El portal “coronaviruscolombia.gov.co” además de ofrecer información sobre el coronavirus, incluye, entre otros, un formulario de autodiagnóstico y la versión web de la aplicación CoronApp Colombia para que las personas que “tiene[n] un número internacional o un celular antiguo”, puedan “obtener [su] código QR de viajero” como requisito para viajar en avión. El K+LAB (Laboratorio de seguridad digital y privacidad de Karisma), hizo un análisis jurídico-técnico de este sitio para completar nuestros análisis de esta aplicación [1].
Si bien, el uso de CoronApp ya no es un requisito obligatorio para viajar a nivel nacional, nos parece importante compartir con ustedes el registro histórico con las observaciones y con los hallazgos que tuvimos en este ejercicio que se realizó durante el mes de febrero y actualizó en mayo de 2021 y que, debido a la falta de una respuesta de Presidencia (entidad encargada de este sitio) al llamado que le hicimos con la intermediación de MinTIC, para reunirnos y compartir este informe, no pudo ser publicado con anterioridad.
Aunque activamos la ruta de reporte de vulnerabilidades que se ha construído con ese ministerio, esta reunión no se logró coordinar y, considerando que ninguna de las vulnerabilidades que encontramos es grave, pensamos que nuestro deber es publicar este análisis y así contribuir a una mejor información y transparencia, el respeto de la privacidad y también una mejor seguridad digital. En todo caso el informe no incluye la descripción de una potencial vulnerabilidad identificada, que sí hemos transmitido al Estado Colombiano.
Múltiples políticas que generan confusión
Aunque el portal tiene una política de privacidad, el registro para la versión web de Coronapp Colombia [2], que está allí, hace referencia a unos términos de uso inexistentes hasta el momento del análisis y a una política de tratamiento de la información que envía a un documento de INS (Instituto Nacional de Salud), que durante la primera prueba era efectivamente un documento jurídico sobre el tratamiento de la información que el INS haría de los datos de CoronApp Colombia versión web, pero que ahora ni siquiera existe. Se refiere entonces a dos políticas de protección de datos diferentes y no queda claro ni siquiera quién es el responsable de tratamiento: ¿la Presidencia de la República o el Instituto Nacional de Salud? Esto crea mucha confusión.
La política del portal global aborda varios temas sobre los cuales la Ley de protección de datos pide claridades en el caso de los terceros que serán encargados de datos o las transferencias internacionales de datos personales, pero lo hace con fórmulas genéricas que no permiten entender realmente la forma como la herramienta administra los datos. La política del INS, como dijimos, ya no está disponible.
En este caso vamos a concentrar los hallazgos de nuestro análisis en estos dos puntos, aunque en el informe usted puede revisar otros temas que hemos analizado.
Una colcha de retazos mal tejida
Ante la ausencia de claridades en la política de privacidad, una forma de entender lo que sucede es hacer un análisis técnico para ver los flujos de datos personales que se ingresan en los formularios y el análisis de las direcciones IP de los servidores web con los cuales se comunica el sitio. Este ejercicio permitió identificar que en el proceso participan muchos terceros, que no se mencionan explícitamente en la política.
Así vimos por ejemplo que el formulario de autodiagnóstico de Covid-19 se ubica realmente en el servidor de la empresa 1Doc3 pero que envía los datos a la empresa estadounidense Amplitude. En total, aparecieron directamente nueve entidades involucradas que harían tratamiento de datos: la Presidencia, el Instituto Nacional de Salud, la AND (Agencia Nacional Digital) y las empresas privadas Media Commerce Partners, Telmex, 1Doc3, Amplitude, CloudFlare y Amazon technologies.
Hasta aquí, no hemos mencionado otras empresas que están también presentes en estos formularios web que transmiten datos sensibles, y que rastrean a las personas usuarias con cookies: Facebook y Google en este caso. Como ya lo habíamos explicado en otras publicaciones [3] la presencia de terceros en una página web puede generar fugas de datos cuando no se toman las precauciones de seguridad necesarias. Es lo que pasa para CoronApp web: al hacer clic en el link de confirmación del correo, se genera – por error – el envío de la dirección de este email hacia los dominios “google.com” y “countriesnow.space”. El segundo pertenece a la organización nigeriana ProjectilesIO y provee una API que da informaciones de localización e indicativos de larga distancia internacional de los países.
Control y transparencia, dos factores a mejorar
Sin haber podido hablar con Presidencia, que parece ser la entidad a cargo hoy del sitio web, no podemos tener claridades sobre el diseño del flujo de datos que hace que más de 9 entidades reciban información de nuestra interacción con el sitio. Al final la recomendación más importante es resaltar la importancia que tiene que aplicaciones del Estado, sobre todo las que gestionan datos públicos, tengan mejor control y ofrezcan transparencia sobre los terceros que tienen un papel en el tratamiento de datos personales y si esto genera flujos de datos fuera del país.
Adicionalmente el informe provee algunas recomendaciones de seguridad, muchas de ellas ya son requisitos para los sitios web del Estado desde que el propio MinTIC publicara la Resolución 1519 en 2020 “Condiciones mínimas técnicas y de seguridad digital del MinTIC” pero que no fueron implementadas en este sitio web.
Ya el principal uso de la CoronApp web no existe, pero siempre hay cosas que podemos aprender y mejorar.
A continuación, les invitamos a revisar el informe técnico público
También lo puedes consultar haciendo en La colcha de retazos mal tejida de sobre este enlace
Si por algún motivo esta entrada no es accesible para tí, por favor escríbenos a comunicaciones@karisma.org.co y haremos los ajustes que estén a nuestro alcance para que puedas acceder al contenido.
Indícanos el título del contenido en el asunto del correo, por ejemplo: La colcha de retazos mal tejida de “coronaviruscolombia.gov.co”
Es fundamental poner el tema en la agenda y nutrir la conversación. ¿Trabajas en un medio de comunicación? Escríbenos a comunicaciones@karisma.org.co