CoronApp, Medellín me Cuida y CaliValle Corona al laboratorio -O cómo se hackea CoronApp sin siquiera intentarlo-

2020-04-17 Leer en voz alta

Por Stéphane Labarthe y Andrés Velásquez

Como lo ha hecho Karisma en otras ocasiones, en un ejercicio de veeduría ciudadana, el laboratorio de seguridad digital y privacidad de la Fundación (K+Lab) hizo un análisis técnico de las aplicaciones y páginas diseñadas tanto por el gobierno nacional como por gobiernos locales en el contexto del control de la epidemia actual. Se hizo con el ánimo de conocer de primera mano cómo consideraban la privacidad de las personas que usan estas herramientas. Se buscaron  los documentos que las acompañan y también se revisó el código o lo que se puede ver de él. Se hicieron análisis estáticos de los instaladores, del código HTML/javascript y se usaron herramientas para analizar el tráfico de datos que se intercambia entre los dispositivos móviles o páginas web y los servidores.

En primer lugar es importante resaltar que todas las pruebas técnicas aplicadas por el equipo de K+Lab son NO intrusivas. No se trata de una prueba de penetración o una auditoría de seguridad, sino del análisis de lo que se puede ver interna o externamente en la aplicación o la página web. Ver y no tocar.

La preocupación principal de K+Lab en esta fase de la veeduría es cómo y cuáles datos personales están siendo recolectados por los sistemas. No se limita a los datos que se solicitan en los formularios sino que también se analizan los datos que son entregados directamente por el teléfono como la localización o señales de Bluetooth  y cómo esto puede afectar la privacidad. Además, se revisó que el transporte de los datos se hiciera en forma segura y que la observación del tráfico de red no contuviera fugas de información que incluyan datos sensibles que podrían fácilmente caer en malas manos. En cada una de las tres herramientas, se encontraron cosas inesperadas y preocupantes.

El análisis se hizo sobre las 3 principales plataformas que ha lanzado el sector público en Colombia para el control de la pandemia: las aplicaciones CoronApp – Colombia y CaliValle Corona, y el formulario web Medellin me cuida.

CoronApp – Colombia

Es la aplicación más popular en el momento, con más de un millón de descargas. Está impulsada por la presidencia de la República y a cargo del Instituto Nacional de Salud (INS) y de la Agencia Nacional Digital (AND). Está disponible para Android y Iphone.

El primer análisis se hizo de la versión 1.2.29 y se ha mantenido el  seguimiento hasta la versión 1.2.32, para el momento de este escrito van en la versión 1.2.36. 

Lo primero que causó impresión fue la cantidad de permisos que pedía la aplicación, al parecer innecesarios pero que de todos modos se incluían insinuando futuras funcionalidades. En definitiva la app tenía el potencial de ver la lista de contactos del teléfono, su ubicación y hasta este momento todavía pide permisos de administración de bluetooth que podemos suponer serán usados para aplicar el famoso contact tracing por proximidad. El teléfono empezará a conectarse con otros teléfonos para intercambiar información y saber que otros dispositivos están cerca. No hay claridad sobre quién tendrá acceso a esa información y bajo qué condiciones pero todo esto está ahí  listo para ser activado.

Hasta ahora, la Agencia Nacional Digital sólo respondió lo siguiente:

“La solicitud de los permisos de geolocalización, redes WiFi y Bluetooth, así como el tratamiento de dichos datos, son necesarios para identificar la localización de los usuarios y el contacto cercano que éstos puedan tener con personas a su alrededor, toda vez que permitirá localizar a los ciudadanos con potenciales síntomas, posibles focos y cadenas de contagio del COVID-19, permitiendo al Instituto Nacional de Salud recopilar la información necesaria y oportuna para actuar con diligencia ante los grandes riesgos de propagación identificados en la población.”

Siendo una herramienta que responderá a una emergencia y por tanto debe ser limitada en su alcance no hay una definición precisa sobre quién podrá acceder a esto datos, la disposición tan solo repite la norma legal de excepción que permite a cualquier entidad pública o administrativa acceder a datos personales, cuando lo correcto sería establecer un compromiso más concreto:

De conformidad con lo establecido en la Ley 1581 de 2012 de protección de datos personales, se podrá suministrar información a las entidades públicas o administrativas que en el ejercicio de sus funciones legales así lo requieran, o a las personas establecidas en el artículo 13 de la ley.”

Esta aplicación es una herencia de otra aplicación brasilera que se usó en el mundial de fútbol de 2014  para hacer seguimiento de epidemias, en aquellos tiempos de Dengue, Zika y Chikunguña y que el Instituto Nacional de Salud de Colombia intentó implementar con esos mismos fines. Al final lo que había de esta aplicación se convirtió en poco tiempo en CoronApp

La cuestión entonces es que esta app no solo heredaba las funcionalidades de la versión original sino código que era específico para Brasil, lo cual incluía trackers, conexiones con Facebook y Google , permiso de acceso a los contactos, que nada tenían que ver con su función actual. Toca resaltar que en la respuesta da la AND, hay un compromiso sobre destruir los datos que se hubieran recogido en las versiones previas de la aplicación y que ya no se requieren en las nuevas versiones. Por ejemplo el origen étnico de las personas registradas y  los contactos telefónicos en el teléfono.

El análisis de tráfico de la aplicación no dió muchos problemas porque originalmente la aplicación enviaba y recibía el tráfico por HTTP, sin SSL, sin seguridad. Esto fue documentado y puesto en la lista de cuestiones a tratar con el equipo de CoronApp. Sin ánimo de criticar los errores que se puedan cometer programando y que finalmente desencadenan  un problema de seguridad en el software, realmente hay que decir que en este punto la aplicación demostraba un grado de improvisación muy alto. Usar HTTPS (HTTP con SSL, es decir, encriptado) es algo que se debe hacer casi que de forma predeterminada y es lo mínimo que se hace para garantizar algo de privacidad a las personas usuarias y más teniendo en cuenta  la sensibilidad de los datos que se manejan.

Con esta fruta madura que dejaba CoronApp servida, no hubo necesidad de desplegar el proxy para capturar paquetes encriptados, solo había que mirar el tráfico que pasaba cristalino.

Lo que se vió es que la desactualizada aplicación parecía tener problemas graves con la autenticación de sus peticiones al servidor. En este punto la línea de atención de la ONG ACCESS NOW confirmó la evaluación. Se les explicó los hallazgos y ellos los verificaron lo que se había encontrado. Había una vulnerabilidad que provocaba un escenario de fuga de información donde era posible para un atacante, no muy sofisticado, ex filtrar total o parcialmente la base de datos de la aplicación y para descubrirla bastaba solo observar el tráfico que viajaba en texto plano.

Se encontró otra vulnerabilidad, menos grave, pero igualmente relacionada con el mal manejo de la autenticación del API.

El informe de hallazgos se compartió con las entidades responsables y las personas involucradas en la producción de la aplicación quienes adoptaron algunas de las recomendaciones, y al cabo de unos días los responsables corrigieron  las vulnerabilidades reportadas.

Durante el seguimiento, se notó – en la parte de seguridad digital – una mejora importante en la infraestructura de la aplicación e incluso en lo que se puede observar del código en los análisis estáticos.

Mantener el seguimiento cercano a esta aplicación, por ser  la que tiene la base de personas usuarias más grande y que se promociona con mayor efectividad, es una necesidad para  que la discusión pase de ser las pobres prácticas de programación, que pudieron generar estas vulnerabilidades a que debatamos  la pertinencia y el respeto a los derechos humanos de las funcionalidades que le da la App tanto a las personas usuarias como al Gobierno y a quienes manejan la infraestructura de este sistema. 

Le invitamos a consultar más detalles de los resultados de esta evaluación

Medellín Me Cuida

Medellín Me Cuida es un formulario web con una encuesta para censar la población en el contexto de la pandemia. Está a cargo de la alcaldía de Medellín y de EPM.

Desde el punto de vista técnico, en principio solo se vieron problemas leves de seguridad en este aplicativo web. Hay que resaltar que por ser un formulario web y no una aplicación, se plantean muchos menos asuntos de privacidad. Eso sí quedan muchas dudas sobre la finalidad y el tratamiento de los datos que captura la plataforma ya que el único documento que menciona algo es  la política de privacidad que apunta a que el tratamiento de datos personales se hará “en el marco de la emergencia sanitaria ocasionada por el COVID-19” sin más precisiones sobre las finalidades.

El proceso de socialización de los hallazgos con los encargados de esta plataforma no ha terminado. Una vez se finalice se publicará el informe correspondiente. Sin embargo, cabe indicar que al igual que en las otras dos aplicaciones, la evaluación mostró una  vulnerabilidad grave que podría permitir acceder a los datos personales de muchas de las personas usuarias. Esta vulnerabilidad deberá ser corregida por parte de los encargados antes de publicar la evaluación. (1)

CaliValle Corona

Es una aplicación para Android, publicada por la Alcaldía de Cali con más de 5000 descargas y que en su descripción indica que es para la autoevaluación del Covid-19.

Esta aplicación pide 35, sí, 35 permisos entre manejo de sensores, ubicación fina y aproximada, leer los estados del teléfono, hacer llamadas y hasta un permiso que se llama Activity Recognition que permite a la app saber incluso si la persona usuaria hace algún movimiento o va a pie o en carro o en bicicleta. Lo que llama la atención es que ni lo que se anuncia que hace la app, ni lo que aparentemente hace manejando la interfaz justifican esta cantidad de permisos. Así que da la impresión de estar puestos más por ociosidad que por funcionalidad.

Igual que con la plataforma de Medellín, Karisma se encuentra  en el proceso de socializar los hallazgos con la Alcaldía de Cali y sus colaboradores, una vez surtido este trámite se publicará el informe.

De todos modos, igual que con las otras dos herramientas, se puede  adelantar que también se identificó una grave vulnerabilidad que podría permitir acceder a los datos de todas las personas usuarias de la aplicación.

Recomendaciones

  • Como parte de este ejercicio de evaluación, Karisma, advierte con preocupación que la  privacidad de las personas que han ingresado sus datos para descargar la aplicación, no  ha sido tenido en cuenta como parte de los elementos centrales en el desarrollo de las plataformas analizadas.  El propósito parece más enfocado en recolectar la mayor cantidad de información sin aparente justificación. Esta actitud aumenta el  riesgo para la privacidad y la seguridad de quienes participan voluntariamente del ejercicio entregando sus datos a las aplicaciones para el manejo de la pandemia. Hacemos un llamado para que estos equipos incorporen expertos en privacidad y seguridad por diseño.
  • En el caso de CoronApp el hecho de que tenga más de un millón de descargas en Google Play y no sabemos cuantas en App Store de Apple la vuelven un blanco de alto valor para hackers, cibercriminales e incluso otros estados como ya se ha visto con ataques sufridos por La OMS y gobiernos en las últimas semanas. Además el hecho de que esta información en algunos casos va a estar a cargo de un tercero como los contratistas que hacen el trabajo técnico y con bases de datos alojadas en otros países, debería motivar a los encargados de las plataformas tecnológicas como mínimo a capturar sólo la información necesaria, con la debida justificación respaldada científicamente.
  • El ejercicio de evaluación de seguridad digital que hizo Karisma puede detectar problemas importantes, pero no reemplaza la buena práctica de hacer auditorías periódicas (externas e internas) que incluyan otras metodologías para atender los diferentes riesgos – por ejemplo auditoría interna, de código o tests de penetración.
  • Dado que los datos se quieren usar para tomar decisiones de política pública, conviene que expliquen cómo se hará ese uso, igualmente deberán aclarar cómo se usarán para informar el seguimiento e investigación del INS. 
  • Idealmente deberían implementar técnicas de pseudo anonimización de datos como las sugeridas por El Grupo de Autoridades de Protección de Datos Europeas (antiguo G29) sobre este tema que incluso facilitan futuros usos de esos datos en estudios médicos y científicos, manteniendo mucho más efectivamente la privacidad de las personas usuarias y evitando el manoseo de la información por todo el que quiera estudiarla. En el  caso del contact tracing por proximidad, debería hacerse de manera pseudo anónima, por ejemplo con el protocolo DP-3T (Decentralized Privacy-Preserving Proximity Tracing), de lo contrario el Estado queda con la habilidad de saber con quien ha estado alguien reunido, dónde y cuándo. En Corea del Sur la implementación de esta funcionalidad ha creado como mínimo problemas entre las personas, se han descubierto infidelidades y se ha expuesto la vida privada de segmentos de la ciudadanía. En Colombia, ¿qué podría salir mal?
  • La ausencia de información sobre el compromiso de que estos datos se borrarán una vez termine la emergencia obliga a recordar la frase del economista Milton Friedman que dice que “Nada es tan permanente como un programa temporal del gobierno”. Hay que reflexionar sobre la cantidad de control que puede terminar ejerciendo el Estado sobre la ciudadanía después de tener  esta cantidad de datos y funcionalidades bajo su control. Las claridades sobre quién conserva, quién hace tratamiento y quién puede acceder a estos datos es una pieza clave que exige un compromiso sólido del Estado.
  • En conclusión, el afán que caracteriza a una emergencia puede generar problemas que afectan tanto la preservación de la privacidad de las personas, como el control de calidad que deben tener sistemas tan sensibles antes de ser desplegados para el uso masivo. 
  • En medio del temor natural que produce una situación como la que existe, una parte de la ciudadanía está dispuesta a intercambiar algo de su privacidad por tener información y están dispuestos a aportar datos para el seguimiento del contagio a  aplicaciones que buscan en el contexto de la pandemia. Ese acto de fe al entregar su información, su ubicación, sus datos médicos y probablemente incluso con quien se encuentran, dónde y cuándo, debería suscitar una respuesta supremamente responsable de los entes que están recibiendo esta gran confianza. Estos  ejercicios deben ser el punto de partida para una importante mejora en el tratamiento de datos que las entidades públicas hacen en esta emergencia y que estén a la altura técnica que merece esta coyuntura.

(1) 30 de abril de 2020: En esta fecha publicamos el reporte sobre la evaluación de seguridad digital de Medellín me Cuida, luego de que los responsables de esta herramienta repararan las vulnerabilidades que fueron advertidas:

También le invitamos a leer nuestras entradas: 

Importancia de la discusión sobre el uso de de aplicaciones móviles y herramientas para controlar la pandemia

¿Qué sabemos de estas tres herramientas que se anuncian como soluciones tecnológicas para el manejo del Covid 19?

¿Qué dice que hace y qué es lo que realmente hace CoronApp?

¿Qué dice que hace y qué es lo que realmente hace CaliValle Corona?

¿Qué dice que hace y qué es lo que realmente hace Medellín me Cuida?

Nota: Estas publicaciones e investigaciones son parte de la veeduría ciudadana que hacemos como organización de la sociedad civil. El Estado debe mejorar la transparencia en el despliegue de esta tecnología indicando cuál es su propósito dentro de la estrategia contra el Covid 19, explicando cómo lo hacen, cuáles son sus ĺímites y cómo protegen nuestros derechos. Adicionalmente, deben comprometer a hacer auditorías (internas y externas) para detectar con mayor urgencia las vulnerabilidades y otros problemas de seguridad y privacidad digital a las que se exponen las personas que usan estas aplicaciones, estas auditorías deben ser públicas y estar al alcance de cualquiera.

15 comentarios

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.