300 científicos acusan al consorcio en el que participa España que desarrolla la app para prevenir contagios de coronavirus de abrir la puerta a "sociedades más vigiladas"

Un miembro de la guardia real sujeta un movil con un equipo de protección contra el coronavirus
Reuters
  • El Gobierno se adhirió al PEPP-PT, un consorcio europeo que desarrolla tecnología para crear apps que alerten de si te has cruzado con un contagiado con COVID-19.
  • La idea del consorcio es crear apps que ayuden a cortar las cadenas de contagios, pero 300 científicos han lanzado un comunicado conjunto en el que advierten de que su propuesta, el protocolo NTK, es un sistema de datos centralizado.
  • Los desarrolladores de otro protocolo, el D3-PT, que sí gestiona de forma descentralizada los datos de los usuarios, se han marchado del PEPP-PT y seguirán adelante con su proyecto.
  • El Gobierno continúa adherido al PEPP-PT, aunque fuentes del Ministerio de Economía avanzan a Business Insider España que están "analizando las diferentes opciones y la evolución de ambos modelos".
  • Descubre más historias en Business Insider España.

Todo el mundo trabaja a destajo para tener aplicaciones en los teléfonos con las que, mediante Bluetooth, los ciudadanos podrán saber si se han cruzado por la calle con un infectado con COVID-19. 

De este modo, quienes se hayan visto expuestos a un contagiado podrán aislarse en casa mientras el resto de la sociedad levanta el confinamiento. Así se controlarán los rebrotes de coronavirus. Sin embargo, el PEPP-PT, el consorcio europeo que desarrollaba la tecnología para crear estas apps, acaba de estallar en pedazos. 

Leer más: España tendrá que comunicar antes de junio cómo rastreará a los ciudadanos para combatir el coronavirus

Lo están acusando de ser "una organización opaca" cuyo objetivo "parece ser crear un sistema centralizado de rastreo" de la población. De momento, el Gobierno de España se adhirió a este consorcio a través de la Secretaría de Estado de Digitalización e Inteligencia Artificial. 

Business Insider España ha consultado si esta polémica ha variado algo la postura del Gobierno. El Ministerio de Economía avanzó que siguen "analizando las diferentes opciones y la evolución de ambos modelos". Este lunes, la Secretaría de Estado de Digitalización tuiteó la aproximación de la UE a la tecnología que desarrollará estas apps, pero no hizo mención alguna a la descentralización de la gestión de los datos, el eje de toda la polémica.

"El PEPP-PT es una organización liderada por solo una persona, Hans-Christian Boos, con muchos contactos con el Gobierno alemán, cuyo objetivo parece ser crear un sistema centralizado de rastreo de contactos". Así de contundente se mostraba en El Confidencial Michael Michael Veale, uno de los desarrolladores que participaron en el PEPP-PT desde sus inicios.

La nueva solución del consorcio que apoya España podría crear "sociedades más vigiladas"

Ahora la polémica va a más: más de 300 científicos de 25 países han firmado una carta conjunta. En ella advierten —sin mencionar al PEPP-PT— que algunas "soluciones" para trazar contactos y prevenir contagios de coronavirus podrían desembocar en sistemas "con sociedades más vigiladas".

Leer más: Apple y Google se alían para crear una forma de que tu móvil te alerte si has estado en contacto con alguna persona contagiada con el coronavirus

En un principio, el PEPP-PT abrazó un protocolo que ya desarrollaban investigadores suizos, belgas, neerlandeses, alemanes, italianos y británicos: el D3-PT. La virtud de este protocolo es que proponía una gestión de la información de los ciudadanos de forma descentralizada.

Sin embargo, a finales de la semana pasada, y de forma sorpresiva, el PEPP-PT anunció otra propuesta, desarrollada por investigadores solo germanos: el NTK. Y su gestión sería centralizada. Esto, para los firmantes de la carta, es un problema.

"Algunas propuestas [para rastrear contactos entre ciudadanos] basadas en Bluetooth respetan el derecho individual a la privacidad, mientras que otras abren la puerta a que gobiernos o empresas privadas vigilen a la población, lo que dañaría la confianza de los ciudadanos en este tipo de apps", explican los expertos en su carta.

Contar con la confianza de los ciudadanos es esencial para que apps de prevención de epidemias sean eficaces. En España será necesario que se la descarguen más de 23 millones de personas cuando esté disponible.

Leer más: España tendrá una app para que puedas vigilar contagios de coronavirus entre tus vecinos, pero no será efectiva hasta que se la descarguen 23 millones de personas

Por qué no convence la nueva propuesta del PEPP-PT que centralizará los datos de los ciudadanos

REUTERS/Hamad I Mohammed

Frente al protocolo D3-PT, la solución NTK que ahora ofrece el consorcio europeo centraliza la gestión de los datos en servidores. Estos serán los encargados de encriptar la identidad de los ciudadanos. Las preocupaciones no son solo la de investigadores y científicos: Business Insider España ya publicó la semana pasada las 10 condiciones que debían tener las aplicaciones de rastreo según el Computer Chaos Club. El CCC es una de las asociaciones de hackers más grandes de Europa.

Así, el CCC advertía que los datos de los ciudadanos no podrían ser gestionados de forma centralizada y que las claves cifradas de la tecnología deberían ser temporales y no vinculables. Además, los usuarios deberían contar con la garantía de permanecer anónimos.

Tras conocerse la "solución alemana" NTK, los investigadores del DP-3T lanzaron un comunicado en el que advertían de lo que les preocupaba por la privacidad de los usuarios.

Así funciona la polémica solución del PEPP-PT y estas son sus ciberamenazas

El funcionamiento de NTK, explicado de forma somera, es el siguiente: cuando se instala una aplicación que traza los contactos en un teléfono móvil, un servidor le atribuye al dispositivo una clave de identificación "persistente" que se crea y asocia con el terminal. Esa clave, mediante procesos de cifrado, genera varias claves de menor entidad que son las que se retransmiten por Bluetooth. El cifrado de esas claves varía mensualmente.

Una vez se detecta un positivo por COVID-19, todas las comunicaciones recibidas las últimas 3 semanas por Bluetooth se suben, incluyendo metadatos e información de los dispositivos que intervinieron en la retransmisión. El servidor entonces desencripta las claves del positivo y sus comunicaciones, e identifica de este modo a los usuarios que se expusieron a un contagiado.

Leer más: La mayor asociación de hackers de Europa exige 10 condiciones a las apps de los gobiernos para rastrear el coronavirus para preservar la privacidad de los ciudadanos

Los desarrolladores de DP-3T han compartido un análisis con las principales ciberamenazas que han detectado en este protocolo. Por un lado, que la persona que reciba la alarma por haberse cruzado con un positivo por COVID-19 es capaz de deanonimizar los datos de los códigos encriptados recibidos si se arma de paciencia y crea varias cuentas en la app. Además, los hackers podrían introducir códigos de quienes no estuvieron expuestos a un infectado, generando falsos positivos.

Además, apps como las que propone el PEPP-PT con NTK exigirían que la aplicación estuviese en funcionamiento constante, lo que provocaría que muchos iPhone no podrían bloquearse por seguridad, por lo que si se roba un iPhone durante la pandemia de coronavirus los datos de sus usuarios podrían verse expuestos con suma facilidad.

Instituciones se marchan del PEPP-PT mientras Europa o España no hacen ninguna mención a descentralizar los datos

Uno de los responsables del proyecto D3-PT, que aboga por la gestión descentralizada —y por extensión, más segura y garantista— de los datos, explicaba en El Confidencial que el Gobierno español anunció su apoyo al PEPP-PT pensando que era en realidad el D3-PT. "Creemos que es necesario que el Gobierno de España y otros gobiernos, como Dinamarca y Holanda, aclaren este malentendido".

Leer más: Miles de artículos científicos sobre el coronavirus que hay en internet son gratis gracias a este hacker, que pirateó 5.000 y los filtró en Reddit

Desde que el PEPP-PT presentó su solución NTK, el goteo de abandonos ha sido constante. La Universidad Católica de Lovaina, de Bélgica, lo hizo el pasado domingo. Se sumaba así a una lista que recogía Veale, del proyecto D3-PT, a través de su cuenta de Twitter. Instituciones italianas, alemanas o suizas también han anunciado que dejaban el proyecto.

Muchos de los protagonistas de esta sangría están recalando en el proyecto D3-PT, que seguirá trabajando en su propuesta de una tecnología Bluetooth respetuosa con la privacidad de los usuarios mediante una gestión descentralizada. De momento, del Gobierno de España y de su adhesión, no hay noticias.

LEER TAMBIÉN: La fórmula mágica de Amancio Ortega para crear su imperio inmobiliario: ubicaciones 'prime', mercados estables y edificios terminados y con inquilinos

LEER TAMBIÉN: El ingeniero español que lidera el desarrollo de un motor que podría revolucionar la aviación

LEER TAMBIÉN: Esperar a rescatar el plan de pensiones al año siguiente a jubilarte tiene premio

VER AHORA: Por qué EEUU quiere prohibir TikTok y qué busca Microsoft con su compra: las claves del culebrón tecnológico de este verano

    Más:

  1. Coronavirus
  2. Ciberseguridad
  3. Aplicaciones
  4. Gobierno de España
  5. Trending
  6. Top
  7. Apple
  8. Google