Cómo resumirías las principales claves de la solución tecnológica que proponen?
Uno de los tipos de datos personales más importantes, más privados y más protegidos por los derechos fundamentales, por las leyes internacionales y por los organismos privados debe de ser siempre aquel de caracter sanitario. Una pandemia, que es una amenaza a la que nos hemos enfrentado anteriormente, aunque ahora en una era totalmente digital, no es razón suficiente para modificar este derecho fundamental de cada individuo. Justificar las bondades de digitalizarlo todo no es suficiente motivo para renunciar a derechos irrenunciables que nos protegen ante un totalitarismo digital.
Ante este tipo de noticia, me enfrento a las dos caras de la tecnología, la que me afecta como individuo y la que me afecta como hacker experto en ciberseguridad.
La que me afecta como persona, me obliga a proteger en todo momento la integridad de los datos privados sobre cualquier otro interés común. El interés común no debe ser alcanzado a base de obligar a la renuncia de los derechos fundamentales de cada ciudadano.
Como hacker, pienso que todo debe ser analizado , toda la información debe de ser contrastada antes de decidir utilizarla como base de un proyecto de estas dimensiones. Deben de cuestionarse todas las fuentes y cualquier proyecto debe de ser probado concienzudamente antes de ser publicado.
Observando el caso como un proyecto que pretende ayudar a la sociedad ante los peligros del COVID-19, creo que tampoco nos beneficiaría tanto vivir planteandonos si cualquier persona a la que hayamos estado expuestos, sea el vecino de la puerta contigua, o el repartidor de comida a domicilio, o cualquiera que pase junto a mí en el supermercado… puedan estar infectados. No me parece tan útil, ni creo que solucione demasiados problemas de salud, aunque sin embargo, sí que nos obligará a crecer en paranoia, en odio o en recelo hacia los demás. Se ha estudiado lo que aportaría esto a la sociedad a nivel sanitario o psicologico? Qué pasaría si la aplicación detectara constantemente un positivo cuando estoy en casa…quizás un vecino?
¿Qué crees que pueden aportar Google y Apple que no hayan llegado iniciativas locales como la de Singapur o Corea del Sur, que tantos elogios han recibido?
Primero que nada, como ya indiqué anteriormente, cuando se realiza un proyecto de estas dimensiones, podemos basarnos en las famosas iniciativas «que tanto éxito han tenido» en países totalitaristas, como la base de las virtudes para este proyecto. Pero eso significa que ahora damos por «información contrastada y totalmente válida» la información censurada que recibimos de estos paises respecto a los beneficios de sus sistemas digitales en el control de la epidemia.
Y ahora resulta que ésta es «información contrastada para nosotros», cuando ni siquiera podemos confirmar de forma cierta el número de afectados, fallecidos o la repercusión real de los datos de vigilancia digital de los ciudadanos en la lucha contra la pandemia dentro de estos paises. Por lo tanto, si fallan las bases que justifican este proyecto, el proyecto en sí es cuestionable y más cuando viene de paises digitalmente totalitarios.
Actualmente los desarrolladores, Apple y Google indican que el usuario a través de una APP oficial de cada gobierno introduciría el dato de ser positivo en COVID de forma voluntaria y personal. Pero el marco legal, de privacidad y normativo cambian constantemente y quién garantiza que esto no cambien en un tiempo y sea el propio gobierno quien introduzca a través del sistema sanitario estos datos desde los test de COVID de sus hospitales y centros de salud? Recordemos que esta información sobre Apple y Google que manejamos hoy ya se preparaba hace semanas/meses por parte de los fabricantes y que casualmente el marco normativo español cambió hace días preparándose para esta tecnología.
¿Crees que es posible tirando del bluetooth y no del GPS ofrecer un rastreo efectivo de estos contactos?
Técnicamente sí que lo es. Bluetooth ofrece también tecnologías de localización cercanas que se pueden relacionar con el GPS del dispositivio inteligente. No debemos olvidar que ya se geolocaliza de forma constante en los smartphones por parte de Google y Apple, algo que ya les permite obtener de forma constante la localización de cualquier individuo. No se puede valorar esta iniciativa como algo único e independiente. La información que se obtiene siempre puede ser agregada a otras fuentes, como la geolocalización en tiempo real de los dispositivos. Si ya poseo un registro de la localización de un usuario, día tras día, hora tras hora, minuto y minuto, segundo tras segundo… puedo conrastar, comparar esta información con cualquier otra, como la del bluetooth para agregar datos que permitan próximamente desanonimizarla. Ejemplo: tengo una lista de identificadores anónimos de móviles que han pasado hoy junto a mí. Mañana vuelvo a hacer el mismo recorrido, me tropiezo con las mismas personas o similares y recopilo también información de identificadores anónimos. Al tercer día, hago lo mismo, pero me informa de que me he tropezado un con positivo de COVID. Por lógica puedo identificar mentalmente quién pudo ser. A nivel digital, para las grandes compañías como estas, es aún más facil desanonimizar la información, ya que disponen de suficiente información para comparar esta base de datos local con otras de mayor alcance, como la de geolocalización de dispositivos por lugares comunes, etc.
¿Con la información que han publicado se puede presuponer que los datos realmente privados y que no?
Es dificil afirmar que algo determinado es privado a día de hoy. La tecnología indica que la información se queda durante catorce días en el dispositivo de cada persona, hasta que se introduce un positivo en la aplicación.
Esta tecnología no se trata de una simple aplicación sino de una gran modificación en la pila de Bluetooth de los sistemas operativos basados en Android de Google e iOS de Apple. Se implementa a través de unas actualizaciones en los teléfonos y no de una simple APP que instalamos, lo que da al dispositivo todo el control sobre lo que se hace, sobre lo que se recopila, lo que se almacena o lo que se envía. Es un cambio radical en la tecnología y como tal es peligroso.
Siempre he defendido la idea de que lo que hoy es un dato privado, protegido o cifrado, no significa que mañana no se pueda, mediante la tecnología o el cibercrimen, convertir en un dato público y accesible. Una base de datos cifrada con un tipo de cifrado de hace diez años se puede facilmente romper hoy para descifrar y extraer su información. Por lo tanto no podemos, al manejar datos tan privados o confidenciales pensar desde un punto de vista cortoplacista.
Qué pasaría si otra aplicación (como una APP de juegos) accede a la información guardada por este protocolo y la envía a su nube, además de utilizar su propia geolocalización del juego para agregar más datos? Se generaría un riesgo de filtración de datos que nada tendría que ver con Google o Apple, pero que se produce en sus dispositivos.
¿Cuáles son las principales dudas que te genera?
Moxie Marlinspike, uno de los principales criptógrafos prácticos actuales y desarrolador del sistema de cifrado de Whatsapp afirma que hay graves dudas de seguridad en este planteamiento. Se podría, desde atacar al sistema generando falsa información, denegar el servicio impidiendo que funcione correctamente, o generar falsos positivos impidiendo que los datos sean fiables y útiles .
Personalmente dudo de las bondades de este sistema, además de la seguridad del mismo en su aplicación real. Además este tipo de tecnologías son muy «fáciles» de implementar pero resultan, por experiencia, difíciles de desimplementar. Si de verdad es una solución provisional para este caso de alarma, se debería dejar claro que se desimplentará definitivamente tras la alarma.
