¿Qué dice que hace y qué es lo que realmente hace CaliValle Corona?

2020-04-23 Leer en voz alta

Por: Carolina Botero, Pilar Sáenz, Stéphane Labarthe y Andrés Velásquez

El desarrollo de cualquier solución tecnológica, especialmente las que se basan en la recolección y tratamiento de datos como las aplicaciones contra el Covid 19, debe guiarse por unos objetivos que ayuden a medir sus efectividad y utilidad. Es muy importante comunicar estos objetivos para dar a conocer qué es, qué hace la herramienta y cómo lo hace.

Los gobiernos que sirven de referencia para los temas de aplicaciones para el Covid 19, como Corea del Sur, publican información técnica donde describen con detalles el modelo epidemiológico, técnico y de privacidad por diseño que siguen, por ejemplo. En todo caso, lo mínimo que hacen es describir de la herramienta se encuentre en los sitios desde donde se pueden descargar o usar (ej. sitio web, tiendas de aplicaciones); con más detalle en sus términos y condiciones de uso y en sus políticas de privacidad, que incluyen las políticas de protección de datos pero que en soluciones especialmente complejas van incluso más allá, porque deben explicar cómo se protege la privacidad y seguridad de la información con detalles que den confianza a las personas.

Lo cierto es que, en general, las finalidades de las soluciones tecnológicos evaluadas no son nada claras con la información disponible; hay que revisar sus funcionalidades para llegar a conclusiones sobre lo que hacen. Este documento recoge el análisis realizado con corte a 16 de abril de 2020.

CaliValle Corona

El análisis que nuestro laboratorio de seguridad digital, K+Lab, hizo de CaliValle Corona también establece que esta herramienta funciona para registro, para recibir alertas, hacer el reporte del estado de salud y hacer la autoevaluación. Es decir, tiene fines informativos y puede hacer rastreo de síntomas. Además, tiene  funcionalidades más sofisticadas de localización con el GPS y permisos para usar Bluetooth y WIFI para hacer rastreo de contagio por proximidad. 

Esta aplicación es bastante invasiva. Por ejemplo, además de los datos de salud, pide a quien se registra varios datos personales innecesarios como la placa del vehículo propio. CaliValle Corona activa 35 permisos, incluyendo algunos que ponen en un mayor riesgo a  la  privacidad de las personas: permite acceso a dispositivos de almacenamiento externos, control de ubicación fino y aproximado -uno de los permisos permite controlar la configuración del bluetooth para permitir más precisión que la que usualmente tienen asignados los dispositivos, por ejemplo-, control de actividades físicas -que apunta a revelar si el portador del celular se baja de un carro, es decir en la práctica promete identificar movimientos como agacharse o levantarse de una silla -.

No sabemos cómo o para qué se usan esos permisos pero sí comprobamos que reporta la localización del GPS compulsivamente (35 veces en un lapso de 12 horas). La aplicación parece más preparada para usar capacidades de localización que de rastreo de contagio por proximidad, pero podría adaptarlas fácilmente.

La ausencia de información que nos permita saber cuál es la finalidad y qué hace esta aplicación también es notoria en esta solución. En algunas partes dice simplemente que es para controlar los síntomas o indica que sirve para hacer la autoevaluación, en ninguna explica el resto de capacidades. Vale la pena mencionar que la escasa información referida contrasta con el hecho de que, en el proceso de instalación, las personas deben aceptar unos términos de uso que no existen y una política de protección de datos que no se ajusta a la aplicación pues está pensada en datos de una ciudad.  Tampoco se encontraron documentos asociados que expliquen el modelo epidemiológico, técnico o de diseño referidos a su manejo de la privacidad y seguridad digital.

También en este caso los responsables tienen planes más ambiciosos para esta aplicación. Recientemente, el Alcalde de Cali indicó a los medios que se usará para hacer cumplir la cuarentena a las personas infectadas con COVID-19. Indicaba que para eso usarán los datos de localización de la aplicación. Dice que la georeferenciación alimenta un mapa donde los puntos rojos son las personas infectadas, que cambian de color a naranja si la persona se sale del lugar de confinamiento. Cuando eso pasa, se activa una alarma que puede incluso significar el envío de policía para hacer cumplir la cuarentena. 

Esta funcionalidad es de coerción o control. Es decir, usará los datos que las personas entregan voluntariamente ya no para controlar los síntomas de la enfermedad, sino para controlar a la persona. Sin tener detalles, parece que la aplicación será de uso obligatorio para los pacientes.  Una nueva restricción de derechos que exige nuevas garantías. 

Es importante tener en cuenta que el GPS del celular tiene un margen de error de varios metros, mientras que el Bluetooth y el Wifi identificaría la cercanía de otros dispositivos encendidos en un radio de un par de metros en ocasiones incluso a través de paredes. Además esto depende de si la señal es buena o mala, es decir, funciona para hacer seguimiento de mi actividad física diaria pero no es confiable como mecanismos para imponer sanciones y medidas policivas.

Hay muchas preguntas ¿qué tan precisos son esos datos cuando nos movemos en tan solo un radio de unos metros y hay paredes por todas partes? El dato puede ubicar el celular en la casa del frente (¿cuántas veces no le pasa que pide el taxi y le llega a la casa de la esquina?), las personas no siempre andan con el celular pegado al cuerpo y una persona puede estar cerca de otra pero estar separadas por una pared. ¿Qué tan fiable es esto en un bloque de apartamentos?, ¿en un inquilinato?, ¿cuánto vale desplazar a la policía a cientos de casos que podrían no ser lo que parecen? Si no sirve para eso, ¿se justifica que la autoridad sepa incluso cuando me agacho?

La evaluación de Karisma encontró que la aplicación CaliValle Corona es una herramienta muy invasiva con dos vulnerabilidades que están en proceso de socialización con los responsables. Una vez las vulnerabilidades se reparen el reporte se publicará actualizando esta misma entrada. Esta aplicación no ofrece información sobre la forma como gestiona de manera segura y respetuosa la privacidad de los datos, no explica cómo es la temporalidad de su naturaleza, ni lo que sucederá con los datos al finalizar esta emergencia.

Insistimos en afirmar, lo hemos hecho en relación con las evaluaciones hechas a CoronApp_Colombia y a CaliValle Corona, el ejercicio que hizo K+Lab se basa en metodologías externas y no intrusivas, puede detectar problemas importantes, como quedó demostrado acá, pero, ¿qué encontrarán si usan metodologías más complejas y profundas? Por eso Karisma es clara al afirmar que nuestro ejercicio no reemplaza la buena práctica de hacer auditorías periódicas (externas e internas), con metodologías más profundas -que incluyan por ejemplo auditoría interna, de código o tests de penetración-. Además, los resultados de esas auditorías deberían ser públicos para que cualquier persona conozca y pueda tener confianza en esos desarrollos. Adicionalmente, los responsables de las aplicaciones tienen la obligación legal de reportar a la autoridad de protección de datos que su tecnología tuvo una vulnerabilidad de seguridad que pudo comprometer los datos de las personas usuarias.

La forma como otras funcionalidades que no están vinculadas con el manejo de la epidemia se entremezclan con la aplicación no es clara. Si esta aplicación se usa para dar permisos de movilidad especiales a algunos vehículos, eso explicaría que se pidan placas de vehículos pero usar el mismo formulario en que me registro para ser parte de un programa de seguimiento al virus en ese caso es difícil de justificar. Es una función muy diferente, que involucra a otras autoridades y por tanto preguntas como ¿quiénes tienen acceso a la base de datos?, acaso ¿parte de los datos que se recogen están vinculados con esas otras funcionalidades?

Conclusiones

Con una visión muy romántica de los poderes de la tecnología, nuestras autoridades creen que su uso les da soluciones infalibles para enfrentar la pandemia. Están destinando importantes recursos sin cuestionar la utilidad en condiciones en las que no nos han explicado cuáles son las probabilidades de éxito. El modelo de desarrollo de estos instrumentos responde a uno que en otras oportunidades hemos llamado en Karisma de “ensayo y error”. 

Imprimir transparencia y dar información detallada sobre el modelo epidemiológico, técnico y el diseño de la privacidad y seguridad digital de la herramienta es lo que permitirá entender y explicar su eficacia dentro de la estrategia integral del gobierno, y establecer sus límites y posibles efectos de exclusión y discriminación.

Vale la pena recordar a las autoridades que para el despliegue de una herramienta tecnológica de vigilancia, como lo es CaliValle Corona, se debe tener en cuenta que este instrumento:

  • Se justifique según la finalidad en conexión con el problema epidemiológico y con la evidencia que le de sentido.
  • Sea voluntario, en ningún caso deberá convertirse en una imposición e incluye   implementar debidamente mecanismos de consentimiento expreso e informado no solo para el uso de la aplicación sino para el tratamiento de datos (para cada funcionalidad como lo ha dicho la autoridad).
  • Sea transparente, informando sobre finalidad, funcionalidades, forma de implementación, forma cómo están protegiendo derechos, identificar claramente responsables y quiénes pueden acceder a los datos.
  • Debe incluir mecanismos de evaluación de impacto y desempeño durante la vida útil que les permita hacer los ajustes necesarios e informar sobre el despliegue y efectividad de la medida.
  • Tenga privacidad y seguridad por diseño. Es obligación del Estado demostrar que su diseño está pensado para proteger la privacidad, que es el mayor riesgo, y la seguridad, que es una de las formas de conservarla.
  • Sea temporal, como medida excepcional debe desaparecer cuando acabe la emergencia y los datos recogidos en este marco se deben borrar o anonimizar, y debe indicar cómo se hará efectiva tal previsión.
  • Cuente con mecanismos de supervisión y control propios y facilitar los externos. Tanto para ver cómo se está ejecutando, su eficacia o los ajustes que requiera y también en materia de seguridad digital. Cualquiera debe poder hacer seguimiento a la herramienta para contribuir con la confianza en ella.

Para conocer los hallazgos y más detalles de los análisis técnicos que venimos realizando, le invitamos a leer nuestro artículo; CoronApp, Medellín me Cuida y CaliValle Corona al laboratorio, O cómo se hackea CoronApp sin siquiera intentarlo.

También le invitamos a leer nuestras entradas: 

Importancia de la discusión sobre el uso de de aplicaciones móviles y herramientas para controlar la pandemia

¿Qué sabemos de estas tres herramientas que se anuncian como soluciones tecnológicas para el manejo del Covid 19?

¿Qué dice que hace y qué es lo que realmente hace CoronApp?

¿Qué dice que hace y qué es lo que realmente hace Medellín me Cuida?

Nota: Estas publicaciones e investigaciones son parte de la veeduría ciudadana que hacemos como organización de la sociedad civil. El Estado debe mejorar la transparencia en el despliegue de esta tecnología indicando cuál es su propósito dentro de la estrategia contra el Covid 19, explicando cómo lo hacen, cuáles son sus ĺímites y cómo protegen nuestros derechos. Adicionalmente, deben comprometer a hacer auditorías (internas y externas) para detectar con mayor urgencia las vulnerabilidades y otros problemas de seguridad y privacidad digital a las que se exponen las personas que usan estas aplicaciones, estas auditorías deben ser públicas y estar al alcance de cualquiera.

Deja un comentario

Tu dirección de correo electrónico no será publicada.

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.