Mascarilla Digital: ¿Es un virus o una amenaza a la privacidad?

Abogado especialista en Delitos Informáticos y Ciberseguridad

José Adalid Medrano

Costa Rica, aunque un poco tarde, da su primer paso con la aplicación de  notificación de exposición que llamó Mascarilla Digital la cual usa el API de Apple y Google y funciona utilizando la tecnología de bluetooth, lo que permite que dos personas  que tienen el app instalado, intercambien códigos generados aleatoriamente que sirven como prueba de interacción.

¿Es un virus o un Troyano UPAD?

No. Muchas personas se están preguntando si esta aplicación que apareció en sistemas operativos Android es un virus o algo similar, sin embargo, desde la segunda etapa de este API, los sistemas operativos vienen con el sistema pre-instalado, por lo que si la persona lo acepta, puede intercambiar códigos anónimos y estos códigos no son transmitidos a ningún servidor salvo un evento de infección.

A diferencia de UPAD:

1. El sistema se basa en el consentimiento del usuario y aunque venga pre-instalado el usuario debe habilitarlo para que inicie su funcionamiento.
2. El sistema trata con datos anónimos que intercambia entre personas que han habilitado el sistema.

El Ministerio de Salud no puede saber quiénes han recibido una notificación de riesgo, por lo que el aviso únicamente le sirve al individuo para medir el riesgo al que se ha enfrentado.

En el caso de la persona que ha resultado infectada, de acuerdo a la información oficial, recibirá un mensaje de texto con un código que deberá ingresar en la aplicación para que active la función de compartir las claves anónimas generadas por el dispositivo, para que otros puedan cotejar si las han recibido, lo cual es una alarma que se ha tenido un contacto de alto riesgo.

LEA TAMBIÉN: Sistema de Google y Apple avisará a ticos si estuvieron cerca de un positivo por Covid-19

Para que Mascarilla Digital pudiese usar el API de Apple y Google  debió cumplir criterios básicos sobre privacidad, seguridad y control de los datos, porque es un sistema creado para que los gobiernos no tengan acceso a más datos de los necesarios y en este sentido esta app no puede obtener la ubicación del usuario u otra información personal, a diferencia de otras apps que usamos todos los días, las cuales en caso de vulnerabilidades conllevan riesgos mayores. Hace un mes se reportó una vulnerabilidad en este sistema, en Android, que permitía que aplicaciones del sistema de Google tuviesen acceso temporal a estas claves anónimas. Ya fue corregido.

Para Google, la aparición del app en el inicio de un teléfono se debe a un error, pero confirman que para que el sistema funcione es el usuario quien debe habilitarlo.

El próximo miércoles Costa Rica se unirá a la lista de países que utilizan el desarrollo de Google y Apple para rastreo de casos COVID-19. Sin embargo, algunos teléfonos Android desde esta semana han mostrado cambios en su configuración, acá el pronunciamiento Google al respecto: pic.twitter.com/t0jpw2ctwm

— Ministerio de Salud de Costa Rica (@msaludcr) June 13, 2021

Legalidad del sistema.

El sistema de intercambio de claves anónimas se realiza entre participantes que han brindado su consentimiento,  lo cual respeta el principio de consentimiento informado ( Art. 5 de la Ley de Protección de la Persona Frente al Tratamiento de sus Datos Personales).

El sistema no entrega datos de las personas con las que tuvo contacto, por lo que es todavía más respetuoso que lo que exige la ley costarricense, la cual obliga a todo paciente a entregar la información personal de las personas con las que tuvo contacto directo o indirecto

“Asimismo, dicha persona deberá informar a la autoridad de salud sobre las personas con las que haya estado en contacto directo o indirecto y colaborará brindando la información de contacto, como teléfonos y correos electrónicos, que permita informarles sobre el estado y la posibilidad del contagio. Lo anterior no exonera el deber que tiene el Ministerio de Salud de verificar la veracidad de la información de contacto y actualizarla, en caso de ser necesario. (Artículo 160, párrafo tercero, Ley General de Salud)”

Efectividad de las aplicaciones de notificación de exposición.

El éxito de este sistema depende de la confianza del público y por supuesto que la torpeza del gobierno al no anticipar este tipo de situaciones –que han pasado de manera similar en otros países- le va a dificultar su labor .  Las personas pueden instalarla sabiendo que no es un riesgo a su privacidad y el gobierno debe permitir que las comunidades de seguridad informática revisen el código para ver si recuperan un poco de la confianza que se perdió con este primer mal paso.

De mi parte espero que la aplicación resulte un éxito y en ese sentido da un poco de luz un estudio de la Universidad de Oxford del Reino Unido:

“…modeló el impacto de 1,5 millones de notificaciones enviadas por la app del Servicio Nacional de Salud de Reino Unido (NHS por sus siglas en inglés) entre el 1 de octubre y el 31 de diciembre, cuando había casi dos millones de personas con COVID-19. Su análisis mostró que cada persona que dio positivo y utilizó la app para alertar a otros envió una media de 4,4 notificaciones; por lo que deducen que, sin esta intervención, habría habido entre 200.000 y 900.000 casos más en el país.” [MIT Tecnology Review]

¿CÓMO FUNCIONA MASCARILLA DIGITAL?

Una vez que uno de los dos es diagnosticado con Covid-19, con el consentimiento del usuario, sube los códigos de los últimos 14 días, por lo que la otra persona que estuvo en contacto al descargar los códigos anónimos que están vinculados con la persona infectada, puede cotejarla con su base de datos que tiene en el dispositivo y se le aparece alguno de esos códigos significa que tuvo un contacto de riesgo, por lo que debe ser notificado por la autoridad. De acuerdo al Ministerio de Salud funciona de la siguiente manera:

“María y Carlos usan el sistema Mascarilla Digital y tuvieron una conversación con poco distanciamiento. En este tiempo, ambos teléfonos intercambian claves anónimas a través de bluetooth. Las claves no almacenan, ni registran, ni intercambian información personal, tampoco intercambian números de teléfono, ni ubicación o uso de GPS. Las claves serán el único identificativo, en caso de que alguno de ellos resulte positivo, y se les pueda notificar.

Días después, Carlos se realiza la prueba y resulta positivo de COVID-19. A Carlos le llegará un mensaje de texto que indica un código de ocho (8) dígitos, que estará activo por 24 horas, para ser ingresado en la plataforma. Al activar el código Carlos autoriza a la aplicación, a notificar a todos aquellos contactos que estuvieron cerca de él en los últimos 14 días. Los contactos los identifica con las claves anónimas intercambiadas, por lo que Carlos no sabrá a quiénes le notifica, y los que reciben el mensaje, no sabrán quién pudo ser el positivo que les envía la notificación.”

Para mayor claridad puede ver el video y/o gráficos adjuntos:

OTRAS PREGUNTAS INTERESANTES:

1. ¿Dónde se aloja la información de los usuarios?

Los códigos aleatorios se alojan en el dispositivo y si se da un efecto de infección, los códigos se suben al servidor en control de las autoridades, para que otros usuarios puedan descargarlas y verificar si han estado en contacto con otras personas. Estos códigos aleatorios no pueden identificar a una persona, aunque se encuentren en un servidor gubernamental.

2 ¿El servidor almacena las direcciones IP de los usuarios?

No encontré información sobre esto en los documentos que son públicos.  Sin embargo, bajo este sistema hasta donde se sabe los usuarios tendrían contacto con los servidores únicamente cuando suben los códigos en casos de un evento de infección.

3. ¿Apple y Google acceden a mi información personal con este sistema?

No, con este sistema no. Las empresas tecnológicas no recopilan información del usuario vinculada con los eventos de infección o la ubicación generada con la aplicación.  Sin embargo, debe tomar en cuenta que Apple y Google a nivel de sistema operativo, sí le solicitan permiso para acceder a su ubicación precisa y en el caso de Google en conjunto con otras fuentes lo hacen de una forma muy precisa, pero que con este tipo de aplicaciones que usen su API no se les permite acceder a la ubicación, lo que transmite confianza  a la población.

4. ¿Se pueden seguir las trayectorias de los usuarios?

No, de la forma como está creado el sistema no se pueden seguir trayectorias de los usuarios ya que los códigos aleatorios no identifican al individuo, ni tampoco ubicación alguna.

5. ¿Se pueden reconstruir los contactos de una persona través de este sistema?

No, los códigos que se intercambian entre individuos no permiten reconstruir las interacciones de una persona ya que cada código que se comparte va cambiando con el tiempo y no está construido de forma que pueda identificar al usuario, ni a sus contactos