La pandemia provocada por la COVID-19 ha movilizado una serie de recursos encaminados a detener la propagación del virus. Una de las iniciativas que más importancia está teniendo en estos días es la puesta marcha de la aplicación Radar COVID, cuyo uso está generando muchas polémicas, llegando a cuestionarse si mantiene la debida privacidad sobre los datos personales y su tratamiento, pero también sobre el funcionamiento y la efectividad del rastreo.
Este boletín esta redactado en un intento de despejar todas las dudas y de aclarar las preguntas más frecuentes relativas a la citada aplicación.
La aplicación Radar COVID, desarrollada por el Gobierno de España ya está lista para su entrada en producción1. Este sistema utiliza la tecnología Bluetooth de los smartphones para determinar cuándo dos personas han estado lo suficientemente cerca y el tiempo necesario como para contagiarse entre sí (en caso de que una de ellas contenga el virus).
Su uso ha generado muchas polémicas, llegando a cuestionarse si mantiene la debida privacidad sobre los datos personales y su tratamiento, pero también sobre el funcionamiento y la efectividad del rastreo.Este boletín trata de despejar todas las dudas y aclarar las preguntas más frecuentes relativas a la aplicación.
Son estas:
No, su instalación es completamente voluntaria. Usted puede elegir instalarla o no en el teléfono. También puede dejar de usar la aplicación cuando quiera, desinstalarla o incluso desactivarla. Es una decisión personal del usuario.
La aplicación es totalmente anónima. No recoge ningún dato del usuario (nombre, teléfono, domicilio, etc.). Tampoco recoge datos sobre la geolocalización del usuario, ni los datos del GPS.
La aplicación solo notifica si has estado en contacto con alguien positivo (en un margen de exposición considerado de riesgo), pero en ningún caso se conocerá quién fue la persona que dio positivo, ni cuándo se produjo ese contacto y ni tampoco el lugar.
La tecnología de base es un protocolo de comunicaciones desarrollado por un equipo de investigadores internacionales independientes, denominado DP-3T (Decentralized Privacy Preserving Proximity Tracing).
Es un protocolo de código abierto y ya se encuentra publicado2. Por tanto, puede ser ‘auditado’ por cualquier persona interesada en ello para revisarlo y detectar errores. Este protocolo ha sido incorporado por Google y Apple en los sistemas operativos de sus smartphones (móviles con Android y iPhone).
Para que las aplicaciones puedan hacer uso de este protocolo, Google y Apple han tenido que desarrollar un API denominado ENS (Exposure Notification System o Sistema de Notificación de Exposición).
Finalmente, la aplicación Radar COVID utiliza tecnología Bluetooth Low Energy (BLE) para el intercambio de mensajes entre móviles. Bluetooth fue originalmente diseñado para aplicaciones continuas de transmisión de datos pero requiere un cierto consumo de energía, lo cual muchas veces no es viable en dispositivos móviles. Bluetooth Low Energy está diseñado para proporcionar un bajo consumo de energía a un costo considerablemente reducido, manteniendo un rango de alcance de comunicación similar. A diferencia del Bluetooth clásico, BLE permanece en modo de suspensión constantemente, excepto cuando se inicia una conexión.
SI, pero eso solo ocurre en los dispositivos Android y no afecta a los dispositivos con iOS.
Este ha sido el mayor tema de debate entre la comunidad de seguridad informática. Para que el sistema de rastreo funcione, además de tener activado el Bluetooth, también es necesario activar la Geolocalización. Es consecuencia de decisiones tomadas anteriormente sobre la arquitectura de Android y que viene sucediendo desde la versión Android 6.0 y que afecta a muchas otras aplicaciones que utilizan Bluetooth.
Google explica que la tecnología de rastreo no necesita de la geolocalización y que ya están trabajando para tratar de corregirlo y desvincular ambas funciones en futuras actualizaciones del sistema. Pero de momento habrá que aceptar lo que hay.
La idea es que solo organismos de sanidad públicos validados por los gobiernos de cada país podrán tener acceso a esta API. Por tanto, el API no estará al alcance de cualquier desarrollador o empresa. Además, en el mundo Android y para distinguirlo fácilmente, las aplicaciones oficiales (y solo ellas) deben usar un distintivo de notificaciones de exposición con forma de sol rojo.
Las que no cuentan con ese distintivo no utilizan este sistema. Ya se han detectado algunas app fraudulentas, por lo que se recomienda la importancia de usar las aplicaciones oficiales.
Ninguno. El Gobierno no puede obtener ningún dato personal. Tampoco la ubicación. La información que se recopila a través de la API de exposición se quedan en el dispositivo, está encriptada, es anónima y solo se guarda durante un periodo de 14 días. En este sentido el diseño de esta tecnología permite ser respetuoso con la privacidad de los usuarios.
La licencia libre del protocolo DP-3T obliga a que las tecnologías que lo usen tendrán que ser también libres. Por ese motivo, si no se liberase el código de la app se estaría incumpliendo la licencia.
La iniciativa Public Money, Public Code!, promovida por la Free Software Foundation Europe3 aboga por “una legislación que permita que el software desarrollado para el sector público y financiado con recursos públicos esté disponible públicamente bajo una licencia de Software Libre y Código Abierto”.
Declarar el código como ‘abierto’ (Open Source), no sólo permitiría su auditoría y el cumplimiento de la licencia, también que personas con conocimientos técnicos pudieran proponer mejoras. Es la práctica que han realizado el resto de gobiernos europeos y que ya vienen adoptando numerosas administraciones públicas en el Estado Español para proyectos de desarrollo informático”.
La Secretaría de Estado para la Digitalización y la Inteligencia Artificial ha confirmado que la aplicación sería de código abierto y aunque el código no ha sido publicado aún, se espera que se anuncie en próximas fechas.
NO. Las características técnicas del protocolo DP-3T y del API ENS, obligan a disponer en los móviles de las siguientes versiones (o superiores) del sistema operativo:
(Apple está valorando la posibilidad de desarrollar una versión 12.4.9 para iOS, que haga uso de las funciones del protocolo DP-3T, pero en estos momentos no hay decisión firme al respecto)
Para comprobar si lo tiene instalado, siga la siguiente ‘ruta’:
Además, para que funcione la aplicación y que el terminal móvil pueda intercambiar los identificadores aleatorios con otros dispositivos, las notificaciones deben estar activadas. También para que le avise de las posibles exposiciones.
La aplicación pide tener acceso a la Conexión de internet y al Bluetooth. También solicita impedir que tu teléfono entre en modo ahorro de energía y de suspensión (ya que esto deshabilita el Bluetooth). Existen otros permisos, pero ninguno que afecte a la privacidad de las personas.
En general, la aplicación es mucho menos intrusiva que otras muchas aplicaciones ampliamente usadas por los ciudadanos. Como se puede ver en la siguiente tabla, Radar COVID apenas pide permisos:
Cualquiera que use este tipo de aplicaciones en sus dispositivos, no debería tener reparo a usar Radar COVID.
A la hora de descargar una aplicación, especialmente una tan delicada como Radar COVID, es fundamental emplear siempre las tiendas oficiales de los dispositivos. Estas son Google Play Store y Apple Store, en el caso de Android e iOS respectivamente. En internet hay infinidad de páginas web en las que se oferta la descarga de «apps» para teléfonos móviles que no están disponibles en los sitios oficiales.
El hecho de que su origen sea desconocido, y que, en principio, las marcas no confíen en ellas para ofertarlas, es un claro indicador de que podrían ser maliciosas.
Un ejemplo de este tipo de aplicaciones sería a app Coronavirus Finder4 o COVID Alert5.
Para iPhone busque Radar COVID en la App Store.
https://apps.apple.com/es/app/radarcovid/
id1520443509
Para Android. Entre en Google Play Store y busque Radar
COVID.
https://play.google.com/store/apps/details?id=e
s.gob.radarcovid&hl=es_419
SI. Radar COVID es una aplicación gratuita sin ningún tipo de coste para el usuario, por lo que no debe preocuparse en este sentido. Únicamente tendrá que descargarla e instalarla.
Da igual las veces que la desinstale e instale de nuevo, no tendrá que pagar nada por su uso, siempre será gratuita para todos los usuarios que deseen tenerla en su móvil. 6
Cada dispositivo crea una clave de exposición temporal. Esta clave se comparte por Bluetooth con otros dispositivos cuando estos han estado cerca (2 metros o menos) y han mantenido contacto durante un periodo de 15-20 minutos. La clave se renueva cada 10-20 minutos. El dispositivo guarda en el sistema las claves que ha auto-generado y también las recibidas desde otros dispositivos con los que ha tenido contacto.
El dispositivo guarda la información acumulada de los últimos 14 días (el periodo de incubación del virus).
Si a alguno de los usuarios da positivo tras una prueba, el sanitario le asignará un código alfanumérico aleatorio y anónimo que el usuario debe introducir en la aplicación. Esto hace que el dispositivo envíe a un sistema central todos los códigos que ha auto-generado en los últimos 14 días.
Los dispositivos que tienen la aplicación consultan regularmente en ese sistema central, todos los códigos que se han subido, para comprobar si alguno de ellos coincide con los que tiene almacenados en su móvil (procedente de los contactos que ha establecido y con los que ha intercambiado claves). Un determinado número de coincidencias establecerá que ha habido una exposición que justifique una alerta y realizará una recomendación sobre qué hacer a continuación, con arreglo a los protocolos establecidos por los Servicios Sanitarios de su Comunidad.
La privacidad de las personas es un asunto delicado y complejo. Frente a un determinado nivel de exposición, cada persona reacciona de forma diferente según su grado de sensibilidad y aversión al riesgo.
En este boletín hemos explicado que la aplicación Radar COVID es mucho más respetuosa con los datos personales y la privacidad del usuario, que muchas aplicaciones de uso generalizado que usamos en nuestro día a día, por lo que no debería ser un problema para la mayoría de la gente.
Es cierto que la activación de los servicios de Bluetooth permite determinados tipos de ataques al dispositivo, pero también es cierto que el uso cotidiano de esta tecnología está igualmente muy extendido. Un ejemplo claro es la asociación del móvil con los relojes inteligentes (los conocidos como ‘smartwatches’), las pulseras de actividad o incluso con el “manos libres” del coche para recibir llamadas telefónicas. Por tanto, aquellas personas que activan estas tecnologías en sus móviles, no deberían tampoco ser reticentes a hacer uso de la aplicación Radar COVID.
Dicho esto, hay que insistir en la necesidad de mantener separada la vida personal y la vida profesional. La exposición al virus SARS-COV-2, es un tema de salud personal, que queda en la esfera privada de los usuarios y que debería ser ajeno a los asuntos profesionales y por tanto a los móviles corporativos.
ElMCCE al igual que otros CERT6 de referencia (CCN-CERT e INCIBE) siempre recomendará limitar en lo posible el grado de exposición de los dispositivos corporativos/profesionales, de forma que las funcionalidades como Bluetooth, la geolocalización y otras (WiFi, AirDrop, …), solo se activen en caso necesario, desactivándolas en cuanto dejen de utilizarse. El uso continuado y permanente del Bluetooth que exige la aplicación, sumado a la separación que debe existir entre la persona y el cargo, aconsejan no instalarla en los móviles corporativos/profesionales.
Referencias del documento:
Articulo refundido y modificado por la Subdelegación de Defensa en Campo de Gibraltar.
Artículo publicado en el Boletín de Concienciación del Mando Conjunto de Ciberdefensa.
¿Eres un proveedor de soluciones TIC y quieres aparecer en este portal?
¿Eres una empresa y no encuentras lo que estás buscando?