Las aplicaciones de rastreo de contacto están diseñadas como complemento al proceso manual de recogida de información que los expertos sanitarios llevan a cabo cuando un paciente da positivo en una enfermedad con un alto índice de contagio. Normalmente, dichos procesos se realizan mediante un cuestionario en el que se identifica a las personas con las que el individuo ha estado en contacto directo recientemente. El principio básico de las aplicaciones de rastreo es notificar lo antes posible a aquellos que han estado en riesgo de infección en el entorno del paciente, de manera que puedan tomar las medidas oportunas como aislarse o hacerse una prueba.
En comparación con los procesos manuales, las aplicaciones no requieren que el paciente conozca a todos aquellos con los que ha entrado en contacto. Para ello, es necesario que la aplicación registre cuándo dos usuarios se encuentran a una distancia que suponga un riesgo de contagio y cuándo una persona con la que se ha estado en contacto recientemente ha sido diagnosticada con la enfermedad. Además, debe permitir que el individuo identificado como portador pueda avisar a todos aquellos con los que haya entrado en contacto. Toda esta cadena informativa, y aquí está el reto, debe ocurrir salvaguardando el anonimato de los implicados.
¿Privacidad o seguridad?
Aunque nos encontraremos con reacciones dispares según el tipo de sociedad, por norma general el rechazo es la primera reacción cuando se propone instalar una aplicación que va a informar de los movimientos de la ciudadanía a las autoridades. Los motivos son muchos: dudas sobre si la aplicación realmente cumple con lo que dice, falta de confianza en el correcto uso y tratamiento de los datos, miedo a posibles negligencias que puedan permitir una fuga de datos en los servidores centralizados, etc. Esto hace muy difícil que una aplicación lanzada por las autoridades sanitarias de un país pueda alcanzar el 60% de adopción que se requiere para que sea completamente efectiva, según las simulaciones epidemiológicas de la University of Oxford. Si nos fijamos en el registro de las aplicaciones de rastreo de contactos que mantiene el Massachusetts Institute of Technology, podemos determinar que la mayoría de los gobiernos son conscientes de esta problemática y han tomado medidas para hacer sus propuestas atractivas desde el punto de vista de la privacidad. De esta larga lista, solo diez de ellas utilizan los servicios de localización del dispositivo, mientras que el resto apuesta por el uso de tecnología Bluetooth. De esta manera se elimina de la ecuación la información sobre la localización del individuo, poniendo el foco en los contactos a corta distancia. Además, para aliviar la desconfianza de los usuarios finales, muchas de las propuestas han adoptado un modelo transparente, haciendo público el código fuente del software. Lamentablemente, en la mayoría de las ocasiones esta transparencia encuentra límites cuando la aplicación ya está instalada en el dispositivo, de modo que el tratamiento de la información y el funcionamiento queda del lado servidor en una promesa de destruir los datos cuando ya no sean relevantes.
Como respuesta a esta problemática surgen dos propuestas muy similares entre sí y focalizadas tanto en recoger únicamente los contactos de persona a persona, como en evitar enviar esta información a un almacenamiento centralizado, a no ser que sea absolutamente necesario. Una de las primeras propuestas en ser adoptada en los desarrollos de algunos gobiernos fue DP-3T. Se trata de una especificación técnica diseñada por un consorcio de tecnólogos, expertos legales, ingenieros y epidemiologistas que propone la creación de un sistema descentralizado en el que prima el anonimato de los usuarios, a la vez que les otorga el control sobre la información que comparten.
Por su parte, e inspirándose en DP-3T, Apple y Google han unido fuerzas para ofrecer a los desarrolladores una API unificada, que permita usar los servicios de los dos gigantes para desarrollar, de forma sencilla, aplicaciones de rastreo de contactos. Ambas compañías han revelado su intención de implementar la denominada Exposure Notification API en futuras actualizaciones de sus respectivos sistemas operativos y han compartido algunos detalles, como la posibilidad de habilitarla o deshabilitarla por regiones, según las necesidades de cada país o los requisitos de seguridad y privacidad que exigen los gobiernos. El principio básico de ambas soluciones, las cuales ya han sido adoptadas en varias aplicaciones de rastreo de contactos, es similar. La idea es que utilizando el Bluetooth, la aplicación emita periódicamente identificadores aleatorios a la vez que registra los que transmiten otros dispositivos. Toda la información de los identificadores emitidos y recibidos se almacena de manera local en el dispositivo. Cuando un usuario de la aplicación da positivo en las pruebas de la enfermedad, la autoridad sanitaria correspondiente proporciona al individuo un código de un solo uso (con el objetivo de evitar que un usuario malicioso pueda enviar falsos positivos) que puede utilizar para enviar a un servidor remoto los identificadores que ha emitido durante los últimos días, los cuales se quedan registrados en una base de datos pública. Para comprobar si el usuario ha estado en contacto con un caso confirmado, la aplicación consulta periódicamente la base de datos que contiene los identificadores enviados por aquellos usuarios que han sido diagnosticados y la coteja con los códigos que ha recibido recientemente. Si existen varias coincidencias consecutivas equivalentes a un tiempo de exposición superior a 15 minutos (el tiempo que establece la Organización Mundial de la Salud), el software genera una notificación para que el usuario tome las medidas oportunas.
Cuestión de matices
La privacidad, al igual que la seguridad, no es absoluta. Desde el momento en el que una aplicación empieza a registrar nuestros movimientos, se crea una información que pone en peligro nuestra privacidad. El principal riesgo de los sistemas anonimizados son los llamados ataques de enlace, los cuales pueden permitir, si se obtiene acceso a una cantidad suficiente de información para extrapolar con otras fuentes, asociar una serie de datos anónimos a una persona. Por ejemplo, incluso si los datos no salen del dispositivo, un adversario con acceso a ambos registros puede usarlos para confirmar que dos personas se encontraban cerca en un momento dado, y si se conoce la localización de una de ellas, se puede deducir que la otra se encontraba en el mismo lugar. Este riesgo aumenta aún más cuando hablamos de bases de datos centralizadas, especialmente aquellas que contienen datos históricos de ubicación. Si no se protegen adecuadamente, tanto a nivel de infraestructura como legislativo, pueden convertirse en un serio riesgo para la libertad y privacidad de los usuarios. Por último, no debemos olvidar que estos sistemas contienen información altamente sensible, por lo que es imperativo asegurar, en la medida de lo posible, que todo el sistema se encuentra libre de vulnerabilidades, incluyendo el terminal en el que se ejecuta la aplicación.
Como reflexión, me parece destacable que, salvo excepciones, son muchos los gobiernos que están haciendo verdaderos esfuerzos para equilibrar la balanza entre el derecho a la privacidad y las medidas de prevención, lo que sugiere que estamos avanzando en la dirección correcta.