Durante la pandemia del COVID-19 la tecnología ha estado al frente y al centro de la escena, pero no sin presentar algunos problemas y desafíos. El uso de aplicaciones como comprobantes de vacunación y como validación de resultados de test son las últimas de la larga lista de tecnologías que han despertado preocupaciones en lo que refiere a privacidad y seguridad. El concepto es muy simple; proporcionar una prueba de identidad, digital y verificable; y un comprobante de vacunación o una prueba para validar un diagnóstico COVID-19 negativo (o ambas).

A medida que los países, estados y ciudades reabren y permiten reuniones masivas y eventos en espacios cerrados, muchos exigen previo a la entrada certificados de vacunación o que confirmen el resultado negativo de un test. Si bien muchas autoridades han evitado ir en contra de los derechos de los ciudadanos al implementar que la vacunación sea un requisito para llevar una vida normal, como cenar en el interior de un restaurante o asistir a un concierto o espectáculo, la variante Delta los está haciendo reconsiderar. La necesidad de utilizar pasaportes sanitarios que demuestren que una persona recibió la vacunó está creciendo y presenta dos desafíos distintos, el primero es el derecho a la privacidad y el segundo es cómo se puede utilizar la tecnología para ofrecer de forma segura la funcionalidad requerida.

Medidas

Tener que declarar que ha recibido una vacuna puede verse como una posible infracción a la privacidad de una persona al tener que compartir datos médicos personales con la persona y la organización que necesitan verificar esta información. Antes de subirse al tren de la privacidad y objetar esta medida, tenga en cuenta que la información sobre las vacunas que recibió una persona ya está siendo compartida: con una certeza razonable podemos decir que el 99% de los estudiantes que ve yendo a la escuela en los Estados Unidos y otros países han recibido al menos una vacuna de algún tipo, incluidas las que protegen contra el sarampión, las paperas y la rubéola, la poliomielitis y la difteria. Hay algunas exenciones para quienes objetan vacunarse por razones médicas, religiosas o filosóficas, pero la mayoría de los estudiantes han sido vacunados. En el estado de California, donde resido, es requisito que todas las escuelas comprueben los registros de vacunación para todos los nuevos estudiantes desde preescolar hasta el 12° grado. La validación es para cinco vacunas diferentes.

Hay otra cohorte de residentes en los EE. UU. que, aún con más certeza, es posible afirmar que ha recibido las mismas cinco vacunas que son solicitadas a los estudiantes de las escuelas de California: los titulares de la green card. En 1996, el Congreso dispuso mediante una legislación que todos los inmigrantes que buscan la residencia permanente deben presentar prueba de vacunación y, sin ella, su solicitud puede ser denegada. Cualquiera que haya pasado por este proceso dará fe de que tendrá que arremangarse y darse las inyecciones; en mi caso, las cinco me fueron administradas en una tarde, lo recuerdo bien.

Establecer como requisito obligatorio que los niños y las niñas, y en algunas circunstancias los adultos, cuenten con ciertas vacunas no es algo exclusivo de los Estados Unidos. En Europa y América Latina muchos países, como Francia, Italia o Argentina, exigen numerosas vacunas por edad, mientras que otros países optan por permitir la libertad de elección. El argumento de no querer declarar que se recibió la vacuna contra el COVID-19 o contra otra enfermedad por tratarse de datos médicos personales, se debilita significativamente cuando se consideran los escenarios discutidos anteriormente.

Debido a la variante Delta y al nuevo aumento en las infecciones por COVID-19, el alcalde de la ciudad de Nueva York (NYC), Bill de Blasio, anunció recientemente que para los trabajadores y clientes de restaurantes y gimnasios que realicen su actividad en espacios cerrados será requisito presentar certificado de vacunación. NYC ofrece varias opciones para comprobar el estado de vacunación: la tarjeta de registro de vacunación de los Centros para el Control y la Prevención de Enfermedades (CDC), la app Excelsior Pass o la aplicación NYC COVID SAFE, la última es la opción para los visitantes de la ciudad de Nueva York. Es inusual, y probablemente confuso, que una sola autoridad adopte tres soluciones diferentes. Cada uno de estos sistemas, o tarjetas, ofrece diferentes niveles de verificación, pero todos son aceptados para ingresar a la ciudad de Nueva York cuando sea necesario. Aquí están las diferencias:

  • Tarjeta de registro de vacunas de CDC - Es una pequeña tarjeta de papel, un poco más grande que una tarjeta de crédito, que incluye el nombre y apellido, fecha de nacimiento, y los detalles del tipo de vacuna, incluyendo la primera y la segunda dosis. Cuando recibí la vacuna me entregaron la tarjeta con el campo correspondiente a la dosis precargado, pero el resto de la tarjeta estaba en blanco para que yo mismo la completara. Si esto no era un problema suficiente para aquellos preocupados por la correcta identificación del titular de la tarjeta, médicos, bares y restaurantes han estado vendiendo tarjetas falsas por tan solo $20. Una tarjeta de papel sin validación de identidad parece ser tan útil como una tetera de chocolate. De hecho, la tetera de chocolate puede ser más útil, ya que podrías comértela.
  • App NYC COVID SAFE: la aplicación toma una fotografía del registro de vacunación de los CDC o su equivalente internacional y la almacena como una imagen; esta imagen se convierte en un registro digital de vacunación. Una tetera de chocolate digital.
  • Excelsior Pass, una solución desarrollada por IBM que utiliza el estado de Nueva York, utiliza blockchain y tecnología de cifrado para garantizar que los datos personales se mantengan privados y seguros. Los usuarios deben registrarse utilizando los datos proporcionados al momento de la vacunación: nombre, fecha de nacimiento, código postal y número de teléfono. Esto otorga acceso al estado de vacunación del usuario en la base de datos de vacunación del estado de Nueva York. Luego, la aplicación crea un pase escaneable que se puede almacenar en la billetera del pase; contiene un código QR, nombre y fecha de nacimiento. El defecto aquí es que el pase no identifica al titular del dispositivo como la persona que recibió la vacuna; para una verificación verdadera, el verificador necesitaría ver una prueba oficial de identidad que tenga una foto de la persona, como una licencia de conducir o un pasaporte. Esto abre la aplicación al fraude, ya sea a través de una copia del código QR y los detalles capturados desde otro dispositivo o que el usuario se haya conectado con la información del registro de vacunación de otra persona. Al ingresar a un evento deportivo masivo, ¿se escaneará el pase o se verificará la identidad? Sospecho que solo será escaneado.

Muchos gobiernos de todo el mundo han adoptado, o se espera que adopten, aplicaciones y soluciones similares a las que eligió la ciudad de Nueva York. Espero, y tengo esperanza, que la mayoría use algo similar al Excelsior Pass, donde los datos del usuario se verifican para crear el pase y luego solo se almacena dentro del registro del pasaporte de vacunación en el dispositivo el código QR y datos mínimos del usuario, como el nombre, la fecha de nacimiento y la fecha de vacunación. El gobierno canadiense ha anunciado recientemente el uso de un sistema similar; la propuesta en este momento es incluir los datos mencionados y qué vacuna recibió la persona, lo que puede servir para viajes internacionales, pero a nivel nacional no estoy seguro de por qué se requiere este punto de datos.

Inconvenientes

Curiosamente, y digo esto con sarcasmo, California ha adoptado un enfoque híbrido en el que se puede examinar el estado de vacunación utilizando los datos proporcionados al momento de recibir la vacuna. El sistema solicita un PIN y luego envía un enlace vía SMS para verificar el PIN y se descarga un registro de vacunación, se muestra un código QR y detalles limitados, y recomiendan realizar una captura de pantalla para tener un registro. No hay una aplicación, el código QR solo es válido para quienes tienen un escáner de salud inteligente y la imagen del dispositivo se guarda en la biblioteca de fotos. ¿Cómo puede una de las economías más grandes del mundo y el hogar de Silicon Valley entender esto tan mal?

Cuando el personal del evento o del establecimiento escanea el código QR, recibe la verificación de la base de datos de vacunación oficial asociada con el código QR. Luego, algunas aplicaciones solicitan la validación del titular del pase, solicitando permiso para acceder a su registro; esto luego muestra su imagen y el comprobante de vacunación al solicitante. La autenticación de la solicitud detiene la copia del código QR y el acceso al registro de vacunación sin el permiso del titular verificado.

Un verificador malintencionado podría configurar su dispositivo para tomar capturas de pantalla de todos los pases e identidades de las personas que escanea y obtener el mínimo de datos personales, que en la mayoría de los casos ya son públicos, como el nombre y la fecha de nacimiento. Sin embargo, el estado de vacunación no es un registro público. ¿Para qué se puede utilizar el estado de vacunación? ¿Quizás para una estafa personalizada? No había una dirección de correo electrónico asociada a los datos, por lo que sería difícil de crear y requeriría datos adicionales. Como se mencionó, en muchos países, las vacunas son obligatorias y, hasta donde yo sé, no ha habido un abuso masivo de esta información.

covid19-vaccine-passport-app-qr-codes

La industria de los eventos ha estado usando desde hace ya un tiempo códigos QR para reemplazar códigos de barras o boletos físicos, como SafeTix. Estos sistemas se basan en la creación y actualización del código QR de forma periódica y en la validación del código escaneado en tiempo real. Si este escenario se utilizara para los registros de vacunas, requeriría que tanto el titular como el verificador estuvieran en línea. El titular abre la aplicación y el código QR se crea utilizando los datos registrados previamente en la aplicación; el verificador escanea el código y lo valida con la base de datos central en tiempo real. Si la aplicación permanece activa, el código QR se actualiza periódicamente. Esta solución evita que varias personas utilicen el mismo código QR que otras, eliminando la posibilidad de fraude. Si este sistema agrega una confirmación cuando se realiza el escaneo y la necesidad de que lo aprueben, como se mencionó anteriormente, el probable escenario de que se usen códigos QR copiados o falsos sería mínimo o potencialmente inexistente.

Otro defecto de esta solución sugerida es que hay personas que no cuentan con un smartphone. Esto podría resolverse permitiéndoles crear un código QR impreso de forma diaria o semanal, y que el código tenga una fecha de vencimiento fija.

Cómo proteger tus datos al momento de elegir una app como credencial de vacunación

Cualquiera que sea la solución que ofrezca su gobierno, estado o proveedor de atención médica, debe ofrecer privacidad y seguridad de manera predeterminada, al tiempo que le brinda a la persona que necesita verificar su estado de vacunación datos suficientes para estar seguro de que usted es la persona que recibió la vacuna o realizó un test. Las características que sugeriría verificar si está contemplando el uso de una aplicación como credencial sanitaria digital son las siguientes:

  • La creación del pasaporte sanitario debe verificar la solicitud con los registros médicos.
  • Solo se utilizan los datos mínimos requeridos para crear el pasaporte: nombre, fecha de nacimiento y fecha de vacunación. Suficiente para validar la vacunación y, si es necesario, para validar la identidad frente a otra fuente, como una licencia de conducir.
  • La comunicación y cualquier dato almacenado deben estar cifrados.
  • La política de privacidad debe indicar el propósito de la aplicación y que no se comparte información personal con terceros.
  • No se permite el seguimiento de la ubicación ni la recopilación innecesaria de datos, que no sean los datos del dispositivo, con el fin de mejorar la experiencia de la aplicación como es normal.
  • Confirmación por parte del titular del pase cuando se escanea el pasaporte para su verificación.
  • Solo descargue aplicaciones de una fuente oficial, como la App Store o Google Play.

En países que han adoptado GDPR o una legislación de privacidad similar, como CCPA, las aplicaciones deben estar sujetas a la regulación de privacidad para garantizar que el sujeto de los datos, el individuo, tenga la privacidad y seguridad necesarias.

Mirando hacia atrás, ¿qué lecciones se deben aprender de la pandemia con respecto a la preparación tecnológica? Cuando los reguladores comenzaron a aprobar las vacunas, los países con sistemas de salud centralizados recurrieron a los datos de los pacientes existentes para administrar las vacunas; algunos no tenían datos centralizados y no consiguieron que las vacunas se pusieran en marcha rápidamente, ya que necesitaban crear sistemas para implementar programas de vacunación masiva. ¿No entendieron que necesitarían esto durante los 9-12 meses que el mundo esperó a que las vacunas estuvieran listas? Las autoridades ahora están construyendo sistemas para implementar pasaportes sanitarios después del lanzamiento de la vacuna. ¿No era obvio para quienes tomaban decisiones que el mundo necesitaría saber quiénes habían sido vacunados para que la normalidad pudiera regresar? Esto no era ciencia espacial, pero de alguna manera no pudimos estar preparados.