La seguridad detrás de la API de Apple y Google para el seguimiento de contagios de la COVID-19Gonzalo Álvarez Marañón 26 mayo, 2020 ¿Cómo detener la expansión de la COVID-19? Por el momento, sólo existen respuestas parciales. Entre ellas, el seguimiento de contactos ha probado su eficacia desde el siglo XIX: identificar tan rápidamente como sea posible a las personas que podrían haber estado expuestas al virus. Por desgracia, resulta un proceso laborioso y lento que depende de entrevistas en persona o telefónicas y requiere un delicado trabajo detectivesco. ¿No vivimos en pleno siglo XXI? ¿Por qué no usar los smartphones que todo el mundo lleva en el bolsillo para hacer un seguimiento de los posibles contagios? Dejemos que nuestros dispositivos lleven la cuenta de los contactos y que, si alguien resulta caer infectado más adelante, notifiquen automáticamente a todos los que estuvieron cerca de esa persona. Todos quieren tener su propia app de rastreo de contagios Arrastrados por esta idea, los gobiernos de medio mundo se lanzaron a una carrera desenfrenada para crear apps, servicios y sistemas para el seguimiento de contagios, con mayor o menor respeto a la privacidad. Preocupados por los derechos de los ciudadanos, varios grupos de investigación han elaborado protocolos de privacidad, entre ellos el equipo TraceTogether de Singapur; el grupo Private Automated Contact Tracing (PACT), dirigido por investigadores del Instituto Tecnológico de Massachusetts (MIT) de Cambridge; y el consorcio mayoritariamente europeo Decentralized Privacy-Preserving Proximity Tracing (DP-3T). Es tal la cantidad de apps de rastreo de contactos y la confusión generada por ellas que el MIT lanzó el proyecto Covid Tracing Tracker para rastrear a los rastreadores. El 22 de mayo llevaban documentados 25 esfuerzos de rastreo automatizado de contactos individuales y significativos a nivel mundial, incluyendo detalles sobre lo que son, cómo funcionan y qué políticas y procesos se han puesto en marcha a su alrededor. Apple y Google irrumpen con su propuesta tecnológica para registro de exposición En los inicios de esta fiebre de apps de rastreo, el 10 de abril Apple y Google firmaron un pacto sin precedentes para desarrollar conjuntamente una tecnología de seguimiento de contagios basada en Bluetooth. Los dos rivales trabajaron en su API con un objetivo inquebrantable: privacy first. Chocaron frontalmente con muchos gobiernos que no compartían su celosa protección de la privacidad, como el de Francia o Reino Unido y su Pan-European Privacy-Preserving Proximity Tracing (PEPP-PT), quienes abogan por esquemas centralizados con geolocalización a través de GPS. Pero todas sus pretensiones cayeron en saco roto: o jugaban según las reglas dictadas por Apple y Google, o se creaban ellos mismos sus apps. Al final, gobiernos e instituciones públicas no tuvieron más remedio que rendirse a la evidencia: nadie puede competir contra la alianza de dos gigantes tecnológicos como Apple y Google. De modo que, finalmente, el 20 de mayo Apple y Google anunciaron que su API ya está lista para uso exclusivo de organismos públicos de salud y será utilizada en 22 países: «Lo que hemos creado no es una app, sino que las autoridades sanitarias incorporarán la API en sus propias apps que instale la gente. Nuestra tecnología está diseñada para hacer que estas aplicaciones funcionen mejor. Cada usuario puede decidir si opta o no por las notificaciones de exposición; el sistema no recopila ni utiliza la ubicación del dispositivo; y si a una persona se le diagnostica COVID-19, depende de ella notificarlo o no en su app de salud pública. La clave del éxito reside en la adopción por parte de los usuarios y creemos que el énfasis en la protección de la privacidad fomentará el uso de estas apps». Si has instalado la última actualización de sus respectivos sistemas operativos, podrás comprobar que ya está disponible el soporte para instalar apps. Cómo funciona la API de Apple y Google de notificación de exposición En esta presentación, Apple y Google explican su funcionamiento de forma sencilla: Alice y Bob poseen un iPhone y un teléfono Android, respectivamente, ambos con una aplicación de salud que usa la API de notificación de exposición. El jueves coinciden sentados en un banco y charlan durante un rato. Durante este tiempo, cada uno de sus teléfonos está transmitiendo balizas de identificación totalmente anónimas y cambiantes y, a la vez, recogiendo las balizas de identificación transmitidas por la otra persona. Sus teléfonos saben que han estado en contacto y almacenan esa información en el propio dispositivo, sin transmitirla a ningún otro lugar.Una semana más tarde, Bob presenta síntomas de COVID-19, acude a su centro médico y le diagnostican la enfermedad. Abre su aplicación de salud, verifica su diagnóstico utilizando la documentación del proveedor oficial de servicios de salud y su teléfono sube sus balizas identificadoras de los últimos 14 días a un servidor en la nube. Más tarde ese mismo día, la aplicación de salud de Alice descarga una lista de todas las balizas de las personas que han contraído COVID-19 recientemente. Debido a su contacto con Bob en el banco, Alice recibe entonces una notificación informándole de que ha estado en contacto con alguien que tiene COVID-19. Alice no sabe que fue Bob quien contrajo el COVID-19 porque no se recopiló ninguna información personal identificable, pero el sistema sabe que Alice estuvo expuesta a una persona infectada con COVID-19 durante 10 minutos el jueves, basándose en la intensidad de la señal Bluetooth entre sus dos teléfonos.Alice sigue los pasos de la aplicación de salud que le informa sobre qué hacer después de la exposición a COVID-19. Si Alice enferma más tarde con COVID-19, seguirá los mismos pasos mencionados anteriormente para alertar a las personas con las que ha estado en contacto, lo que permite a todos controlar mejor la posible exposición. Las restricciones impuestas por Apple y Google para las apps de salud pública que usen su API ¿Quieres usar la API de Apple/Google de notificación de exposición en tu app? Tendrás que seguir una serie de restricciones si quieres que te la aprueben: Las apps deben ser creadas por o para un organismo público de salud.Sólo se permite una app por país, para asegurarse de que no haya fragmentación y para promover una alta adopción por parte de los usuarios. No obstante, se contemplan versiones distintas por Estado o provincia.Se requiere el consentimiento explícito del usuario en su instalación.No recopilar ni utilizar datos de localización de su teléfono por GPS.Las balizas y claves Bluetooth no revelan la identidad o la ubicación del usuario.El usuario controla todos los datos que quiere compartir y la decisión de compartirlos, incluido el resultado positivo de una prueba.Las personas que dan positivo no son identificadas por otros usuarios, ni por Google o Apple.Las aplicaciones sólo deben recopilar la cantidad mínima necesaria de datos y sólo se utilizarán para la notificación de la exposición por parte de las autoridades sanitarias para la gestión de la pandemia de la COVID-19.No se permite ningún otro uso de los datos de los usuarios, incluida la publicidad dirigida.No importa si tienes un teléfono con Android o un iPhone, funciona en ambos. Dos grandes retos por delante Más allá de las preocupaciones por la privacidad, con o sin la ayuda de Apple y Google, estas apps siguen enfrentándose a varios retos difíciles de superar, que ponen de manifiesto su utilidad y necesidad. Destacan dos: Medida precisa de la proximidad: un desafío práctico clave para el rastreo de contactos telefónicos mediante Bluetooth es hacer mediciones precisas de cuán cerca están dos dispositivos. La tecnología Bluetooth mide la distancia entre dispositivos en función de la intensidad de la señal emitida, pero esta intensidad puede verse afectada por muchos factores, como la orientación del teléfono y los obstáculos que deba atravesar. Por ejemplo, si dos personas están espalda contra espalda sujetando cada una un smartphone en sus manos, podrían detectarse como que guardan la distancia social establecida cuando en realidad se están tocando. Si queremos usar estas apps para monitorizar el coronavirus, necesitaremos muchos y mejores datos para medir distancias. En el Laboratorio Lincoln del MIT están haciendo experimentos con robots móviles equipados con smartphones para mejorar la precisión de la medida de distancias: Adopción por masa crítica de ciudadanos: otro desafío es asegurar que suficientes personas descarguen la aplicación para que el sistema resulte efectivo: al menos un 60% de la población. El problema radica en que no todo el mundo tiene un iPhone o un smartphone con Android. De hecho, los colectivos más vulnerables, como son la gente mayor y la socialmente desamparada presentan las menores tasas de adopción de tales dispositivos. ¿Espejismo tecnológico o arma decisiva en la lucha contra el virus? Aunque nadie duda de la eficacia del rastreo de contactos para frenar la expansión de pandemias, estas apps nacen envueltas en la polémica y se escuchan críticas desde todos los sectores y tribunas. Se duda de su eficacia, de su adopción masiva y de su garantía de la privacidad. No obstante, en palabras del Dr. Michael J. Ryan, director ejecutivo del Programa de Emergencias Sanitarias de la OMS: «La perfección es el enemigo de lo bueno cuando se trata del manejo de emergencias. La velocidad supera a la perfección. Y el problema que tenemos en la sociedad en este momento es que todos tienen miedo de cometer un error. Todos temen las consecuencias de los errores. Pero el mayor error es no moverse. El mayor error es estar paralizado por el miedo al fracaso». Las próximas semanas revelarán si estas apps son el sueño friki de una sociedad hipertecnificada o constituyen un aliado indispensable en la lucha contra el coronavirus. Al menos, había que intentarlo. #CodeTalks4Devs – SIEMs Attack Framework, cuando el punto vulnerable de la red no es el que esperabasNoticias de Ciberseguridad: Boletín semanal 23-29 de mayo
Telefónica Tech Boletín semanal de Ciberseguridad, 28 de enero – 3 de febrero LockBit Green: nueva variante de LockBit Recientemente, investigadores de vx-underground han detectado que los gestores del ransomware LockBit están utilizando una nueva variante de ransomware, denominada LockBit Green. Esta nueva variante...
Martiniano Mallavibarrena Ciberseguridad en el cine: mito vs. realidad con 10 ejemplos Los múltiples aspectos de la ciberseguridad (ataques, investigaciones, defensa, empleados desleales, negligencia, etc.) llevan años siendo parte del argumento de infinidad de películas y series de TV. En la...
Daniel Pous Montardit Resiliencia, clave en sistemas Cloud-Native En el primer post de la serie Cloud-Native, ¿Qué significa que mi software sea Cloud Native?, presentamos la resiliencia como uno de los atributos fundamentales que nos ayudan a...
Telefónica Tech Boletín semanal de Ciberseguridad, 21 – 27 de enero Killnet apunta contra objetivos en España Esta semana el grupo hacktivista Killnet anunció una campaña de ataques contra Alemania, dando lugar a la realización de ataques de Denegación de Servicio...
Gonzalo Fernández Rodríguez ¿Qué significa que mi aplicación sea Cloud Native? El término Cloud Native es algo que va más allá de mover las aplicaciones alojadas en un data center a una infraestructura proporcionada por un proveedor Cloud, sea Cloud...
Telefónica Tech Boletín semanal de Ciberseguridad, 14 – 20 de enero Vulnerabilidades críticas en los router Netcomm y TP-Link Se han descubierto una serie de vulnerabilidades en los routers Netcomm y TP-Link. Por un lado, los fallos, identificados como CVE-2022-4873 y CVE-2022-4874, se tratan de un...
Muy bueno tu artículo, Gonzalo. Yo añadiría otras restricciones que tiene la tecnología además del error en el cálculo de la distancia social basado en la intensidad de la señal de Bluetooth: * El uso o no de la mascarilla. Las aplicaciones no pueden saber bajo qué condiciones nos hemos relacionado con el resto de las personas. * Objetos que hayamos tocado y puedan estar infectados No obstante, estoy completamente de acuerdo con la afirmación: «La perfección es el enemigo de lo bueno». Como dice la expresión típica española, «menos da una piedra». Así es que animo al uso de estas aplicaciones cuando estén disponibles. Mitigar esta pandemia es responsabilidad de tod@s y cada un@ de nosotr@s. Responder