300 científicos acusan al consorcio en el que participa España que desarrolla la app para prevenir contagios de coronavirus de abrir la puerta a "sociedades más vigiladas"
- El Gobierno se adhirió al PEPP-PT, un consorcio europeo que desarrolla tecnología para crear apps que alerten de si te has cruzado con un contagiado con COVID-19.
- La idea del consorcio es crear apps que ayuden a cortar las cadenas de contagios, pero 300 científicos han lanzado un comunicado conjunto en el que advierten de que su propuesta, el protocolo NTK, es un sistema de datos centralizado.
- Los desarrolladores de otro protocolo, el D3-PT, que sí gestiona de forma descentralizada los datos de los usuarios, se han marchado del PEPP-PT y seguirán adelante con su proyecto.
- El Gobierno continúa adherido al PEPP-PT, aunque fuentes del Ministerio de Economía avanzan a Business Insider España que están "analizando las diferentes opciones y la evolución de ambos modelos".
- Descubre más historias en Business Insider España.
Todo el mundo trabaja a destajo para tener aplicaciones en los teléfonos con las que, mediante Bluetooth, los ciudadanos podrán saber si se han cruzado por la calle con un infectadocon COVID-19.
De este modo, quienes se hayan visto expuestos a un contagiado podrán aislarse en casa mientras el resto de la sociedad levanta el confinamiento. Así se controlarán los rebrotes de coronavirus. Sin embargo, el PEPP-PT, el consorcio europeo que desarrollaba la tecnología para crear estas apps, acaba de estallar en pedazos.
Lo están acusando de ser "una organización opaca" cuyo objetivo "parece ser crear un sistema centralizado de rastreo" de la población. De momento, el Gobierno de España se adhirió a este consorcio a través de la Secretaría de Estado de Digitalización e Inteligencia Artificial.
Business Insider España ha consultado si esta polémica ha variado algo la postura del Gobierno. El Ministerio de Economía avanzó que siguen "analizando las diferentes opciones y la evolución de ambos modelos". Este lunes, la Secretaría de Estado de Digitalización tuiteó la aproximación de la UE a la tecnología que desarrollará estas apps, pero no hizo mención alguna a la descentralización de la gestión de los datos, el eje de toda la polémica.
"El PEPP-PT es una organización liderada por solo una persona, Hans-Christian Boos, con muchos contactos con el Gobierno alemán, cuyo objetivo parece ser crear un sistema centralizado de rastreo de contactos". Así de contundente se mostraba en El ConfidencialMichael Michael Veale, uno de los desarrolladores que participaron en el PEPP-PT desde sus inicios.
La nueva solución del consorcio que apoya España podría crear "sociedades más vigiladas"
Ahora la polémica va a más: más de 300 científicos de 25 países han firmado una carta conjunta. En ella advierten —sin mencionar al PEPP-PT— que algunas "soluciones" para trazar contactos y prevenir contagios de coronavirus podrían desembocar en sistemas "con sociedades más vigiladas".
En un principio, el PEPP-PT abrazó un protocolo que ya desarrollaban investigadores suizos, belgas, neerlandeses, alemanes, italianos y británicos: el D3-PT. La virtud de este protocolo es que proponía una gestión de la información de los ciudadanos de forma descentralizada.
Sin embargo, a finales de la semana pasada, y de forma sorpresiva, el PEPP-PT anunció otra propuesta, desarrollada por investigadores solo germanos: el NTK. Y su gestión sería centralizada. Esto, para los firmantes de la carta, es un problema.
"Algunas propuestas [para rastrear contactos entre ciudadanos] basadas en Bluetooth respetan el derecho individual a la privacidad, mientras que otras abren la puerta a que gobiernos o empresas privadas vigilen a la población, lo que dañaría la confianza de los ciudadanos en este tipo de apps", explican los expertos en su carta.
Contar con la confianza de los ciudadanos es esencial para que apps de prevención de epidemias sean eficaces. En España será necesario que se la descarguen más de 23 millones de personas cuando esté disponible.
Por qué no convence la nueva propuesta del PEPP-PT que centralizará los datos de los ciudadanos
Frente al protocolo D3-PT, la solución NTK que ahora ofrece el consorcio europeo centraliza la gestión de los datos en servidores. Estos serán los encargados de encriptar la identidad de los ciudadanos. Las preocupaciones no son solo la de investigadores y científicos: Business Insider España ya publicó la semana pasada las 10 condiciones que debían tener las aplicaciones de rastreo según el Computer Chaos Club. El CCC es una de las asociaciones de hackers más grandes de Europa.
Así, el CCC advertía que los datos de los ciudadanos no podrían ser gestionados de forma centralizada y que las claves cifradas de la tecnología deberían ser temporales y no vinculables. Además, los usuarios deberían contar con la garantía de permanecer anónimos.
Tras conocerse la "solución alemana" NTK, los investigadores del DP-3T lanzaron un comunicado en el que advertían de lo que les preocupaba por la privacidad de los usuarios.
Así funciona la polémica solución del PEPP-PT y estas son sus ciberamenazas
El funcionamiento de NTK, explicado de forma somera, es el siguiente: cuando se instala una aplicación que traza los contactos en un teléfono móvil, un servidor le atribuye al dispositivo una clave de identificación "persistente" que se crea y asocia con el terminal. Esa clave, mediante procesos de cifrado, genera varias claves de menor entidad que son las que se retransmiten por Bluetooth. El cifrado de esas claves varía mensualmente.
Una vez se detecta un positivo por COVID-19, todas las comunicaciones recibidas las últimas 3 semanas por Bluetooth se suben, incluyendo metadatos e información de los dispositivos que intervinieron en la retransmisión. El servidor entonces desencripta las claves del positivo y sus comunicaciones, e identifica de este modo a los usuarios que se expusieron a un contagiado.
Los desarrolladores de DP-3T han compartido un análisis con las principales ciberamenazas que han detectado en este protocolo. Por un lado, que la persona que reciba la alarma por haberse cruzado con un positivo por COVID-19 es capaz de deanonimizar los datos de los códigos encriptados recibidos si se arma de paciencia y crea varias cuentas en la app. Además, los hackers podrían introducir códigos de quienes no estuvieron expuestos a un infectado, generando falsos positivos.
Además, apps como las que propone el PEPP-PT con NTK exigirían que la aplicación estuviese en funcionamiento constante, lo que provocaría que muchos iPhone no podrían bloquearse por seguridad, por lo que si se roba un iPhone durante la pandemia de coronavirus los datos de sus usuarios podrían verse expuestos con suma facilidad.
Instituciones se marchan del PEPP-PT mientras Europa o España no hacen ninguna mención a descentralizar los datos
Uno de los responsables del proyecto D3-PT, que aboga por la gestión descentralizada —y por extensión, más segura y garantista— de los datos, explicaba en El Confidencialque el Gobierno español anunció su apoyo al PEPP-PT pensando que era en realidad el D3-PT. "Creemos que es necesario que el Gobierno de España y otros gobiernos, como Dinamarca y Holanda, aclaren este malentendido".
Desde que el PEPP-PT presentó su solución NTK, el goteo de abandonos ha sido constante. La Universidad Católica de Lovaina, de Bélgica, lo hizo el pasado domingo. Se sumaba así a una lista que recogía Veale, del proyecto D3-PT, a través de su cuenta de Twitter. Instituciones italianas, alemanas o suizas también han anunciado que dejaban el proyecto.
Muchos de los protagonistas de esta sangría están recalando en el proyecto D3-PT, que seguirá trabajando en su propuesta de una tecnología Bluetooth respetuosa con la privacidad de los usuarios mediante una gestión descentralizada. De momento, del Gobierno de España y de su adhesión, no hay noticias.
Otros artículos interesantes:
Descubre más sobre Alberto R. Aguiar, autor/a de este artículo.
Conoce cómo trabajamos en Business Insider.