La app española de rastreo de contactos Radar Covid tiene una brecha de seguridad desde la semana del 5 de octubre. Pese al conocimiento de dicha vulnerabilidad, a día de hoy no existen pruebas de que haya sido explotada. Supone un nuevo golpe a la ya de por sí escasa confianza de los ciudadanos en el estado y las soluciones tecnológicas para frenar la pandemia.
¿En qué consiste esta vulnerabilidad?
Se trata de una brecha de seguridad que deja al descubierto qué usuarios de la aplicación dan positivo por coronavirus. La información compartida en la app es anónima y está codificada, de modo que lo que queda expuesto es desde qué dispositivos han comunicado positivos. Sin embargo, cotejar esta información no es demasiado difícil.
Cuando se confirma un positivo, el usuario en cuestión recibe un código de su Comunidad Autónoma. Al introducirlo en el programa, éste comparte con su servidor las claves que el móvil ha compartido con otros dispotivos con los que ha tenido un contacto estrecho en los últimos 14 días.
Al contrario que en otras aplicaciones europeas de este tipo, que simulan tráfico aleatorio para disfrazar los positivos reales, en Radar Covid las comunicaciones de los usuarios solo se dan tras la confirmación de que están contagiados. La app española no tenía tráfico falso hasta el día 9 de octubre, por lo que los intercambios de información hasta esa fecha hablan por sí mismos.
En cualquier caso, y a pesar de la inclusión de movimientos ficticios, el tamaño de las comunicaciones podría revelar sus significado. Sumándole que generalmente los usuarios utilizan los mismos o idénticos perfiles en las plataformas que utilizan, cotejar las identidades con los positivos se antoja sencillo para cualquiera con acceso al tráfico: operadoras de telefonía e internet y el gigante norteamericano Amazon, propietario del software.
¿Podría haberse sabido?
Desde abril hemos hablado de los retos para la privacidad que supone buscar una solución tecnológica a la pandemia a ritmo de contrarreloj. La gran mayoría de las aplicaciones que se han generado durante estos meses para monitorizar la evolución del coronavirus se han creado a la carrera y, visto lo visto, no con todas las garantías de seguridad. La sociedad desconfía de una solución tecnológica para controlar la expansión del virus.
Por desgracia, este tipo de noticias no hacen más que empeorar la confianza de los ciudadanos españoles. La sensación que tenemos es que si bien podemos poner todo el conocimiento tecnológico y digital para combatir esta pandemia, el crédito de una app que podría ayudar a la lucha contra la epidemia se ha visto afectado aún más. Sorprende además la opacidad y retraso de la comunicación de la vulnerabilidad.
¿Por qué se ha retrasado el anuncio?
Las legislaciones española y Europea obligan al Gobierno a poner en conocimiento del público y de la Agencia Española de Protección de Datos (AEPD) una situación de este tipo. A pesar de haber conocido éste problema desde el pasado 28 de septiembre, el Ejecutivo aduce que “la vulnerabilidad no se hizo pública porque no ha habido constancia de una violación de la seguridad de los datos personales, tal como recoge el artículo 33 del Reglamento”.
Es esencial que los estados adopten medidas preventivas para proteger nuestros datos y que dispongan los medios necesarios para que terceros no tengan acceso a ellos. No podemos ni debemos obstaculizar los avances tecnológicos para hacer frente al COVID-19. En este sentido, es imperativo que las empresas privadas y también los organismos públicos nos sentemos para crear las bases de una alianza para gestionar los datos de las personas de forma sensata.