El 25 de abril, Andrés Velázquez y Stéphane Labarthe, de nuestro laboratorio de seguridad digital y privacidad K+Lab, dieron una conferencia virtual en el marco del Festival Latinoamericano de Instalación de Software Libre (FLISOL 2020), bajo el título “CoronApp, Medellín me Cuida y CaliValle Corona al laboratorio, O cómo se hackea CoronApp sin siquiera intentarlo”.
Fue una presentación técnica que detalló cómo se analizaron dos aplicaciones y un sitio web destinados a hacerle seguimiento a la epidemia actual. También se detallaron algunos hallazgos que se revelaron en estos análisis: una falta de transparencia, problemas de privacidad y vulnerabilidades de seguridad digital importantes.
Desde entonces, varias personas nos han estado pidiendo acceso a la presentación y por eso queremos compartirla:
Esta fue diseñada con una licencia libre (Creative Commons Reconocimiento) y por lo tanto se puede difundir y compartir tanto como se mencione la autoría.
Aquí puedes ver y escuchar la presentación.
Queremos recordar que si bien nuestras metodologías de análisis están diseñadas para poderse reproducir, ser legales y no intrusivas, llamamos a tener prudencia tanto respecto al contexto como a la configuración de las herramientas que proponemos. Por ejemplo, la legalidad de un análisis de ingeniería inversa del código fuente de una aplicación depende de su licencia, y el uso de la herramienta de captura de flujo “OWASP ZAP” es no intrusivo mientras se use el modo “seguro”.
También le invitamos a leer nuestras entradas:
¿Qué dice que hace y qué es lo que realmente hace CoronApp?
¿Qué dice que hace y qué es lo que realmente hace CaliValle Corona?
¿Qué dice que hace y qué es lo que realmente hace Medellín me Cuida?
Nota: Estas publicaciones e investigaciones son parte de la veeduría ciudadana que hacemos como organización de la sociedad civil. El Estado debe mejorar la transparencia en el despliegue de esta tecnología indicando cuál es su propósito dentro de la estrategia contra el Covid 19, explicando cómo lo hacen, cuáles son sus ĺímites y cómo protegen nuestros derechos. Adicionalmente, deben comprometer a hacer auditorías (internas y externas) para detectar con mayor urgencia las vulnerabilidades y otros problemas de seguridad y privacidad digital a las que se exponen las personas que usan estas aplicaciones, estas auditorías deben ser públicas y estar al alcance de cualquiera.