Rastreo digital en Bogotá

2020-06-24 Leer en voz alta

Por Stéphane Labarthe

Bogotá ha estado usando formularios para recoger información que servirá después a las autoridades de salud en sus estrategias contra el COVID 19, así que, por la importancia y la sensibilidad de los datos que se recolectan, desde el Laboratorio de seguridad y privacidad digital de Karisma- K+Lab-, decidimos analizar los tres formularios (Alerta Covid, Hábitos y Autocuidado y Resultados de exámenes), que se usaban en mayo de 2020 en la estrategia “Bogotá Salud Capital”.

A simple vista  nos preocupó la seguridad digital de los datos por el uso  del  protocolo HTTP en el sitio web en el que reposan los tres formularios (1) . Este protocolo es inseguro y permite hacer la transmisión de información sin las medidas para garantizar la identidad del sitio ni la confidencialidad de los datos que son potencialmente muy sensibles en este contexto.

El análisis técnico confirmó este problema, junto con otras vulnerabilidades más leves de seguridad digital. Además, puso en evidencia hallazgos relacionados con la privacidad. Las páginas web incorporan herramientas externas que instalan cookies de rastreo en el dispositivo de la persona usuaria. Una de ellas, el sistema de notificación “TruePush”,  que incluye explícitamente en sus términos y condiciones  la posibilidad de compartir los datos que recolectan con aliados y otras empresas (2) para fines publicitarios.

Estábamos listos para enviar el informe con estos hallazgos a la Alcaldía de Bogotá para que tomaran las medidas que considerara oportunas cuando lanzaron la  nueva plataforma, “Bogotá Cuidadora” y su inclusión en la aplicación para smartphones GABO. El lanzamiento produjo mucho ruido porque tenía un componente de “reporte de movilidad” que era  obligatorio. Como lo mencionó la prensa, esto desprendió una lluvia de críticas que convenció rápidamente a la alcaldesa Claudia López de dar un paso atrás, anunciando en su cuenta Twitter que el uso de esta aplicación sería voluntario y no obligatorio y la Alcaldía expidió un nuevo decreto.

Ante estas noticias no nos podíamos quedar quietos, y ampliamos la mirada técnica a ese nuevo formulario web y a la aplicación GABO. Nos complace indicar que el nuevo desarrollo no tiene el problema de los formularios de “Bogotá Salud Capital”. Con la nueva plataforma los datos se enviaban de una forma segura con el protocolo HTTPS. Sin embargo,  los datos que transmite GABO no se envían hacia los servidores de la Alcaldía o de su empresa contratista ETB Colombia (como en el caso de  Bogotá Salud Capital), sino que se van a un una dirección IP (3) que corresponde a un servidor web de Microsoft, ubicado en Estados Unidos.

La elección de este tipo de solución puede entenderse debido al afán  y la urgencia que exige administrar una pandemia y supone que se decidió apostar a  usar una infraestructura robusta como la de Microsoft disminuyendo así los riesgos de seguridad digital. Sin embargo, es importante que se tenga presente que esa decisión supone inconvenientes desde el punto de vista de la privacidad. Las personas que no son ciudadanas estadounidenses no tienen una protección de datos garantizada en ese país (4).

Por otra parte, surgieron preocupaciones sobre los 12 permisos de la aplicación GABO, de los cuales el acceso a la cámara y a la localización del dispositivo (5) fueron los que más nos llamaron la atención. La aplicación GABO  es  una verdadera colcha de retazos (6) que tiene otros módulos y que el de movilidad no usa – a priori – estos permisos. En todo caso, la existencia de estos permisos que pudieran estar justificados en el propósito original de la aplicación (hacer diligencias relacionadas con el Distrito) crea un conflicto con la privacidad de la ciudadanía cuando se incluye “Bogotá Cuidadora” como otra funcionalidad de la aplicación y ésta gestiona datos tan sensibles. 

Adicionalmente, el análisis mostró que el uso de esta solución genera un rastreo de los usuarios por parte de Microsoft, para fines publicitarios. El formulario “Bogotá Cuidadora” instala varias cookies de rastreo en el dispositivo de la persona usuaria, que están asociados a dominios de esa multinacional (7). La finalidad publicitaria de uno de ellos (llamado “MUID”) está claramente documentada en el sitio web de la compañía y lo usa su filial publicitaria Microsoft Advertising. 

Pero ¿cuál es el problema si finalmente sólo se trata de publicidad?… ¿Cuáles podrían ser los impactos negativos para las personas, más allá de recibir una publicidad adaptada a su perfil?

Este tipo de preguntas nos lleva hacia otro frente de nuestra investigación que es la cuarta parte de este informe: la “notificación de exposición [al COVID] por medio de publicidad en Facebook y Google”. O cómo la Alcaldía de Bogotá -y les anticipo que también la gobernación de Antioquia aunque de otra forma- están usando algoritmos publicitarios de Google y Facebook para enviar alertas de posibles contagios al COVID. En el caso de Bogotá los avisos publicitarios que se distribuían hasta mediados de junio llevaban al primer formulario mencionado en este artículo. Este tema es más complejo y necesita más aclaraciones y explicaciones, por eso estamos investigando y será objeto de otra publicación en la que les contaremos los hallazgos.

Recapitulando,  empezamos hablando de la falta de seguridad digital de unos formularios web, seguimos con temas de privacidad y transferencias de datos personales, llegamos al uso de algoritmos y datos publicitarios para generar alertas del COVID y volvimos al formulario del inicio. Un paseo que nos lleva en forma de círculo por el mundo de la seguridad, la privacidad y la libertad, o de su ausencia….

Este ejercicio de análisis técnico de las herramientas digitales implementadas por la Alcaldía de Bogotá da continuidad a los otros ejercicios de veeduría ciudadana realizados recientemente en el contexto del COVID 19 por parte del laboratorio de seguridad digital y privacidad de la Fundación Karisma (K+Lab). Como los otros ejercicios de esta línea de trabajo, el informe se presenta a los responsables para que identifiquen los problemas de seguridad digital y los arreglen antes de su publicación, especialmente cuando se identifican vulnerabilidades importantes. Nunca se publican los detalles de esas vulnerabilidades. En este caso no se encontraron vulnerabilidades importantes, aún así se le díó tiempo al Distrito para que nos diera respuesta, cosa que no sucedió. En esta entrada publicamos el informe completo debido a que no hubo hallazgos de vulnerabilidades sensibles.

Si desea conocer más información sobre este análisis, le invitamos a consultar el siguiente documento:

Aquí puedes descargar el informe

Nota:

Estas publicaciones e investigaciones son parte de la veeduría ciudadana que hacemos como organización de la sociedad civil. El Estado debe mejorar la transparencia en el despliegue de esta tecnología indicando cuál es su propósito dentro de la estrategia contra el Covid 19, explicando cómo lo hacen, cuáles son sus ĺímites y cómo protegen nuestros derechos. Adicionalmente, deben comprometerse a hacer auditorías (internas y externas) para detectar con mayor urgencia las vulnerabilidades y otros problemas de seguridad digital y privacidad a las que se exponen las personas que usan estas aplicaciones, estas auditorías deben ser públicas y estar al alcance de cualquiera. 

(1) http://www.saludcapital.gov.co/Paginas2/Inicio.aspx

(2)  Extracto de la política de privacidad de TruePush: “In addition, cookies placed on your computer or your customer’s computer help us to understand what you or your customers are interested in. We or our adservice platform may deploy online cookies to tracks users across websites or to associate users (and these cookies) with Mobile IDs We may do so in order to better or more accurately target relevant and contextual ads to you Our ad-serving platform may then help us retarget ads to your customers based on their interactions with Truepush.”, https://www.truepush.com/privacy-policy 

(3)  Dirección IP: 104.209.235.43.

(4) Legislaciones como la colombiana, prohíben las transferencias de datos personales hacia países que no tienen un nivel adecuado de protección, con algunas excepciones, como que  el titular de los datos otorgue su autorización expresa e inequívoca para la transferencia (artículo 26, Ley 1581), o que el sitio de destino sea un país de una lista exceptuada. La inclusión en esta lista de Estados Unidos —que no cuenta con una ley de protección de datos (con excepción de California)— ha sido objeto de críticas por parte de Carolina Botero,directora de Karisma, pero también por el actual Delegado de Protección de Datos, Nelson Remolina. Es decir, en el mediano y largo plazo dónde se almacenan los datos sensibles de las personas es un tema que debería preocupar a sus responsables.

(5) Ver los informes en Exodus Privacy, aquí: https://reports.exodus-privacy.eu.org/es/reports/search/com.supercade/ 

(6) Además de una parte informativa, tiene 5 módulos con finalidades muy distintas: “Necesito apoyo”, “Reportar movilidad”,”Reportar estado de salud”, “COVID-19 a mi alrededor”, “Ofrezco ayuda”.

(7) Los dominios son: microsoft.com, office.com y bing.com.







Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

This site uses Akismet to reduce spam. Learn how your comment data is processed.