La Alcaldía de Bogotá y la Gobernación de Antioquia enviaron miles de mensajes a la ciudadanía para informarles que estuvieron expuestos al Covid-19. Lo hicieron usando información que no era suficiente como para decir algo así, obtenida de millones de personas que la entregaron sin saberlo.
Clic aquí para visitar la entrada original
Desde comienzos de mayo, algunos bogotanos comenzaron a ver estos avisos publicitarios en sus aplicaciones móviles de Facebook e Instagram. Una imagen deliberadamente alarmista, con el logo de la Alcaldía y la palabra y el signo de “alerta”: “Es muy probable que usted haya estado en contacto con contagiados de COVID”.
En Antioquia, la alerta llega en forma de mensaje de texto: “Usted puede tener coronavirus”, en letras mayúsculas.
Un informe publicado por la Fundación Karisma el pasado 3 de julio muestra cómo las autoridades de la ciudad y el departamento más poblados del país están utilizando herramientas de georreferenciación de publicidad digital para mostrar estos avisos, obtener información sobre la progresión de la pandemia, y en el caso de Antioquia ocasiones, para identificar los contactos de las personas contagiadas con el virus.
Este uso de tecnología por parte de las autoridades en medio de la pandemia no se había identificado antes en ningún lugar del mundo; y se basa en datos recolectados con aplicaciones que la gente usa todos los días, muchas veces sin saber que se está entregando esa información ni poder impedirlo.
Estos avisos simulan lo que se llama una “notificación de exposición”: un aviso que le indica al usuario que estuvo en contacto con alguien contagiado y buscan que los ciudadanos entren en contacto con las autoridades de salud, bien sea por medio de un formulario o de un número telefónico.
Tanto Antioquia como Bogotá utilizan publicidad georreferenciada, pero de maneras diferentes. Según explicó a Karisma la Secretaría de Salud de Bogotá, los avisos son dirigidos por medio de georreferenciación a usuarios en zonas donde hay “picos de contagio”.
En Antioquia el proceso va más allá. Luis Gonzalo Morales, entonces gerente para la contención de coronavirus en el departamento, dijo en una rueda de prensa el 19 de mayo que el departamento utilizará los identificadores únicos de publicidad del celular de las personas contagiadas con el virus para intentar hacer un rastreo digital de contactos.
Como parte de ese proceso, las autoridades del departamento obtienen información de los celulares de las personas contagiadas. “Una vez localizamos inicialmente los casos positivos, y tenemos el ID de los celulares de los casos positivos, lo que voy a tratar de hacer es que a través de esos celulares que ya conozco le digo a la herramienta de Google: dígame ese celular por dónde se movió en la ciudad y qué personas que tienen otro celular estuvieron cerca por más de 30 minutos y a menos de 10 metros de distancia”, aseguró.
En un oficio enviado a la Fundación Karisma, la gobernación no aclaró cómo obtiene el ID de las personas contagiadas, ni cómo tiene acceso a los datos de los IDs de los celulares con los que habrían estado en contacto. Sin embargo, lo más probable es que los consiga a través de empresas de publicidad digital, que usualmente se dedican a utilizar esos datos para vender avisos dirigidos a audiencias específicas.
De hecho, una empresa bogotana llamada Servinformación colaboró con Antioquia en el desarrollo de la herramienta —su logo apareció en la rueda de prensa de Morales— y ha ayudado a la Alcaldía de Bogotá a medir qué tanto los bogotanos están cumpliendo la cuarentena. Esa empresa normalmente se dedica al procesamiento de datos geolocalizados, y uno de sus nichos son las compañías de mercadeo digital.
Un científico de datos de esta empresa, Emiliano Isaza, fue coautor de un artículo académico en el que se detalla cómo los identificadores de publicidad podrían ser una especie de ‘radar’ del virus en una ciudad, pues servirían para “detectar contextos sociales asociados a la transmisión del virus casi en tiempo real y responder preguntas retrospectivas, con el fin de entender procesos que facilitan o previenen la dispersión del virus”.
Bogotá dejó de mostrar estos avisos luego de ser contactada por la Fundación Karisma, pero Antioquia sigue haciéndolo.
¿Cómo funciona ese identificador?
Lo que Morales llama “el ID de los celulares” es el identificador de publicidad, una especie de cédula que identifica los equipos ante las compañías de mercadeo digital pero no incluye información sobre su identidad.
Todos los celulares inteligentes tienen un identificador de este tipo. En los dispositivos con sistema operativo Android se llama Android Advertising ID (ID de publicidad de Android, AAID), mientras que en el iPhone y el iPad de Apple se le conoce como Identifier For Advertising (identificador de publicidad, IDFA). Las personas usuarias no pueden impedir que este identificador sea utilizado para obtener información sobre ellas.
La presencia del identificador es central para la economía alrededor de las aplicaciones móviles y de la publicidad basada en datos —por eso Apple y Google lo incluyen en sus sistemas operativos. Básicamente, les permite a los creadores de aplicaciones obtener dinero a cambio de información de los usuarios: que aplicaciones utilizan, qué sitios web visitan, qué compras hacen, cuál es su ubicación, etc.
Los creadores de aplicaciones venden estos datos a compañías de minería de datos, que los procesan y los revenden a compañías de publicidad digital, que ofrecen avisos segmentados —entre otras variables— por el género, los sitios en los que se mueven, el rango de edad y las preferencias de las personas. Se calcula que esta industria vale 80.000 millones de dólares al año.
Los problemas
En principio, lo que hace Antioquia parece una alternativa al rastreo de contactos digital por Bluetooth, que, según el Instituto Nacional de Salud, actualmente no se hace en Colombia —a pesar de que la aplicación CoronApp Colombia ha probado al menos dos tecnologías con ese fin y los usuarios autorizan que se haga cuando aceptan los términos y condiciones de la aplicación.
El problema es que esos datos no son lo suficientemente precisos como para lograr ese objetivo, pero sí podrían servir para conocer la rutina diaria de un usuario y permitir su identificación de una manera relativamente sencilla —a pesar de que son anónimos— pues rastrean su ubicación varias veces al día.
Básicamente, el celular detecta la ubicación con los mismos instrumentos y técnicas que cuando se pide un taxi o se usa una aplicación de mapas en el celular. Y así como cuando se usa cualquiera de estos servicios, la precisión no es la misma en todas partes, pues varía según factores como la densidad de conexiones inalámbricas, las construcciones aledañas, etc.
Eso lleva a Karisma a plantear que la severidad y el “alarmismo” de los mensajes no están justificados. “Están usando el miedo al transmitir el engañoso mensaje de que se ha estado ‘cerca de un posible foco de contagio’, cuando no es cierto que lo saben”, dice el informe.
A pesar de esto, estos identificadores sí podrían ser usados para seguir a las personas. Con una base de datos como la que usan las administraciones de Bogotá y Antioquia, el diario The New York Times identificó varias personas tomando como referencia los lugares donde pasaban muchas horas seguidas en la mañana y en la noche; además de detalles de su intimidad.
Para hacerlo, basta tener información que relacione la identidad de una persona con su ubicación, como la lista de trabajadores de una empresa o las páginas amarillas. Justamente esto es lo que parece hacer Antioquia cuando empareja los IDs de los celulares de las personas contagiadas a su identidad.
“Si yo tengo una base de datos dónde estás tú con tu dirección, y también tengo este sistema, yo puedo buscar qué identificadores están en esa dirección. Puede que la búsqueda me muestre tres identificadores, porque tú vives con otras dos personas. Pero yo solamente necesito mirar cómo se mueven estos identificadores para saber quién es quién: si hay un niño que va al colegio, pues es un niño, pero si el que va a la oficina eres tú, pues ya te puedo identificar”, explica Andrés Velásquez, investigador principal del estudio.
En la rueda de prensa, Morales, el gerente de la pandemia en Antioquia, aseguró que “la herramienta no nos dice el nombre de la persona, ni quién es, ni si es hombre o mujer. Lo único que nos dice es el identificador comercial de ese celular que estuvo cerca”.
Pero, como dice Andrés Velásquez, de Karisma, esa posibilidad está latente. “Una persona que no sea consciente de esto y use su celular mucho, pues la pueden seguir perfectamente: si alguien quiere saber dónde está un periodista, o abogado, un defensor de derechos humanos, simplemente cruza esos datos y lo puede vigilar”.
Preocupaciones como estas llevaron a Apple a forzar a que los usuarios tengan que dar su permiso cada vez que una aplicación quiera acceder al IDFA de su dispositivo en la próxima versión de iOS, su sistema operativo para móviles.
Y un colectivo de derechos digitales logró que se multara a Google por 50 millones de euros en Francia porque, a juicio de un tribunal, ese constante seguimiento que hacen Google, los desarrolladores de aplicaciones y los anunciantes viola la privacidad de los usuarios.
Además, las personas usuarias pueden reiniciar su identificador de publicidad, y también pueden activar una opción que impide que éste sea usado para que les envíen anuncios dirigidos. Sin embargo, no es claro si esta opción permite evitar el rastreo del celular o solo daña la continuidad de la base de datos para que la información recolectada no pueda ser conectada con un usuario.
Tecnología sí, pero no así
La OMS fijó varios criterios para todas las aplicaciones y soluciones tecnológicas que busquen ayudar a controlar la pandemia. Deben tener una temporalidad y alcance limitados, ser probadas y evaluadas antes de ser desplegadas, recolectar un volumen de datos proporcional al objetivo que buscan, utilizar la menor cantidad de datos posibles para cumplir su objetivo, no estar vinculadas con ninguna operación comercial, ser voluntarias, y ser transparentes y explicadas a los usuarios de forma clara.
A juicio de Karisma, estas tecnologías no cumplen con ninguno de estos parámetros. “No son voluntarias, se desplegaron sin pruebas o evaluaciones, no hay transparencia en cuanto a los procesos del sistema ni sobre el proceso de toma de decisiones que termina en los despliegues de estas soluciones. Tampoco hay información sobre los algoritmos utilizados, ni se informa si están verificados y mucho menos validados por las autoridades epidemiológicas”, dice el informe.
Para Carolina Botero, directora ejecutiva de Karisma, lo que ocurrió con estas soluciones es sintomático del enfoque atropellado con el que Colombia ha abordado la tecnología para la pandemia. “En otros países se toman meses en presentar soluciones tecnológicas y se discute públicamente su implementación. En Colombia no solo se actúa de afán, además se tiende a tomar decisiones precipitadas que se implementan sin transparencia ni participación, y con pocas opciones de control y seguimiento”, dice.
El problema, al final, es que Colombia se arriesga a no poder aprovechar el potencial que una solución bien hecha puede tener para ayudar no solo a detener el virus, sino también a reabrir la economía. Enviar mensajes alarmistas e imprecisos, dice el informe, “hará que otras muchas personas ignoren estos mensajes posteriormente cuando, de pronto, sí se logre un sistema bien planeado y probado. ¿Alguien se acuerda del cuento del pastorcito mentiroso?”.