o apoyan aplicaciones que utilizan PEPP-PT o BlueTrace (o un protocolo similar que utiliza el procesamiento centralizado de informes) figuran:

• Reino Unido
• Francia
• Australia
• Nueva Zelanda
• Singapur

Si bien las aplicaciones construidas sobre protocolos que utilizan el procesamiento centralizado de informes no son ideales desde el punto de vista de la privacidad, podrían resultar útiles para frenar la propagación del virus. Es posible, si existen políticas de protección de datos sólidas y un buen gobierno, que un programa de rastreo de contactos respete la privacidad y utilice estas aplicaciones.

Enfoques Que Socavan La Privacidad

También ha habido aplicaciones de rastreo de contactos que no hacen ningún esfuerzo por proteger la privacidad. Corea del Sur usó una combinación de datos de teléfonos celulares, historial de compras de tarjetas de crédito y cámaras de vigilancia para rastrear a los individuos. Usando estos métodos, el gobierno tenía acceso a la información personal, incluyendo la edad, el género, la nacionalidad y la ocupación de las personas. Las autoridades también hicieron pública gran parte de esta información en un intento de alertar a la gente de que los ciudadanos locales tenían COVID-19.

El enfoque de Israel fue aún más extremo, de tal manera que se ha puesto en suspenso debido a las impugnaciones legales. En este caso, el gobierno habría recibido datos de geo-localización de las compañías telefónicas. El gobierno utilizaría entonces una nueva interfaz diseñada por la empresa de vigilancia NSO para descargar la información de contacto y los registros de llamadas de los teléfonos móviles, lo que permitiría a las autoridades rastrear, identificar y contactar a cualquier persona que pudiera haber estado en contacto con alguien que estuviera enfermo.

China ha adoptado uno de los enfoques más invasivos. Introdujo un esfuerzo a nivel nacional para obligar a los ciudadanos a descargar una aplicación que determina si deben ser puestos en cuarentena. Esta aplicación puede acceder a datos personales en el teléfono de un individuo, incluyendo su geo-localización, vincularlo a un número de identificación, y reportarlo a un servidor del gobierno. También hay informes de que estos datos no sólo se han utilizado para la administración de la salud pública, sino que también se han compartido con las fuerzas del orden.

Conclusión

COVID-19 es una emergencia mundial, y hay vidas en peligro. Tenemos que tomar medidas. Sin embargo, también debemos tratar de reducir los efectos secundarios negativos de cualquier solución que introduzcamos. Escribimos este artículo para concienciar sobre los posibles riesgos para la privacidad que suponen las aplicaciones de rastreo de contactos, para que los ciudadanos puedan presionar a su gobierno para que tome la decisión correcta.

También es importante señalar que la protección de nuestra privacidad requerirá algo más que soluciones técnicas. Requerirá una buena gobernanza y una política de protección de datos. Se requerirá una legislación, como la Coronavirus (Safeguards) Act de Gran Bretaña, para garantizar que todos los datos se manejen de manera responsable y que los beneficios del rastreo de contactos también lleguen a quienes no tienen un teléfono inteligente.

La sociedad está en una encrucijada. Tenemos que actuar para detener la propagación de COVID-19; sin embargo, debemos actuar responsablemente. Un protocolo de rastreo de contactos que sea privado por diseño, junto con pruebas masivas y un gobierno responsable de los datos, no sólo podría ayudarnos a detener la propagación de este virus, sino a asegurarnos de salir de esta crisis con una protección de la privacidad aún más fuerte.

Actualizado el 28 de mayo de 2020, para aclarar cómo el DP-3T y el TCN comparten las pruebas positivas.
Actualizado el 30 de junio de 2020, para añadir detalles sobre el sistema de notificación de exposición de Google/Apple.

Fuente: What you need to know about contact tracing apps and privacy

Relacionado: Destacado Ministro Paris confirma que se probará control de movilidad usando información de telefonía móvil