¿Qué dice que hace y qué es lo que realmente hace CoronApp?

2020-04-23 Leer en voz alta

Por Carolina Botero, Pilar Sáenz, Stéphane Labarthe, Andrés Velásquez

El desarrollo de cualquier solución tecnológica, especialmente las que se basan en la recolección y tratamiento de datos como las aplicaciones contra el Covid 19, debe guiarse por unos objetivos que ayuden a medir sus efectividad y utilidad. Es muy importante comunicar estos objetivos para dar a conocer qué es, qué hace la herramienta y cómo lo hace.

Los gobiernos que sirven de referencia para los temas de aplicaciones para el Covid 19, como Corea del Sur, publican información técnica donde describen con detalles el modelo epidemiológico, técnico y de privacidad por diseño que siguen, por ejemplo. En todo caso, lo mínimo que hacen es describir de la herramienta se encuentre en los sitios desde donde se pueden descargar o usar (ej. sitio web, tiendas de aplicaciones); con más detalle en sus términos y condiciones de uso y en sus políticas de privacidad, que incluyen las políticas de protección de datos pero que en soluciones especialmente complejas van incluso más allá, porque deben explicar cómo se protege la privacidad y seguridad de la información con detalles que den confianza a las personas.

Lo cierto es que, en general, las finalidades de las soluciones tecnológicos evaluadas no son nada claras con la información disponible; hay que revisar sus funcionalidades para llegar a conclusiones sobre lo que hacen.

CoronApp -Colombia

Aunque la aplicación existe en Colombia desde 2017, fue a principios de marzo de este año que recibió su nombre CoronApp-Colombia y se le destinó para este fin. En ese momento, la app tenía fines más informativos y buscaba rastrear síntomas de la enfermedad. Sus funcionalidades básicas permitían el registro para recibir alertas, información sobre la enfermedad, reporte del estado de salud y una autoevaluación. Dos semanas después, le habían incorporado funciones para hacer rastreo de ubicación y rastreo de contagio por proximidad. 

Como se puede ver en la tabla comparativa de las aplicaciones, la cual se encuentra anterior publicación, ¿Qué sabemos de las tres herramientas que se anuncian como soluciones tecnológicas para el manejo del COVID 19?, la aplicación pide datos personales y de salud a la persona que se registra, quien también puede aportar los de su familia. Adicionalmente, se activan permisos en el celular para acceder y transmitir periódicamente datos de localización y también tiene los permisos para bluetooth y WIFI lo que le permitirá desarrollar la funcionalidad de rastreo de contagio por proximidad.

A mediados de marzo ya se veían los permisos de GPS, Bluetooth y acceso a las redes WIFI del entorno. Desde entonces la aplicación puede usar los datos de ubicación de los celulares de las personas que se registran para determinar dónde están -el celular envía un reporte de la ubicación GPS periódicamente- y con quién se contactan -el Bluetooth o el wifi pueden identificar a otros celulares en los alrededores-. Almacenando esta información se puede crear una línea de tiempo de ubicación del celular y su cercanía con otros durante ese período. El propósito sería buscan si una persona estuvo cerca de alguien que resultó positivo a Covid-19. Es importante recordar que aunque parece que hablamos de rastrear personas, realmente la herramienta sirve para rastrear dispositivos.

A pesar de que la app ya podía hacer todo esto en marzo, sus términos y condiciones de uso solo lo reflejaron en abril. Desde entonces se indica que la aplicación hará tratamiento de datos respondiendo “a medidas de prevención, contención y mitigación frente al COVID-19” (1) y dentro de los ocho propósitos detalla los siguientes tres: (v) acceder a la geolocalización de usuarios y la ubicación del dispositivo para despliegue de esfuerzos de diagnóstico; (vi) acceder a la conexión Bluetooth del dispositivo para identificación de cercanía con otros dispositivos móviles que utilizan CoronApp-Colombia, con el propósito de identificar potenciales cadenas de contagio del COVID-19; y (vii) envío de comunicaciones y código de verificación a través de SMS. El análisis no permite saber cuál es el estado de desarrollo, ni cómo se desplegará esta funcionalidad, tampoco sabemos cómo operará No hay información, tan solo podemos confirmar que la aplicación tiene la capacidad para hacerlo.

Nos enteramos primero por una noticia pagada por la empresa Hyperlabs que por nuestro gobierno: Colombia será el primer país en América Latina en adoptar el sistema pantentado de “contact tracing” o rastreo de contagio por proximidad de HypeLabs. 

Esta tecnología es ofrecida gratuitamente a los gobiernos para ser incorporada en sus propias aplicaciones. La promocionan como un sistema anónimo y privado con paneles de control para el gobierno y para los prestadores de salud que reportan los casos positivos. Aunque hay estándares internacionales reconocidos para contact tracing por proximidad pseudo anónimos, no hay ninguna mención a que esta herramienta adopte alguno.

Las funcionalidades que le han ido incluyendo a la aplicación suponen que en un mes pasó de ser una aplicación informativa y de rastreo de síntomas, para convertirse en una de rastreo de contagio por proximidad y, con los Términos y Condiciones de Uso actualizados, en abril se planteó que forma parte de las medidas para atender la emergencia sanitaria. Pero aún no tenemos claridad sobre la finalidad, sobre el objetivo de la aplicación, lo que es crucial como elemento de transparencia, especialmente en una medida que se toma en desarrollo de una emergencia. CoronApp-Colombia no tienen asociada ningún documento que explique las características de su modelo a ningún nivel (epidemiológico, técnico o de diseño de privacidad y seguridad digital).

Más recientemente altos funcionarios del gobierno Duque hablan del rol de CoronaApp- Colombia en la “cuarentena inteligente” como “pasaporte de movilidad” sin que, de nuevo, exista información pública al respecto, mucho menos explicaciones o detalles sobre la forma como esto servirá para levantar las medidas de aislamiento y retomar algunas actividades económicas.

El pasaporte de movilidad hace que los datos de estado de salud de una personas combinados con los de rastreo de localización y de contagio por proximidad arrojen una clasificación asociada al riesgo de contagio que tiene esa persona. La calificación se usa para buscar que algunas personas puedan dejar el aislamiento y retomar algunas actividades económicas. 

La ausencia de transparencia no nos permite conocer el mapa de ruta ni los los planes de esta herramienta; mientras tanto salen nuevas versiones de la aplicación. La última el pasado martes 21 de abril. Al instalarla ahora anuncia “se agrega la funcionalidad denominada Estatus de movilidad que permite generar y consultar un código QR que puede ser de color verde, amarillo o rojo, dependiendo del resultado del autodiagnóstico de salud y cumplimiento de las excepciones consignadas en el Decreto 531 de 2020 y Resolución 464 de 2020”. Sin transparencia las preguntas sobre cómo se articula con la estrategia nacional epidemiológica están vigentes y las preocupaciones sobre cómo protege derechos se mantienen.

En medio de la emergencia el afán se nota. En la evaluación de privacidad y seguridad digital que el laboratorio de seguridad digital de Karisma- K+Lab-, realizó a través de metodologías externas y no intrusivas, evidenciamos que la aplicación de base era de muy baja calidad y cargaba con dos vulnerabilidades que ya fueron corregidas. No descartamos que existan otras vulnerabilidad que no hayan sido encontradas por nuestro análisis, ni otras que puedan generarse con la introducción de nuevas funcionalidades y los cambios entre versiones.

La primera vulnerabilidad consistía en que la transmisión de los datos se hacía sin usar el protocolo seguro HTTPS, esto se corrigió hacia mediados de abril y de hecho había sido reportado previamente por una organización internacional. La vulnerabilidad más grave era una de autenticación que fue corregida en la versión del 14 de abril. Esta vulnerabilidad podría haber comprometido la base de datos de las cientos de miles de personas registradas -y sus familias- hasta ese momento permitiendo el acceso por terceros no autorizados a los datos personales y de salud.

El ejercicio que hizo K+Lab se basa en metodologías externas y no intrusivas, puede detectar problemas importantes, como quedó demostrado en estos casos, pero, ¿qué encontrarán si usan metodologías más complejas y profundas? Karisma es clara al afirmar que nuestro ejercicio no reemplaza la buena práctica de hacer auditorías periódicas (externas e internas), con metodologías más profundas -que incluyan por ejemplo auditoría interna, de código o tests de penetración-. Además, los resultados de esas auditorías deberían ser públicos para que cualquier persona conozca y pueda tener confianza en esos desarrollos. Adicionalmente, los responsables de las aplicaciones tienen la obligación legal de reportar a la autoridad de protección de datos que su tecnología tuvo una vulnerabilidad de seguridad que pudo comprometer los datos de las personas usuarias.

En la documentación de esta aplicación no se ofrece información sobre la forma como gestiona de manera segura y respetuosa la privacidad de los datos, no explica cómo es la temporalidad de su naturaleza, ni lo que sucederá con los datos al finalizar esta emergencia. En los términos y condiciones de uso hacen referencias generales a que cumplen la ley, que toman medidas seguras o indican que la información de salud quedará alojada en una infraestructura dedicada, lo que obligaría a preguntarse entonces ¿qué pasa con los datos de localización o contagio por proximidad?

Entonces…

Con una visión muy romántica de los poderes de la tecnología, nuestras autoridades creen que su uso les da soluciones infalibles para enfrentar la pandemia. Están destinando importantes recursos sin cuestionar la utilidad en condiciones en las que no nos han explicado cuáles son las probabilidades de éxito. El modelo de desarrollo de estos instrumentos responde a uno que en otras oportunidades hemos llamado en Karisma de “ensayo y error”. 

Imprimir transparencia y dar información detallada sobre el modelo epidemiológico, técnico y el diseño de la privacidad y seguridad digital de la herramienta es lo que permitirá entender y explicar su eficacia dentro de la estrategia integral del gobierno, y establecer sus límites y posibles efectos de exclusión y discriminación.

Vale la pena recordar a las autoridades que para el despliegue de una herramienta tecnológica de vigilancia, como lo es CoronApp_Colombia, se debe tener en cuenta que este instrumento:

  • Se justifique según la finalidad en conexión con el problema epidemiológico y con la evidencia que le de sentido.
  • Sea voluntario, en ningún caso deberá convertirse en una imposición e incluye   implementar debidamente mecanismos de consentimiento expreso e informado no solo para el uso de la aplicación sino para el tratamiento de datos (para cada funcionalidad como lo ha dicho la autoridad).
  • Sea transparente, informando sobre finalidad, funcionalidades, forma de implementación, forma cómo están protegiendo derechos, identificar claramente responsables y quiénes pueden acceder a los datos.
  • Debe incluir mecanismos de evaluación de impacto y desempeño durante la vida útil que les permita hacer los ajustes necesarios e informar sobre el despliegue y efectividad de la medida.
  • Tenga privacidad y seguridad por diseño. Es obligación del Estado demostrar que su diseño está pensado para proteger la privacidad, que es el mayor riesgo, y la seguridad, que es una de las formas de conservarla.
  • Sea temporal, como medida excepcional debe desaparecer cuando acabe la emergencia y los datos recogidos en este marco se deben borrar o anonimizar, y debe indicar cómo se hará efectiva tal previsión.
  • Cuente con mecanismos de supervisión y control propios y facilitar los externos. Tanto para ver cómo se está ejecutando, su eficacia o los ajustes que requiera y también en materia de seguridad digital. Cualquiera debe poder hacer seguimiento a la herramienta para contribuir con la confianza en ella.

(1) TRATAMIENTO DE DATOS PERSONALES: CoronApp recolecta datos públicos, semiprivados, privados y sensibles de los usuarios, los cuales  serán  tratados  por  las  Entidades  para  el  despliegue  de  medidas  de  prevención, contención  y  mitigación  frente  al  COVID-19,  específicamente  para: i)  crear  y  activar  el registro de usuario en CoronApp; (ii) permitir al usuario el ingreso a CoronApp y uso de sus funcionalidades; (iii) realizar reporte del estado de salud de los usuarios y sus familiares en tercer nivel de consanguinidad y primero de afinidad, conforme lo establecido en el inciso c)del artículo 10 de la Ley 1581 de 2012; (iv) monitorear síntomas, signos de alarma de afección respiratoria y riesgos en salud pública asociados al coronavirus COVID-19; (v) acceder a la geolocalización de usuarios y la ubicación del dispositivo para despliegue de esfuerzos de diagnóstico; (vi) acceder a la conexión Bluetooth del dispositivo para identificación de cercanía con otros dispositivos móviles que utilizan CoronApp, con el propósito de identificar potenciales cadenas de contagio del COVID-19; (vii) envío de comunicaciones y código de verificación a través de SMS; y  (viii) crear y  mantener la base de  datos de  los usuarios de CoronApp. Los datos suministrados serán tratados conforme a lo dispuesto en la Ley 1581 de 2012 y sus decretos reglamentarios.


Para conocer los hallazgos y más detalles de los análisis técnicos que venimos realizando, le invitamos a leer nuestro artículo; CoronApp, Medellín me Cuida y CaliValle Corona al laboratorio, O cómo se hackea CoronApp sin siquiera intentarlo.

También le invitamos a leer nuestras entradas: 

Importancia de la discusión sobre el uso de de aplicaciones móviles y herramientas para controlar la pandemia

¿Qué sabemos de estas tres herramientas que se anuncian como soluciones tecnológicas para el manejo del Covid 19?

¿Qué dice que hace y qué es lo que realmente hace Medellín me Cuida?

¿Qué dice que hace y qué es lo que realmente hace CaliValle Corona?

Nota: Estas publicaciones e investigaciones son parte de la veeduría ciudadana que hacemos como organización de la sociedad civil. El Estado debe mejorar la transparencia en el despliegue de esta tecnología indicando cuál es su propósito dentro de la estrategia contra el Covid 19, explicando cómo lo hacen, cuáles son sus ĺímites y cómo protegen nuestros derechos. Adicionalmente, deben comprometer a hacer auditorías (internas y externas) para detectar con mayor urgencia las vulnerabilidades y otros problemas de seguridad y privacidad digital a las que se exponen las personas que usan estas aplicaciones, estas auditorías deben ser públicas y estar al alcance de cualquiera.

10 comentarios

  • Brocardo de J Montoya B. says:

    Necesito saber cómo borro un familiar de la aplicación Coronapp Colombia. Por favor su ayuda.

    • karisma says:

      Hola, lamentablemente no sabemos como hacer esto. Parte del problema es que la aplicación no es muy transparente sobre la forma como opera. De todo lo que analizamos en nuestro informe técnico, no vimos algo que sirviera para atender Tu pregunta. Seguramente tu familiar puede hacer una solicitud por “habeas data” y pedir que sus datos sean eliminados, eso es lo que se nos ocurre.

  • Maria says:

    Trabajo en una institución del orden nacional y publicaron la versión en borrador del protocolo de bioseguridad para el regreso a las instalaciones físicas. En este protocolo incluyen como obligación que todos los funcionarios y contratistas descarguen en sus celulares la aplicación CoronaApp.
    Esto es legal? De ser obligatorio , qué medidas puedo tomar para proteger mis datos? Si tienen comentarios se los agradecería para remitirlos a la entidad.

    • karisma says:

      Buenos días María, en este enlace puedes encontrar una buena explicación del problema https://cv19.karisma.org.co/docs/Resolucion666MinisterioSalud/
      Ahora, lo que podrías intentar para hacer exigible la protección de tus datos es interponer un derecho de petición a tu empleador, pidiendo que te expliquen cómo la recolección de esa información se adecua a ese marco jurídico. Si no te responden o no lo aplican, se podría usar una acción de tutela. Como ves no es sencillo y puede demorarse.

  • Ap says:

    Hello! I have not been able to locate the source code of CoronApp. Could you please share a link of the same?

    • karisma says:

      Hi, We had reach out to the government letting them know that since their software is GPL they should publish the source code. This has not happened yet. We are planning an action to explain this as they seem to believe otherwise.

  • adolfo patiño says:

    muy interesante y muy preocupante la situación relacionada con estas aplicaciones dedicadas al rastreo de personas … esto en un país tan polarizado y corrupto es muy preocupante

  • nicolas says:

    Hola ¿alguien sabe para que se usaba esta aplicación anteriormente?. He visto en facebook gente con teorías conspirativas que afirmar que: como la app esta disponible desde el 2017 el gobierno ya sabia con anterioridad la existencia del virus y que es un plan y blablabla. Solo quiero ayudar a desmentir tales locuras.

    • karisma says:

      Buenos días Nicolás.

      En al artículo “CoronApp: muchos datos, ¿pocos beneficios?” que fue publicado recientemente por el Indice coronavirus y derechos digitales Colombia -del cual hacemos parte-, hay una explicación para eso que preguntas: “CoronApp tiene su origen en 2017, cuando se llamaba “Guardianes de la salud” y fue lanzada por el Instituto Nacional de Salud (INS) en vísperas de la visita del Papa Francisco a Colombia. El objetivo de la aplicación en ese entonces era monitorear los riesgos de salud que se pudieran presentar en medio de las aglomeraciones y que los usuarios reportaran si estaban enfermos”. https://web.karisma.org.co/coronapp-muchos-datos-pocos-beneficios/

      Gracias por confiar en nosotrxs.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.