¿Qué dice que hace y qué es lo que realmente hace Medellín me Cuida?

2020-04-23 Leer en voz alta

Por Carolina Botero, Pilar Sáenz, Stéphane Labarthe, Andrés Velásquez

El desarrollo de cualquier solución tecnológica, especialmente las que se basan en la recolección y tratamiento de datos como las aplicaciones contra el Covid 19, debe guiarse por unos objetivos que ayuden a medir sus efectividad y utilidad. Es muy importante comunicar estos objetivos para dar a conocer qué es, qué hace la herramienta y cómo lo hace.

Los gobiernos que sirven de referencia para los temas de aplicaciones para el Covid 19, como Corea del Sur, publican información técnica donde describen con detalles el modelo epidemiológico, técnico y de privacidad por diseño que siguen, por ejemplo. En todo caso, lo mínimo que hacen es describir de la herramienta se encuentre en los sitios desde donde se pueden descargar o usar (ej. sitio web, tiendas de aplicaciones); con más detalle en sus términos y condiciones de uso y en sus políticas de privacidad, que incluyen las políticas de protección de datos pero que en soluciones especialmente complejas van incluso más allá, porque deben explicar cómo se protege la privacidad y seguridad de la información con detalles que den confianza a las personas.

Lo cierto es que, en general, las finalidades de las soluciones tecnológicos evaluadas no son nada claras con la información disponible; hay que revisar sus funcionalidades para llegar a conclusiones sobre lo que hacen. Este documento recoge el análisis realizado con corte a 17 de abril de 2020.

Medellín Me Cuida

Esta solución tecnológica es un sitio web, por tanto, muchas de las características que evaluamos en las otras dos aplicaciones que se anuncian como soluciones tecnológicas para el manejo del Covid 19 no tienen sentido acá. Eso también reduce el tipo de funcionalidades que despliega autónomamente.

Este sitio sirve para registrar y reportar factores de riesgo (cómo enfermedades crónicas o ser fumador) y el estado de salud de la persona y de su núcleo familiar. La forma cómo esta información aporta a una estrategia de rastreo de síntomas, no se puede deducir del análisis.

Aunque no tiene capacidades de rastreo de ubicación o contacto, que son más propias de las aplicaciones porque usan los datos del GPS, Bluetooth o WiFi del equipo, funciona en alianza con EPM y se vincula a la factura de servicio público de esta empresa. Esta alianza hace que sea posible asociar a las personas que se registran con la ubicación del predio y su dirección postal, por tanto, puede también usar información de la ciudadanía para identificar focos epidemiológicos cruzando estos datos. No se encontraron documentos asociados que expliquen el modelo epidemiológico, técnico o de diseño de la privacidad y seguridad digital de la herramienta.

Del análisis de funcionalidades realizado por Karisma, tenemos una idea de lo que hace la herramienta, pero esto no se deduce de información que la acompaña, que realmente no existe. De hecho, hasta la fecha de evaluación la poca información no incorpora límites ni acota alcance, más bien intenta justificar que cualquier funcionalidad sirva en el marco de la emergencia sanitaria ocasionada por el COVID 19. Incluso la política de privacidad que le aplica es la de la Alcaldía, donde dice que podrán compartir los datos de la ciudadanía con prácticamente cualquiera, incluidos aliados de la Alcaldía. NOTA. En los días previos a la publicación de esta nota, el sitio publicó unos nuevos términos de uso que son específicos para Medellín me Cuida. Este documento ofrece algo más de información y busca limitar el alcance. Aún así se mantienen finalidades amplias, incorporan unas pocas normas de protección de datos y quizá lo más preocupante, dejan expreso que los datos se recopilan permanentemente, no están atados a la temporalidad de la emergencia.

En la evaluación de seguridad digital Karisma identificó una vulnerabilidad indirecta importante que se encuentra todavía en evaluación por los responsables, por tanto el reporte se publicará más adelante actualizando esta misma entrada.  (1)

Esta aplicación no ofrece información detallada y técnica que explique cómo la arquitectura del sistema de información considera la seguridad y la privacidad por diseño. NOTA. En los nuevos Términos de Uso recientemente publicados se detallan algunas características de la tecnología para garantizar la seguridad de la información, esto da algo más de la información que ofrecía antes pero no supone explicaciones técnicas sobre los métodos que usa más allá de genéricos “de manera segura”.

El ejercicio que hizo K+Lab se basa en metodologías externas y no intrusivas, puede detectar problemas importantes, como quedó demostrado en estos casos, pero, ¿qué encontrarán si usan metodologías más complejas y profundas? Karisma es clara al afirmar que nuestro ejercicio no reemplaza la buena práctica de hacer auditorías periódicas (externas e internas), con metodologías más profundas -que incluyan por ejemplo auditoría interna, de código o tests de penetración-. Además, los resultados de esas auditorías deberían ser públicos para que cualquier persona conozca y pueda tener confianza en esos desarrollos. Adicionalmente, los responsables de las aplicaciones tienen la obligación legal de reportar a la autoridad de protección de datos que su tecnología tuvo una vulnerabilidad de seguridad que pudo comprometer los datos de las personas usuarias.

La forma como otras funcionalidades que no están vinculadas con el manejo de la epidemia se entremezclan con el formulario es bastante oscura. Dar información sobre subsidios de la alcaldía es una función muy diferente, que involucra a otras autoridades y por tanto surgen otras preguntas ¿Comparten la misma base de datos?, ¿parte de los datos que se recogen están vinculados con esas otras funcionalidades?, ¿quiénes acceden a estos datos?

Conclusiones

Con una visión muy romántica de los poderes de la tecnología, nuestras autoridades creen que su uso les da soluciones infalibles para enfrentar la pandemia. Están destinando importantes recursos sin cuestionar la utilidad en condiciones en las que no nos han explicado cuáles son las probabilidades de éxito. El modelo de desarrollo de estos instrumentos responde a uno que en otras oportunidades hemos llamado en Karisma de “ensayo y error”.

Imprimir transparencia y dar información detallada sobre el modelo epidemiológico, técnico y el diseño de la privacidad y seguridad digital de la herramienta es lo que permitirá entender y explicar su eficacia dentro de la estrategia integral del gobierno, y establecer sus límites y posibles efectos de exclusión y discriminación.

Vale la pena recordar a las autoridades que para el despliegue de una herramienta tecnológica como lo es Medellín me Cuida se debe tener en cuenta que este instrumento:

  • Se justifique según la finalidad en conexión con el problema epidemiológico y con la evidencia que le de sentido.
  • Sea voluntario, en ningún caso deberá convertirse en una imposición e incluye   implementar debidamente mecanismos de consentimiento expreso e informado no solo para el uso de la aplicación sino para el tratamiento de datos (para cada funcionalidad como lo ha dicho la autoridad).
  • Sea transparente, informando sobre finalidad, funcionalidades, forma de implementación, forma cómo están protegiendo derechos, identificar claramente responsables y quiénes pueden acceder a los datos.
  • Debe incluir mecanismos de evaluación de impacto y desempeño durante la vida útil que les permita hacer los ajustes necesarios e informar sobre el despliegue y efectividad de la medida.
  • Tenga privacidad y seguridad por diseño. Es obligación del Estado demostrar que su diseño está pensado para proteger la privacidad, que es el mayor riesgo, y la seguridad, que es una de las formas de conservarla.
  • Sea temporal, como medida excepcional debe desaparecer cuando acabe la emergencia y los datos recogidos en este marco se deben borrar o anonimizar, y debe indicar cómo se hará efectiva tal previsión.
  • Cuente con mecanismos de supervisión y control propios y facilitar los externos. Tanto para ver cómo se está ejecutando, su eficacia o los ajustes que requiera y también en materia de seguridad digital. Cualquiera debe poder hacer seguimiento a la herramienta para contribuir con la confianza en ella.

(1) 30 de abril de 2020: En esta fecha publicamos el reporte sobre la evaluación de seguridad digital de Medellín me Cuida, luego de que los responsables de esta herramienta repararan las vulnerabilidades que fueron advertidas:

Para conocer los hallazgos y más detalles de los análisis técnicos que venimos realizando, le invitamos a leer nuestro artículo; CoronApp, Medellín me Cuida y CaliValle Corona al laboratorio, O cómo se hackea CoronApp sin siquiera intentarlo.

También le invitamos a leer nuestras entradas: 

Importancia de la discusión sobre el uso de de aplicaciones móviles y herramientas para controlar la pandemia

¿Qué sabemos de estas tres herramientas que se anuncian como soluciones tecnológicas para el manejo del Covid 19?

¿Qué dice que hace y qué es lo que realmente hace CoronApp?

¿Qué dice  y qué es lo que realmente  hace CaliValle Corona?

Nota: Estas publicaciones e investigaciones son parte de la veeduría ciudadana que hacemos como organización de la sociedad civil. El Estado debe mejorar la transparencia en el despliegue de esta tecnología indicando cuál es su propósito dentro de la estrategia contra el Covid 19, explicando cómo lo hacen, cuáles son sus ĺímites y cómo protegen nuestros derechos. Adicionalmente, deben comprometer a hacer auditorías (internas y externas) para detectar con mayor urgencia las vulnerabilidades y otros problemas de seguridad y privacidad digital a las que se exponen las personas que usan estas aplicaciones, estas auditorías deben ser públicas y estar al alcance de cualquiera.

1 comentario

  • jjjaimjaime agjaijjaime agudelo says:

    estoy totalmente de acuerdo con uds. quien nos protege no usen esos datos para posibles extorsiones. como sabremos si van a desaparecer sin hacer copias y venderlas a alguien. sera que somos un Estado sin libertades y por ultimo sera que esaa bases nos CURARAN DEL.COVID19?
    GRACIAS.

Deja un comentario

Tu dirección de correo electrónico no será publicada.

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.