Radar COVID, ¿Es segura?

El éxito o fracaso de RADAR COVID dependerá de la confianza que todos depositemos en la aplicación y para ello, un buen primer paso sería liberar el código.

Vivimos en una sociedad de contradicciones. La privacidad es cada vez más valorada pero no hacemos nada por mantenerla. De hecho, la contraseña más utilizada sigue siendo 1234.

En este contexto, en el que presumimos de nuestra oposición a que las grandes tecnológicas comercien con nuestros datos personales y exigimos unos avisos de cookies claros y fácilmente comprensible, pero no podemos pasar unos días de vacaciones sin compartir en todas las Redes Sociales del mundo nuestra estancia, dejando en Internet constancia de cuándo estamos y no estamos en casa, cuán lejos nos encontramos, con quién pasamos las vacaciones, etc, aparece la aplicación gubernamental Radar COVID.

Al margen de cualquier teoría conspirativa (y eso que alguna es muy buena), intentemos analizar la aplicación desde un punto de vista de seguridad como si de cualquier otra app se tratara.

Radar Covid: ¿Es fiable o no?

Pues no es tan sencillo de responder (empezamos bien…). Fácilmente podemos encontrar argumentos a favor y en contra igualmente válidos.

EN CONTRA

Desde un principio se anunció transparencia en el proyecto. La aplicación debía ser de código abierto, cuestión que actualmente no ha ocurrido.

Una app de código abierto permitiría a otros desarrolladores analizar, verificar y auditar el código, sobre todo en la búsqueda de los temidos “exploit 0 days” (es decir, aquellas brechas de seguridad que todavía no tienen solución).

Creer que una aplicación que se ha desarrollado en tan breve espacio de tiempo no tenga fallos, es como pensar que la primera vez que patinas no te vas a caer. Es posible que hayas nacido para ello, pero por si acaso ponte protección.

Lo razonable habría sido una app idéntica en todos los países europeos, habida cuenta la libertad de movimientos en el territorio y la movilidad real de ciudadanos entre los diferentes países.

Exige la participación (mínima) del ciudadano, que deberá tener encendido el bluetooth para que funciones, un protocolo de comunicación que consume mucha batería y cuya seguridad es cuestionable.

A FAVOR

Es una aplicación sencilla, sin menús complicados y con muy pocos ajustes necesarios para el usuario. Hay que tener en cuenta que la aplicación es para toda la población y la destreza de algunas franjas de edad con las tecnologías es escasa.

Es una aplicación que en principio no necesita activar la geolocalización del móvil del usuario. Y eso para una app de rastreo, como mínimo es muy destacable.

Si nos remontamos a las primeras aplicaciones aparecidas en China, Corea del Sur o Singapur, utilizan tecnología con una gran invasión de la privacidad del usuario. Esto en Europa suponía un gran desafío, ya que después del esfuerzo que ha supuesto y sigue suponiendo la implantación del Reglamento General de Protección de Datos, conocido como GDPR o RGPD, sería complicado de entender un uso invasivo y una gestión centralizada por un organismo estatal de los datos personales de los usuarios de la app.

Radar COVID no requiere de datos personales ni de permisos de localización. Está basada en el protocolo DP3T, desarrollado de forma independiente por un equipo de 33 personas entre desarrolladores, epidemiólogos y juristas, liderados por Carmela Troncoso, investigadora española de la Escuela Politécnica Federal de Lausana, y que es utilizado en otros países europeos como Italia, Alemania, Austria o Suiza.

Este protocolo sí es de código abierto. Su funcionamiento es mediante Bluetooth para rastrear y registrar encuentros con otros usuarios de forma cifrada y anónima, de manera que el servidor central nunca tiene acceso a los registros de contactos del usuario.

Todo esto parece muy positivo desde el punto de vista de privacidad, sin embargo en los dispositivos android para que Bluetooth funcione se necesita activar la geolocalización, con lo que todo lo anteriormente explicado queda “en cuarentena”.

Como vemos, no es tan fácil afirmar si la app es fiable y segura o no. Computer Chaos Club, una de las mayores asociaciones de hackers en Europa, creó un decálogo de las condiciones que deberían cumplir cualquier aplicación de rastreo:

1. Propósito epidemiológico.

2. Uso voluntario.

3. Privacidad.

4. Transparencia.

5. Los datos no se deberán gestionar de forma centralizada.

6. Solo se podrán recopilar los datos indispensables.

7. Los usuarios tendrán garantía de permanecer anónimos.

8. No se deberán crear perfiles de movimiento de los usuarios.

9. Las claves cifradas para que la tecnología funcione deber ser temporales y no vinculantes.

10. Las comunicaciones entre dispositivos deben ser inobservadas.

Quizá no sea mal punto de partida para crear un entorno ético de protección de la privacidad individual.

En la situación actual tanto las grandes tecnológicas como los gobiernos se juegan su credibilidad con los usuarios. Una brecha, una exposición una vulneración o cualquier otro daño a los datos personales de los usuarios de una aplicación relacionada con el COVID sería catastrófico para la relación de confianza en el uso de la app imprescindible para su utilización y un caldo de cultivo ideal para todo tipo de teorías conspirativas.

El éxito o fracaso de Radar COVID dependerá de la confianza que todos depositemos en la aplicación y para ello, un buen primer paso sería liberar el código. En general sería deseable que cualquier aplicación, programa o actuación de la Administración fuera de código abierto…

Yo de momento me he descargado la aplicación, pero como no tengo encendido el bluetooth…

Conoce nuestros servicios en
Protección de Datos y Derecho Digital

Avatar

Mario Romero

Director de IT.

Contenidos relacionados

Más en derecho de las TIC

Comentarios

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Responsable del tratamiento: HERRERO & ASOCIADOS, S.L.

Finalidad del tratamiento: Publicar su comentario sobre la noticia indicada.

Derechos de los interesados: Puede ejercer los derechos de acceso, rectificación, supresión, oposición, portabilidad y limitación del tratamiento, mediante un escrito, acompañado de copia de documento que le identifique dirigiéndose al correo dpo@herrero.es.

Para más información visita nuestra Política de Privacidad.

*Los campos marcados con el asterisco son obligatorios. En caso de no cumplimentarlos no podremos contestar tu consulta.

No hay comentarios