El gobierno del Reino Unido anunció recientemente que cesará el desarrollo de su actual aplicación para el rastreo de contactos. El mismo día, el gobierno canadiense comunicó que estaba desarrollando una. Todo esto ocurrió en la misma semana en que la autoridad de la salud de Noruega tuvo que eliminar todos los datos recopilados a través de su aplicación de seguimiento de contactos y suspendió su uso debido a una decisión de la Norwegian Data Protection Authority, entidad responsable de la protección de datos en Noruega. Y si estos ejemplos no son suficientes para demostrar la confusión total que se vive en estos tiempos, se reportó que la aplicación australiana presenta un error que impide que los iPhone reporten posibles contactos cercanos.
Está claro que no existe una solución única o rápida que resuelva las necesidades individuales de las agencias gubernamentales y de salud del mundo que intentan utilizar la tecnología para ayudar a reducir las tasas de infección del COVID-19.
Según Wikipedia, más de 30 países tienen (o están planeando lanzar) aplicaciones diseñadas para el rastreo de contactos o mantener aislados a los usuarios con el fin de limitar y gestionar la propagación del COVID-19. El ciclo de desarrollo y distribución de estas soluciones tan urgentes no tiene precedentes. Pregunte a los miembros de cualquier equipo de desarrollo de aplicaciones si podrían desarrollar una app y la infraestructura para soportar 100 millones o más de usuarios en menos de tres meses y responderán que no, y eso es después de que dejen de reírse por la sugerencia.
Llegando a un teléfono cerca de ti
El concepto de seguimiento o rastreo de contactos es informar a las personas que pueden haber entrado en contacto con otra persona que ha contraído o está mostrando síntomas de una enfermedad infecciosa, en este caso COVID-19. El destinatario de la notificación puede tomar medidas de precaución, como el autoaislamiento. Esto ha demostrado ser exitoso para ayudar a erradicar otras enfermedades como la viruela y se ha utilizado para controlar otras como la tuberculosis, el sarampión y el VIH. Considerando que un gran porcentaje de la población mundial lleva consigo un teléfono inteligente, la tecnología debería poder desempeñar un papel importante, lo que explica por qué estamos viendo un aumento en el desarrollo de aplicaciones de seguimiento de contactos.
La mayoría de las aplicaciones actualmente disponibles son patrocinadas por el gobierno y utilizan una variedad de métodos diferentes para cumplir su propósito, como Bluetooth vs. GPS, centralizado vs. descentralizado, y no todas se preocupan por la privacidad del usuario.
Hay dos métodos principales que se utilizan para obtener la proximidad física de los usuarios. El primero es el sistema de posicionamiento global (GPS): utiliza la radionavegación por satélite para aproximar la ubicación del individuo y la ubicación de otros usuarios de la aplicación. La segunda solución, más destacada, utiliza Bluetooth y la intensidad de la señal para identificar la proximidad de otros usuarios de la aplicación, permitiendo que los dispositivos intercambien un apretón de manos en lugar de rastrear la ubicación real. Hay algunas soluciones que para el rastreo y ubicación usan una combinación de Bluetooth y GPS y algunas incluso usan el seguimiento de ubicación basado en la red, pero estos métodos presentan importantes problemas de privacidad y afortunadamente su uso se limita a unos pocos desarrollos. La tecnología más utilizada por las aplicaciones de seguimiento de contactos de COVID-19 es Bluetooth, ya que proporciona un mayor nivel de protección de la privacidad.
Sin embargo, hay un problema subyacente: el modo “descubrir” de Bluetooth no está habilitado mientras un teléfono está bloqueado y la aplicación que lo solicita no sea primaria. Hasta ahora no ha habido ninguna razón para que esto esté habilitado. Las primeras versiones de aplicaciones como BlueTrace, la solución del gobierno de Singapur, dependían de que sus usuarios mantuvieran sus teléfonos desbloqueados. La aplicación en fase beta del NHS del Reino Unido tenía una solución única para esto, al menos para Android, pero parece que los límites implementados por Apple en iOS han significado que esto era algo inalcanzable y ha requerido que los desarrolladores trabajen con la API oficial de notificaciones de exposición de Apple y Google.
La solución conjunta de Google y Apple, que es la API oficial de notificaciones de exposición, preserva la privacidad y proporciona un método de uso de Bluetooth Low Energy y criptografía para proporcionar una infraestructura de seguimiento de contactos. El uso de la API está limitado a las autoridades de salud pública y el acceso solo se otorga cuando se cumplen criterios específicos sobre privacidad, seguridad y datos. Sin embargo, esta API es solo una parte de una solución que una aplicación necesita para ofrecer la funcionalidad necesaria. Si una aplicación solicita información personal, ya sea directamente o por otros métodos, podría hacer que esta solución respetuosa con la privacidad sea cuestionable. La percepción de un potencial usuario de una app de seguimiento de contactos que utiliza esta solución puede ser que la aplicación, debido a la solución de Google y Apple, se ha desarrollado para preservar la privacidad de la persona, lo que podría dar una falsa sensación de seguridad.
También se especula con que el uso de la API de Notificación de Exposición y Bluetooth para la medición de la proximidad y la distancia en dispositivos iOS puede no ser exacto; esto fue aludido por el gobierno del Reino Unido cuando anunció el cese en el desarrollo de su propia solución. Algunos de los posibles problemas fueron detallados en un artículo publicado por MIT Technology Review, en el cual se afirma que si el teléfono en el bolsillo está orientado en una posición vertical en lugar de horizontal, esto solo puede ajustar la potencia recibida y hacer que parezca que alguien está al otro lado de la habitación en lugar de estar a su lado. La investigación también menciona el problema de las señales que pasan a través de los cuerpos – por ejemplo, si dos personas están paradas de espaldas, la señal puede parecer débil y, por lo tanto, registrar una distancia incorrecta. El gobierno del Reino Unido asegura haber desarrollado algoritmos que reducen algunos de estos problemas; esperemos que los gigantes tecnológicos estén dispuestos al menos a explorar la posible solución que el equipo del Servicio Nacional de Salud británico (NHS, por sus siglas en inglés) dice tener.
La solución creada por Google y Apple se suman a otros ocho frameworks que han sido creados desde el comienzo de la pandemia. Estos frameworks han sido creados de forma paralela por un conjunto de compañías tecnológicas, organizaciones de privacidad, la academia y gobiernos. Si el mundo adoptara un framework, por supuesto, habría estandarización, pero esto también agrega un solo punto de falla si el framework se ve comprometido o no logra entregar los resultados esperados.
Los términos descentralizado y centralizado se usan con frecuencia para representar visualmente dónde se procesan y almacenan los datos recopilados por una aplicación de rastreo de contactos; dando la percepción de que la centralización crea un mayor riesgo para la privacidad. Esto puede no ser cierto, ya que hay diseños que utilizan un enfoque centralizado pero que potencialmente le brindan al usuario de la aplicación el nivel deseado de privacidad. El problema subyacente es si el uso de los datos puede ser mal utilizado; es decir, si se revela la identidad del usuario o si esta información puede obtenerse fácilmente.
¿En el lugar correcto y en el momento correcto?
Cuando una aplicación de seguimiento de contactos entra en contacto con otro dispositivo que ejecuta la misma aplicación, se produce un apretón de manos (handshake) y un intercambio de claves. Estas claves generalmente cambian continuamente y son generadas en función y de manera exclusiva para el dispositivo. Cuando el dispositivo A está frente al dispositivo B, comparten claves en función de un requisito predeterminado de distancia y tiempo; por ejemplo, dentro de los 2 metros durante 15 minutos. El dispositivo retiene las claves o las pasa a un servidor central. Cuando los usuarios confirman que pueden ser positivos para la infección, todas las claves que han generado se agregan a un sistema en la nube. Todos los demás dispositivos recopilarán esta información con determinada frecuencia para ver si hay una coincidencia con las claves que se han recopilado o si alternativamente esta coincidencia se procesará en la nube. Si hay una coincidencia, entonces se advierte a esos usuarios que han estado en contacto con otro dispositivo que ahora informa ser positivo; aunque no tienen idea de qué dispositivo.
Si el usuario es identificable y todos los datos son almacenados y procesados de manera centralizada, entonces claramente existe un problema de privacidad; sin embargo, si el usuario no es identificable y el sistema central en la nube solo está procesando coincidencias, esto podría ser más eficiente que pedirle al dispositivo local que realice este procesamiento, especialmente si el dispositivo final tiene recursos limitados ... lo que podría ser el caso en algunas zonas del mundo. Este enfoque también le da al sistema centralizado la capacidad de identificar posibles falsos positivos, donde algunos usuarios maliciosos dicen que están infectados, pero en realidad no lo están y solo intentan provocar caos en los usuarios, las empresas y la sociedad en general. El uso de algoritmos complejos para identificar falsos positivos en un enfoque descentralizado es menos realista debido a las limitaciones en cuanto a recursos.
Un beneficio de la centralización parcial es que la porción de datos centralizados que está siendo procesada podría usarse para informar a los científicos cómo se mueve la población en su conjunto e identificar rápidamente los puntos críticos para permitir la asignación de recursos médicos. Si, por ejemplo, se solicita un código postal en el momento de la instalación, los científicos de datos pueden predecir la propagación de la enfermedad. Es poco probable que esto permita identificar al usuario, ya que cientos o miles de personas utilizan el mismo código postal.
Cada país ha adoptado o un framework propio o uno de los nueve que se han desarrollado; cada uno de los cuales proporciona un equilibrio diferente entre eficiencia y privacidad. El uso de los diferentes frameworks puede causar problemas: por ejemplo, la mayoría de los países europeos han adoptado la API de Notificación de Exposición de Google y Apple, mientras que Francia no ha procesado los datos de manera centralizada. Cuando se abran las fronteras entre países, será poco probable que haya una sincronización entre una aplicación de Alemania y una aplicación de Francia.
Incluso las soluciones que afirman ser las más sensibles a la privacidad están abiertas al abuso: considere el escenario extremo donde la videovigilancia se usa junto con la captura de señales Bluetooth emitidas por los dispositivos y la captura de las claves que se intercambian. La combinación con la tecnología de reconocimiento facial y la ubicación del dispositivo en un momento dado podría significar que el usuario es identificable. Si bien esto puede parecer extremo, demuestra que ningún sistema ofrece una garantía de privacidad.
¿Puede funcionar?
Muchos problemas para tan poco tiempo. No existe una solución perfecta considerando los plazos que existen ante la necesidad de llevar una solución al mercado. La incertidumbre de qué datos pueden ser útiles en el futuro, qué datos pueden estar dispuestos a compartir los usuarios, los frameworks tecnológicos emergentes, los desafíos de la distancia aproximada y la inmensa presión que existe para que se entreguen las aplicaciones no hacen más que demostrar los desafíos que enfrentan tanto los desarrolladores como los gobiernos para llevar al mercado una solución que funcione eficientemente y que sea aceptable desde la perspectiva de la privacidad. Como esto nunca se había hecho antes, es de esperarse que se cometan errores y ver que algunos proyectos cambien de dirección; es a través de la prueba y error que se encontrarán las mejores soluciones.
Hay factores clave que deberían ser considerados tanto por un desarrollador de aplicaciones como por un gobierno que solicita el desarrollo de una aplicación. Los protocolos que se han desarrollado teniendo en cuenta la privacidad son tan buenos como la voluntad de los desarrolladores para adherirse a solo recopilar y transmitir la cantidad mínima de datos. Por lo tanto, no esconderse detrás de un framework y un estado que dicen estar preocupados por la privacidad de los usuarios si en realidad están recopilando otros datos de identificación y almacenándolos de manera centralizada. Si hay elementos de centralización, indique claramente los motivos de la recopilación y cuál es el uso que se le dará a los mismos, y publique los límites sobre cuánto tiempo se guardarán los datos y quién tiene acceso. El concepto de que los datos no identificables, como un código postal, se utilizan para desviar recursos médicos al lugar correcto es potencialmente aceptable para muchas personas, pero deberá existir una comunicación que aclare que estos datos son cruciales en estos momentos y que serán eliminados una vez que se vuelvan obsoletos.
En beneficio de la confianza pública: todos los gobiernos, en mi opinión, independientemente de su enfoque sobre este tema, deberían legislar sobre la base del uso aceptable de los datos y establecer criterios sobre cuándo una aplicación llegará al final de su vida útil y será eliminada de los dispositivos. No más infecciones, no más aplicaciones o datos.
¿Ejecutaría una aplicación de seguimiento de contactos? Sí, bajo las condiciones de un uso anónimo y que los datos no sean utilizados para otra cosa que no sea detener la propagación de esta enfermedad específica y que continúe causando estragos. En el caso de que la información de ubicación generalizada, como los códigos postales, pueda ayudar a la ciencia a vencer esta enfermedad y colocar los recursos médicos en el lugar correcto en el momento correcto, mi deseo de privacidad absoluta se ve superado por mi voluntad de cumplir con mi parte.