ABC Tecnología

Adiós a Radar Covid. La ‘app’ con la que el Gobierno esperaba controlar los contagios en los momentos más duros de la pandemia ya no es operativa. Así se lo ha comunicado la plataforma a los usuarios a través de un mensaje en su interior, en el que se remarca que la aplicación finalizará su actividad del 9 de octubre de 2022: «A partir de esta fecha, sus funcionalidades dejaron de ser operativas».

Aunque la fecha límite no se cumple hasta mañana, la ‘app’ ya no deja que el usuario meta ningún código positivo por Covid en su interior, según ha comprobado este periódico, lo que implica que ya no es funcional como herramienta para el rastreo del virus. Lo único que hace actualmente es ocupar espacio en la memoria de su móvil.

about:blank

ABC ya informó hace unos meses de que la Secretaría de Estado de Digitalización e Inteligencia Artificial (Sedia), institución encargada de la aplicación, no tenía planes de renovar el acuerdo con Indra para el mantenimiento de la herramienta. En un primer momento, parecía que seguiría siendo operativa hasta noviembre, momento en el que, en principio, vencía el trato alcanzado en 2020 con la tecnológica española.

En sus algo más de dos años de vida, Radar Covid ha servido para que se notificasen 124.555 positivos en coronavirus, apenas un 1% del total registrado en España desde el verano de 2020, momento en el que la aplicación comenzó a ser operativa. Esto no ha impedido que, hasta la fecha, todos los españoles hayan invertido en ella más de 4,2 millones de euros en materia de desarrollo, publicidad y mantenimiento. Es decir, por cada código que se ha metido en la herramienta, el Estado ha pagado, aproximadamente, 35 euros.

El pasado junio, la Agencia Española de Protección de Datos (AEPD) compartió una resolución en la que se notificaba que Sedia vulneró ocho artículos del Reglamento General de Protección de Datos (RGPD) durante el desarrollo y lanzamiento de la ‘app’ de rastreo, por lo que se la apercibió, pero no se la multó con ninguna cantidad económica al formar parte de la Administración. Según señaló la AEPD, la secretaría de estado no trató la información de los españoles con «licitud, lealtad y transparencia», tal y como manda la normativa.

ABC Tecnología-Rodrigo Alonso

La Agencia Española de Protección de Datos (AEPD) ha abierto dos procesos sancionadores –uno a la Dirección General de Salud Pública y otro al Ministerio de Asuntos Económicos y Transformación Digital– por una posible vulneración del Reglamento General de Protección de Datos (RGPD) en la aplicación de rastreo del coronavirus, Radar Covid. Esta medida llega después de la presentación de sendas reclamaciones interpuestas por la ONG Rights International Spain y Pau Enseñat, director ejecutivo de la plataforma Reclamadatos, en las que se sostiene que el Gobierno no compartió la información necesaria –y en los plazos adecuados– sobre el desarrollo de la aplicación en base a las directrices europeas, entre ella la evaluación de impacto de la herramienta y el histórico de su código fuente.

En el documento enviado por la AEPD a los demandantes, al que ha tenido acceso ABC, la agencia sostiene que «a tenor de la información preliminar de la que se dispone, se aprecian indicios racionales de una posible vulneración de la normativa en materia de protección de datos, sin perjuicio de lo que se determine en el curso de la tramitación».

En la primera demanda, presentada por Enseñat en septiembre de 2020, se solicitaba a la AEPD que analizase si Radar Covid cumplía « con los principios de licitud, lealtad, transparencia y responsabilidad proactiva (Art.5 RGPD), ya que la SGAD (Secretaría General de Administración Digital) no había publicado la Evaluación de Impacto sobre la Protección de Datos (EIPD), en contra de lo indicado expresamente por el Comité Europeo de Protección de Datos».

Cabe recordar que, con la llegada de las aplicaciones de rastreo, el Comité Europeo de Protección de Datos compartió una serie de directrices para su correcto desarrollo e implementación. Entre ellas figura la evaluación de impacto de las herramientas «relativa a la protección de datos antes de su despliegue». Algo que permitiría limitar los riesgos de posibles fallos de privacidad en el momento en el que estuviesen disponibles. Según destaca en conversación con este periódico el abogado Sergio Carrasco, encargado de la litigación estratégica en nombre de Rights International Spain, este estudio no se hizo en el momento correcto en el caso de Radar Covid.

«Hicimos unas peticiones de información sobre Radar Covid, porque faltaba documentación a principios de año, como la evaluación de impacto. Cuando la mandaron, nos dimos cuenta de que los datos correspondían al mes de enero de 2021, mucho después del lanzamiento de la aplicación. Hace cosa de un mes nos compartieron la que se supone que es la primera evaluación de impacto, que corresponde a agosto de 2020, cuando la aplicación ya se podía descargar desde que arrancó la prueba piloto de La Gomera en junio del año pasado», explica Carrasco. «Una evaluación de impacto y un análisis de riesgos se hace para luego desarrollar la aplicación, no cuando ya está disponible para su descarga», sentencia el experto.

En las demandas presentadas por Rights International, también se denuncian «irregularidades con respecto a la publicación del código de la aplicación». En este sentido, se llama la atención sobre el hecho de que, a pesar de que Radar Covid podía descargarse desde junio, el Gobierno no publicó el código fuente de la herramienta, con el que se puede comprobar su funcionamiento y el uso que hace de los datos, hasta el 9 de septiembre de 2020. Y, además, se hizo de forma incompleta. Hasta la fecha no se ha hecho público el historial desde el inicio del desarrollo, con lo que no se sabe si la ‘app’ registraba algún problema que pusiese en riesgo los datos de los usuarios que la descargaron el pasado verano.

A este respecto, hay que tener en cuenta que el Comité Europeo de Protección de Datos destaca en sus directrices que «para asegurar su equidad, la rendición de cuentas y, más en general, su consonancia con la ley», los algoritmos de la aplicaciones de rastreo «deben ser auditables y han de ser revisados periódicamente por expertos independientes. El código fuente de la aplicación debe hacerse público con miras a un control lo más amplio posible».

La AEPD ha informado a los denunciantes de que el proceso sancionador tendrá una duración máxima de nueve meses; por lo que, posiblemente, no se tomará ninguna medida contra el Ministerio de Asuntos Económicos y la Dirección General de Salud Pública hasta febrero del año que viene. Sea como fuere, en ningún caso supondrá una sanción económica, solo un apercibimiento. «Por desgracia, el artículo 77 de la Ley Orgánica dice que en el caso de entidades públicas la sanción económica se sustituye por un apercibimiento», explica Carrasco.

Radar Covid: un fracaso estrepitoso

A pesar de la realización de un prometedor piloto en La Gomera el pasado verano –en el que la herramienta se mostró más efectiva que los trazadores humanos, según la Secretaría de Estado de Digitalización e Inteligencia Artificial– Radar Covid no ha conseguido convencer a los españoles. Ni por asomo.

Así lo demuestra que, un año después de que comenzase a poblar las tiendas de aplicaciones de dispositivos fabricados por Apple y Google, cuente con menos de siete millones y medio de descargas y haya sido empleada para notificar 64.031 positivos. Y todo después de que, hasta el momento, se hayan invertido más de 3 millones de euros en su funcionamiento: 330.000 euros fueron a parar a las arcas de la tecnológica Indra, encargada de su desarrollo, a los que el pasado diciembre se sumaron 1,7 millones para el mantenimiento de la aplicación durante 24 meses. Asimismo, el pasado abril el Ejecutivo aprobó un gasto de 1,5 millones para la promoción del uso de la ‘app’.

Expertos consultados por este diario a lo largo de los últimos meses han llamado la atención sobre la falta de transparencia del Gobierno como una de las principales motivaciones del fracaso de la herramienta de rastreo. «La falta de transparencia ha provocado una falta de confianza por parte del ciudadano. Por otra parte, la fragmentación que hemos tenido, y los trompicones en el desarrollo, ha provocado que la herramienta tardase mucho en ser funcional y que cuando comenzó a serlo la gente optase por no instalarla», apunta el abogado de Rights International Spain.

El País-Jordi Pérez Colomé

El Gobierno ha publicado finalmente un comunicado donde da los detalles de la brecha de seguridad en su aplicación de rastreo de contactos Radar Covid, tal como avanzó EL PAÍS el pasado 22 de octubre. Según un tuit de la cuenta del Gobierno, la vulnerabilidad quedó resuelta el 9 de octubre, aunque en realidad la solución definitiva se incorporó en la actualización del día 30 de octubre. El primer parche cubría aún de manera insegura el agujero.

“La vulnerabilidad es causada por el hecho de que las conexiones de Radar Covid con el servidor (la subida de las claves) solo las hacen los casos positivos. Por tanto, cualquier observador en el camino con la capacidad de monitorizar el tráfico entre la aplicación y el servidor puede identificar qué usuarios son positivos”, dice el texto. El modo de evitarlo es crear tráfico vacío hacia el servidor desde usuarios que no son positivos, tráfico cuya forma y modo de tratamiento sea igual que si fuera positivo: de esta manera se consigue que no puedan distinguirse unos de otros.

Publicar los detalles de una vulnerabilidad una vez resuelta es un procedimiento habitual en ciberseguridad. El mensaje fue finalmente publicado el viernes 13 por la noche en la plataforma para programadores GitHub. El encargado de colgar el informe fue el usuario Pantic79 (Milinko Pantic fue un jugador del Atlético de Madrid en los años 90), cuya cuenta fue creada en julio de 2020 y que había publicado otras veces en GitHub en nombre de los desarrolladores de Radar Covid. El texto cita como autores del descubrimiento de la vulnerabilidad a la ingeniera Carmela Troncoso, que ha dirigido el equipo que desarrolló DP-3T, que es el protocolo que usa la app Radar Covid, y a otros dos miembros de su centro, la Escuela Politécnica de Lausana: Linus Gasser y Wouter Lueks. Junto a ellos han participado dos investigadores españoles: Juan Tapiador, de la Universidad Carlos III, y Narseo Vallina-Rodríguez, de Imdea Networks.

La Secretaría de Estado de Inteligencia Artificial anunció el 9 de octubre que la vulnerabilidad había sido resuelta. Pero según una cronología que acompaña la publicación, no fue hasta el día 30 en que quedó definitivamente solventada. El problema era que la solución inicial aún dejaba huecos para que un atacante pudiera inferir usuarios positivos a pesar del tráfico falso añadido. Fuentes de la Secretaría de Estado ven el cambio como una mejora suplementaria, no esencial. “El equipo de DP-3T propone cambiar la distribución aleatoria de envío de tramas fake utilizando una función exponencial en lugar de una uniforme, que se implementa el 30 de octubre”, dicen, lo que permite “mejorar aún más la seguridad”.

El informe describe cómo potenciales atacantes podrían saber desde qué dispositivos se mandaban positivos por covid y también, en un segundo paso, averiguar el usuario. Según un estándar habitual que se calcula automáticamente a partir de la información que dan quienes la han encontrado, la vulnerabilidad es considerada de “gravedad alta”, nivel solo por debajo de “crítica”. Para calcularlo se consideran varias variables: por ejemplo, si la complejidad del ataque es alta, si el autor debe estar en la red del sistema, si debe estar cerca o puede estar en cualquier lugar de Internet o si necesita interacción de la víctima o no.

Desde la Secretaría de Estado no ven tantos motivos para esa gravedad: “Su alcance sea más hipotético que real”, dicen. Se refieren, sobre todo, a la magnitud de los posibles atacantes: “La vulnerabilidad necesita del concurso del operador de telecomunicaciones y del proveedor de servicios en la nube, o de terceros no solo con capacidad de analizar tráfico, sino de correlacionarlo con datos personales que tenga y obtenga de la mano de otras aplicaciones que estén presentes en el mismo terminal móvil”, dicen. Y añaden que los contratos o las autoridades de protección de datos lo impedirían: “Cualquier análisis por parte del operador de telecomunicaciones o del proveedor de servicios en la nube atenta contra los contratos vigentes y por supuesto contra la legislación vigente en materia de protección de datos”.

El peligro de ver el alcance como “hipotético” en una aplicación que trata información sanitaria es la atención en el manejo de los datos. “Si los responsables creen que este tipo de problemas son menores”, dice Gloria González Fuster, profesora investigadora de la Vrije Universiteit de Bruselas, “cabe preguntarse si no estamos en una situación más problemática de lo que podría parecer, ya que el análisis técnico confía en que alguien se estará tomando debidamente en serio los riesgos. Desde un punto de vista legal, lo importante es recordar que estamos hablando de datos relativos a la salud, que se consideran datos sensibles, y toda infracción puede tener consecuencias graves”, añade.

Los atacantes con capacidad de analizar el tráfico desde un móvil en el que se comunique un positivo por covid-19 son ciertamente las operadoras si se usa el móvil, los proveedores de Internet si se hace a través de redes wifi, cualquier proveedor de VPN si se usa, el operador de la red en empresas o cualquier atacante que tenga acceso a la misma red en la que esté el caso positivo.

“El atacante puede también desanonimizar el usuario”, dice el texto. “Para que esta etapa adicional tenga éxito, el adversario necesita correlacionar el tráfico de Radar Covid con otra información identificable de la víctima. Esto puede lograrse asociando la conexión al contrato con el nombre de la victima o el tráfico de Radar Covid con otro generado por el usuario que contenga identificadores en abierto”, añade. Desde el Gobierno no tienen ningún indicio de que esta vulnerabilidad haya sido explotada, “siquiera remotamente”, dicen.

La Agencia Española de Protección de Datos, consultada por este periódico, no ha querido por ahora valorar esta vulnerabilidad. “La Agencia no valora las posibles vulnerabilidades de terceros si no es en la resolución de un procedimiento”, dicen desde la AEPD. La Agencia tiene abierto un procedimiento sobre Radar Covid desde prácticamente el día que se anunció, lo que evita que deban opinar sobre cada uno de los posibles problemas que vayan surgiendo con la aplicación.

Radar Covid fue puesta en marcha a mediados de agosto. A finales de agosto se activó en cinco comunidades autónomas. El primer contacto sobre la vulnerabilidad fue el 16 de septiembre. El primer parche se puso el 9 de octubre y el segundo el día 30. Según las cifras de positivos publicadas este domingo por EL PAÍS esta vulnerabilidad pudo afectar a menos de los 13.000 usuarios que hasta principios de noviembre habían usado la aplicación para comunicar su positivo. El Gobierno aún no ha publicado toda la documentación necesaria sobre el código abierto de Radar Covid ni el contrato con Indra para su desarrollo, que ha negado a este periódico y a otros tras peticiones por Transparencia.

En el comunicado se menciona el riesgo adicional del servidor en la nube, controlado por Amazon. “El proveedor en la nube puede implementar un ataque entre las apps y el servidor, lo que le permitiría inspeccionar el contenido de la comunicación y distinguir el tráfico falso del real”, dice el texto. Pero los investigadores ven ese peligro como “bajo” y no lo mitigan técnicamente debido a las “obligaciones contractuales del proveedor, el Reglamento Europeo de Protección de Datos (que resultaría en multas severas) y el impacto para su imagen pública”.

Hipertextual-Luis Miranda

Radar COVID, la app de rastreo de coronavirus, ya se encuentra en funcionamiento en varias comunidades de España. Si aún no la instalas en tu smartphone, ahora es un buen momento ya que su uso no repercutirá en el consumo de datos del móvil.

La secretaria de Estado de Digitalización e Inteligencia Artificial, Carmen Artigas, sostuvo un encuentro con representantes de las principales operadoras de telefonía para cerrar acuerdos de colaboración. En la reunión estuvieron presentes Telefonica, Vodafone y Orange, quienes se comprometieron a no imputar a sus clientes el consumo de datos de la app de rastreo.Radar COVID realiza dos descargas al día de identificadores de diagnóstico

Radar COVID descarga dos veces al día los identificadores que comunican un diagnóstico positivo de COVID-19 durante la jornada. Si bien esta información no llega al nivel de consumo de un servicio de música en streaming, no está de más saber que los datos descargados se mantendrán fuera de nuestra factura.

Sumado a esto, las operadoras también se comprometieron a difundir la aplicación entre la población. Actualmente Radar COVID se encuentra funcionando en Navarra, Andalucía, Cantabria, Aragón, Islas Canarias, Castilla y León, Islas Baleares y Murcia. Aunque Madrid activó su uso a principios de septiembre, la app no está del todo operativa pese al alto número de contagiados.

En Cataluña las autoridades reconocieron que existen problemas técnicos para cruzar los datos con su sistema de salud. Ante esto, Carme Artigas hizo un llamamiento a Madrid y Cataluña para poner en funcionamiento Radar COVID cuanto antes, ya que duplica en eficacia a los rastreadores manuales.

Radar COVID funcionará en conjunto con apps de otros países europeos

La aplicación de rastreo ha sido objeto de teorías conspirativas que involucran a un control de los comunistas o la recopilación de datos por el Gobierno. La realidad es que Radar COVID está fuera de realizar estas acciones. En días recientes las autoridades publicaron el código fuente en GitHub para que las personas comprueben cómo funciona la app y que no hay recogida ni uso de datos personales.

Radar COVID utiliza la API creada por Google y Apple para el rastreo de personas infectadas de COVID-19 que pudieron cruzarse en nuestro camino. La app se vale de Bluetooth y un código identificador anónimo que cambia constantemente. De igual modo no accede a la ubicación en tiempo real y el procesamiento de la información se hace de manera local en el smartphone.

El gobierno español anunció que Radar COVID se encuentra en pruebas para incorporarse al marco de interoperabilidad de la Comisión Europea. Esto significa que en los próximos días, los usuarios de la app recibirán notificaciones de ciudadanos que utilicen las aplicaciones en otros países de Europa, como Alemania, Italia, Dinamarca y más.

Zona movilidad

Los tres principales operadores de telecomunicaciones de España se han comprometido a no repercutir el consumo de datos de la app Radar COVID a sus usuarios. La secretaria de Estado de Digitalización e Inteligencia Artificial, Carme Artigas, se ha reunido hoy con representantes de los tres principales operadores de telefonía móvil del país con el fin de alcanzar vías de colaboración para difundir el uso de la app de rastreo de contactos Radar COVID, que se incorporará la semana que viene a la pasarela de interoperabilidad europea.

La reunión, que se enmarca en una serie de encuentros sectoriales que está llevando a cabo Artigas para promover el uso de la aplicación, ha contado con la asistencia del secretario general de Telefónica España, Nicolás Oriol; la directora de Legal, Regulación y Seguridad Corporativa de Vodafone España, Elena Otero-Novas; y la directora de Relaciones Institucionales, RSC y Fundación Orange, Luz Usamentiaga.

Leer más: https://www.zonamovilidad.es/operadores-no-contabilizaran-gasto-datos-app-radar-covid

El País

Cuando un usuario de Radar Covid recibe la confirmación de su positivo, las autoridades de su comunidad autónoma deben darle un código. Si decide introducirlo en la app, su móvil mandará a un servidor las claves que ha compartido en los últimos días al estar cerca de otros usuarios. Esas claves son las que permitirán al resto de usuarios comprobar si han estado cerca del nuevo positivo. Así, solo hay un momento en que los usuarios suben claves al servidor de Radar Covid: cuando son positivos. Aunque ese tráfico esté cifrado y el contenido de la comunicación sea anónimo, si hay subida al servidor implica que el usuario es positivo. Quien tenga acceso al tráfico, por tanto, sabe quién lo es.

La opción de acceso a esa información no está al alcance de cualquier usuario, pero su explotación va más allá de las operadoras telefónicas y de Internet. La empresa Amazon también tiene acceso a esa información: la subida al servidor se hace con un software de la compañía estadounidense, con lo que también puede comprobar qué móviles mandaban positivos. Además de grandes empresas, también tendría acceso cualquier individuo o empresa con la opción de entrar a la misma red wifi desde la que se envían las claves.

Otras apps de rastreo de contactos europeas solucionaban este problema de una manera fácil de entender: simulan tráfico falso desde móviles aleatorios para que desde fuera no pueda concluirse quién sube un positivo real y quién manda un paquete de datos falsos que el servidor sabe que lo son. La app española Radar Covid no lo hace. El problema, cuya existencia ya publicó EL PAÍS, fue subsanada, según el Gobierno, el pasado 9 de octubre. “No se ha comunicado al público en general, porque esa posible vulnerabilidad tiene un alcance muy limitado, dado que solo podría ser explotada por el operador de comunicaciones”, han explicado a EL PAÍS fuentes de la Secretaria de Estado de Inteligencia Artificial, encargada de impulsar la app.

La posibilidad de acceso no implica que se haya explotado, aunque en realidad no se sabe. No hay pruebas de que la brecha haya sido aprovechada, pero existía y, como tal, debía ser reparada. También las empresas con posibilidad de acceso tenían que querer hacerlo: es como dejar una puerta cerrada sin llave; para ver qué hay al otro lado hay que hacer el ejercicio de abrirla. Es un esfuerzo anodino, pero hay que ejecutarlo y no es algo banal con este tipo de datos. Tampoco es algo que pueda hacerse después. Debe ser en directo, a no ser que se registrara. El Gobierno ha dejado pasar varias semanas desde que tuvo la confirmación de esta vulnerabilidad. La Secretaría de Estado anunció en su cuenta oficial que este problema ya había sido solucionado con la última actualización.

La legislación europea y española obliga al Gobierno a comunicar a la Agencia Española de Protección de Datos (AEPD) y al público la existencia de una brecha. La información a la AEPD se hizo, según fuentes de Secretaría de Estado, “la semana del 5 de octubre”. Esa comunicación no se realizó según un procedimiento establecido por la ley para casos graves, pero la AEPD confirma por su lado que esa comunicación se produjo de algún modo. El nivel de notificación, según fuentes de la AEPD, es algo que debe valorar cada responsable del tratamiento según lo que dice el Reglamento de Protección de Datos. Así lo hizo la Secretaría de Estado: “La vulnerabilidad no se hizo pública porque no ha habido constancia de una violación de la seguridad de los datos personales, tal como recoge el artículo 33 del Reglamento”, dicen fuentes oficiales del Gobierno. Según su criterio, habría actuado correctamente.

La AEPD, por su parte, tiene un procedimiento abierto y no hace ningún comentario sobre la gravedad de la brecha. En cualquier caso, su resolución no es inminente. Cuando llegue, es probable que Radar Covid haya dejado de ser una herramienta importante para la pandemia, aunque quizá el rastreo de contactos es algo que tiene algún tipo de vigencia. Este problema muestra que el desarrollo de una app que trata datos sensibles tiene más retos de privacidad de lo que puede parecer. Más aún si es el Gobierno quien la crea.

Las consecuencias jurídicas de la brecha pueden ir sin embargo más allá de lo que diga la Secretaría de Estado. “Desde el punto de vista jurídico hay un problema de protección de datos”, dice Miquel Peguera, profesor de Derecho de la Universitat Oberta de Catalunya. “Hay una vulneración del principio de transparencia porque el interesado no tiene un conocimiento claro de qué pasa con estos datos y de si eso podrá ser identificable por alguien. Hay una brecha de seguridad porque los datos no están protegidos para que terceros no tengan acceso”.

La triste suerte del Gobierno es que el escaso éxito provisional de Radar Covid ha provocado que el escándalo o el peligro por esta vulnerabilidad no sea mayor. Las comunidades autónomas siguen repartiendo códigos a positivos de un modo desigual. Madrid acaba de empezar y Cataluña sigue al margen de la app, sin fecha de despliegue. Otras comunidades avanzan también a ritmos distintos. La incorporación de Madrid permitió vislumbrar que algo iba a mejorar, pero sigue rondando el 1% de positivos reportados en toda España: por cada 10.000 positivos, algo más de 100 se introducen en Radar Covid. “Cuando se empezaron a dar los códigos en la Comunidad de Madrid pasamos de estar por debajo del 0,8% a sobre el 1,2%, pero ahora está bastante estable sobre esos rangos entre el 1% y el 1,4%”, dice el ingeniero Pedro José Pereira, creador de la cuenta de Twitter @radarcovidstats, que analiza precisamente el tráfico al servidor.

ABC Tecnología

Radar Covid, la aplicación española para el rastreo del coronavirus, será completamente funcional a partir de hoy en «todos los municipios madrileños». Así lo ha expresado la Consejería de Sanidad a través de un comunicado en el que, además, se insta a todos los ciudadanos interesados en su uso a que descarguen la herramienta. El anuncio llega después de que el vicepresidente y portavoz de la comunidad, Ignacio Aguado, explicase ayer en rueda de prensa que la «app», que ha sido desarrollada por la tecnológica española Indra, estaría completamente operativa en Madrid «en los próximos días».

Cabe recordar que Radar Covid lleva siendo funcional en varias comunidades autónomas españolas desde mediados de agosto. Se puede descargar desde las tiendas de «apps» Google Play Store o App Store en función del sistema operativo del «smartphone», su funcionamiento es bastante simple y no recopila ningún tipo de dato personal. Cuando un usuario da positivo en coronavirus, y emplea la aplicación, se le entrega un código alfanumérico aleatorio para que lo introduzca. Hecho esto, la «app» envía una alerta a todas aquellas personas con las que haya pasado más de 15 minutos a una distancia inferior a los dos 2 metros durante las últimas dos semanas y que, además, empleen la aplicación.

Todo el proceso se realiza de forma completamente anónima, ya que Radar Covid no requiere ningún dato personal del usuario. Según afirma la Consejería de Sanidad en el comunicado, el código que se debe ingresar en la «app» para alertar a los contactos del positivo de que se han visto expuestos llega a través de SMS. A estos se les solicitará, una vez reciban la notificación, que se pongan en contacto con el Centro de Atención al Paciente (CAP) de la Consejería de Sanidad de Madrid mediante una llamada telefónica.

Radar Covid lleva siendo testada por la Comunidad de Madrid en Guadarrama desde el pasado 11 del mes de septiembre hasta el 4 de octubre. Durante ese tiempo fue empleada por 140 personas que previamente habían dado positivo en Covid-19. Gracias a su uso otros 150 usuarios de la aplicación contactaron con Sanidad.

El País-Jordi Pérez

Radar Covid, la app de rastreo de contactos lanzada por el Gobierno de España para frenar el avance de la pandemia, incluye en su código Firebase, un software de Google que no se menciona en la política de privacidad de la aplicación. Bajo el reglamento europeo de protección de datos, el llamado GDPR, las aplicaciones están obligadas a declarar la presencia de código externo. Incluso Google lo advierte en su información sobre Firebase. Más, si cabe, en una app utilizada en un ámbito tan sensible como el de la salud. En una actualización del pasado miércoles Firebase ha desaparecido en el entorno Apple, pero en el momento de cerrar este artículo sigue presente en Android, donde la aplicación no se actualiza desde el 7 de agosto.

Desde la Secretaría de Estado de Inteligencia Artificial, impulsora de la app, admiten que se ha usado Firebase en la fase de prueba “para agilizar el proceso de lanzamiento e identificar puntos de mejora de la aplicación”. Después de repetidas preguntas de EL PAÍS durante varios días, no han aclarado exactamente qué hace este código, más allá de una explicación que no responde al fondo de la cuestión. “Se utilizó para poder recoger fallos y mejorar la app, y en ningún caso se utilizó ningún dato que no fuesen esos bugs [fallos de software]detectados”, siempre según fuentes del Gobierno.PUBLICIDAD  

Firebase puede servir para muchas cosas: es una especie de navaja suiza de software para desarrolladores de aplicaciones. No es solo una herramienta para detectar fallos. Su uso depende de las funciones que active cada programador. Una de las más habituales es recoger información sobre el uso de la app: qué modelos de móviles se la descargan, cuánto tiempo se usa, cada cuánto se abre. Google da, además, un identificador aleatorio por cada descarga que en principio no puede llevar a identificar a los usuarios. Pero solo en principio, y para evitar precisamente estas dudas, la legislación europea obliga a declarar la presencia de este tipo de código en las aplicaciones. Radar Covid no lo hace.

La Secretaría de Estado insiste en que Firebase solo sirvió para la fase de pruebas y que desaparecerá de Radar Covid en los teléfonos con sistema operativo Android tras una actualización inminente. EL PAÍS preguntó por primera vez por Firebase el pasado 10 de septiembre, un día después de que se hiciera público el código de la aplicación. En GitHub, el repositorio donde se colgó el código de Radar Covid, hay una pregunta abierta sin contestar sobre Firebase desde el mismo día 9. Firebase podría ciertamente tener sentido en una fase de pruebas real, pero Radar Covid está ya en cuatro millones de móviles españoles y han pasado dos meses desde el fin del piloto. ¿Por qué se ha alargado tanto la fase de testing? El Gobierno no lo explica.

“Las aplicaciones de rastreo de contactos que usan Firebase comparten datos no solo con las autoridades sanitarias sino también con Google”, dice Douglas Leith, catedrático de Sistemas de Computación en el Trinity College de Dublín y autor de un informe sobre las apps europeas de rastreo de contactos. “Google es una organización con ánimo de lucro cuyo negocio es usar datos para anuncios personalizados, lo que levanta preocupaciones obvias. Además, en móviles Android, el uso de Firebase habilita Google Play Services, que comparten información con Google (email, número de teléfono, número de SIM) y hace que un móvil envíe mensajes frecuentes a servidores de Google”. Firebase no tiene ninguna relación con el sistema específico que han creado Apple y Google para facilitar que estos sistemas funcionen con Bluetooth. Por todo esto, Leith cree que debe eliminarse: “Firebase no es la mejor práctica para una aplicación de rastreo de contagios que el Gobierno anima a toda la población a instalarse y que pretende proteger su privacidad”.

La Agencia Española de Protección de Datos no ha querido hacer ninguna declaración y ha recordado solo que tiene desde mayo un procedimiento abierto sobre Radar Covid. EL PAÍS ha preguntado a desarrolladores de otros países cercanos si usaban Firebase en sus apps. Ni Portugal, ni Italia, ni Alemania, ni Suiza lo hacen. “En Europa, Letonia lo usaba inicialmente pero lo detuvieron inmediatamente cuando publicamos el informe de privacidad”, dice Leith. “La polaca también lo usa”. Según fuentes de los desarrolladores italianos de la aplicación Immuni, “por motivos de privacidad no ha sido instalada ninguna librería que envíe datos a terceras partes, en este caso Google”.

“SwissCovid [la aplicación suiza] nunca ha usado Firebase. Las funcionalidades que proporciona una librería de analítica como esta no son necesarias para su funcionamiento principal”, dice Carmela Troncoso, la ingeniera española de la Universidad Politécnica de Lausane (Suiza) que impulsó el protocolo DP-3T, que es precisamente la base de la app española. La razón de ser de DP-3T es impulsar la privacidad por diseño, que significa que el usuario no necesita confiar en la bondad de los autores de las aplicaciones porque están construidas desde su diseño para impedir filtración de datos. “Usar Firebase permitiría por supuesto a nuestros desarrolladores detectar mejor errores y problemas, pero a costa de recoger datos de uso a través de los servidores de Google. Recoger más datos de los estrictamente necesarios va en contra de la filosofía privacidad por diseño y el principio de minimización que nos llevaron a la propuesta actual. Y aún es peor si esto se hace en servidores de terceros como Firebase”, explica Troncoso.

“Es muy importante”

“Es una cuestión muy importante”, dice Gloria González Fuster, profesora investigadora de la Vrije Universiteit de Bruselas. “Lo esencial es que los usuarios deberían haber sido informados, ya que ese es precisamente el objetivo de la política de privacidad: informar sobre qué datos se están recogiendo exactamente y qué se hace con ellos”, añade. La política de privacidad de Radar Covid, según el archivo de Internet Archive, ha cambiado solo una vez para retirar la referencia a la prueba piloto que se llevó a cabo en La Gomera. La única posible referencia a Firebase está en esta frase: “El Titular de la Aplicación podrá dar acceso o transmitir los datos a terceros proveedores de servicios, con los que haya suscrito acuerdos de encargo de tratamiento de datos, y que únicamente accedan a dicha información para prestar un servicio en favor y por cuenta del responsable”.

No es suficiente, dice González Fuster. “Para cumplir con los requisitos de transparencia que impone el Reglamento General de Protección de Datos, no basta con ofrecer este tipo de informaciones crípticas, sino que hay que ser más claros y precisos”, explica. No solo eso, continúa: “En relación con Firebase, leyendo su propia información cabe pensar que se llevan a cabos transferencias de datos a Estados Unidos”. Si eso fuera así, los usuarios cuyos datos hubieran sido transferidos a Estados Unidos “tendrían que haber sido informados de manera clara”.

Para aumentar la incertidumbre, cuando el pasado 9 de septiembre el Gobierno decidió liberar el código de la aplicación, la versión que colgó en GitHub no era la misma que los españoles llevaban en su móvil. Aún así, se habían dejado en el código presuntamente limpio de GitHub una referencia a Firebase que delataba su uso. Con un análisis de la propia aplicación, además, podía comprobarse que seguía enviando información a Firebase.

Nada de todo esto implica necesariamente que Radar Covid espíe o analice el comportamiento de sus usuarios. Pero sí que el desarrollo de la app ofrece menos garantías de las deseables. El problema de emplear Firebase en una app tan sensible no tiene por qué ser solo la intención de las autoridades de saber más de lo que la legislación les permite, sino también de que alguien aproveche una vulnerabilidad para acceder a datos: cuanto más código, más agujeros.

El modo en que se ha publicado el código abierto es también deficiente. Cuando este miércoles apareció la nueva versión de la aplicación para los móviles de Apple, desarrolladores externos vieron en seguida que no funcionaba. Los encargados habían subido una versión de prueba, que no estaba vinculada a servidores reales, sino ficticios: “Es un error garrafal en todos los aspectos. No querría estar en el lugar del equipo que está gestionando esto”, dice Jorge J. Ramos, desarrollador independiente. “Todos trabajamos con una serie de automatismos que nos permiten evitar estos problemas. Si no disponemos de esas herramientas, pasa esto, que se sacan las versiones a mano; todos somos humanos y nos podemos confundir. La versión 1.0.6 se sacó a la 1 de la mañana y me puedo imaginar que el equipo no está trabajando en las condiciones más adecuadas. Es un error humano, pero no culpa del equipo en ningún caso y me gustaría resaltarlo. Todos sabemos cómo funciona esto e imagino que estarán trabajando con una presión enorme”. Varias horas después de la alerta, se corrigió con una versión 1.0.7.

“Tampoco es que nos hagan mucho caso a la comunidad [de desarrolladores] tras abrir el código”, dice Amador Navarro, desarrollador de iOS y consultor de Sfy. “No nos contestan, no aceptan propuestas de forma desinteresada de reformas con código que solo deben revisar. Esto es una aplicación que debe de ser usada por la mayoría para ayudar a controlar la pandemia y tenemos ganas de ayudar a aportar nuestro granito, por pequeño que sea. Sigo pensando que no hay mala fe, sino prisas por querer contentarnos, aunque luego no nos dejen ser activos con esto”, explica.

No es el único ejemplo de improvisación y errores que podrían haberse subsanado con otro tipo de planteamiento o más tiempo. Uno de los dos encargados de subir el código de Radar Covid a GitHub fue un usuario llamado avecina. Es por tanto alguien obviamente con acceso al desarrollo de la aplicación. Su cuenta se había creado el 25 de agosto. El día 26 fue al repositorio de DP-3T, autores originales del código dirigidos por la española Troncoso, a preguntar por un problema que generaba docenas de reseñas malas para Radar Covid en la Play Store: los errores que daba a quien tenía activada la optimización de batería. “¿Por qué es necesario deshabilitar la optimización de la batería? Es más que nada curiosidad, pero hay montones de usuarios quejándose de esto”. No hay nada malo en preguntar por GitHub. Al contrario, para eso está. Pero es sorprendente ese “más que nada curiosidad” cuando hay otros canales más directos a disposición.

Hipertextual-Nicolás Rivera

La vicepresidenta tercera y ministra de Asuntos Económicos y Transformación Digital, Nadia Calviño, ha anunciado este martes durante el Encuentro de la Economía Digital y las Telecomunicaciones organizado por Ametic que la aplicación Radar COVID ya está en funcionamiento tanto en Madrid como en Navarra.

Estas dos comunidades autónomas se suman a Andalucía, Cantabria, Aragón, Islas Canarias, Castilla y León, Islas Baleares y Murcia. Estas integraron la aplicación en su sistemas sanitarios durante las últimas semanas.

La aplicación Radar COVID, que ha sido desarrollada por Indra a petición del Gobierno de España, ya cuenta con 3,4 millones de descargas, según ha indicado la vicepresidenta tercera en el encuentro organizado por Ametic. La idea del Gobierno es que la aplicación esté operativa en todo el territorio nacional a partir del 15 de septiembre.

<blockquote class="twitter-tweet"><p lang="es" dir="ltr">La VP <a href="https://twitter.com/NadiaCalvino?ref_src=twsrc%5Etfw">@NadiaCalvino</a> en <a href="https://twitter.com/AMETIC_es?ref_src=twsrc%5Etfw">@AMETIC_es</a> <a href="https://twitter.com/UIMP?ref_src=twsrc%5Etfw">@UIMP</a>:<br> <br>3,4 millones de personas han descargado ya <a href="https://twitter.com/hashtag/RadarCovid?src=hash&amp;ref_src=twsrc%5Etfw">#RadarCovid</a>. La aplicación está operativa en 10 CCAA: Madrid y Navarra se han sumado a Andalucía, Cantabria, Aragón, Extremadura, Canarias, Castilla y León, Islas Baleares y Murcia. <a href="https://twitter.com/hashtag/Santander34?src=hash&amp;ref_src=twsrc%5Etfw">#Santander34</a> <a href="https://t.co/776cTGiW5U">pic.twitter.com/776cTGiW5U</a></p>&mdash; Asuntos Económicos y Transformación Digital (@_minecogob) <a href="https://twitter.com/_minecogob/status/1301080369249345537?ref_src=twsrc%5Etfw">September 2, 2020</a></blockquote> <script async src="https://platform.twitter.com/widgets.js" charset="utf-8"></script>

Radar COVID hace uso de la API desarrollada por Apple y Google. El funcionamiento del sistema, una vez instalada e iniciada la aplicación, es el siguiente:

• Los móviles comienzan a emitir un identificador anónimo haciendo uso de la tecnología Bluetooth. Simultáneamente, captan los identificadores anónimos de los móviles que se encuentran a su alrededor. El historial de códigos emitidos y captados permanecen en la memoria del teléfono durante dos semanas.
• Estos códigos son completamente anónimos. No están vinculados a ningún dato personal del usuario y, además, cambian periódicamente. La aplicación Radar COVID, por otra parte, no recopila la ubicación física del teléfono. La privacidad del usuario está garantizada en todo momento.
• Cuando una persona dé positivo en COVID-19, podrá subir los códigos que su móvil ha emitido durante los últimos 14 días a un servidor del Gobierno. Para ello, eso sí, tendrá que introducir una contraseña proporcionada por su médico. De esta forma, se evita que cualquier persona notifique falsos positivos en la plataforma.
• En paralelo, los móviles del resto de personas descargarán periódicamente el listado de códigos almacenado en el servidor. Si alguno de estos coincide con los captados por el propio teléfono, significará que el propietario ha estado cerca de una persona que ha dado positivo en COVID-19. En ese momento, recibirá una notificación invitándole a contactar con su médico para tomar las medidas pertinentes.

<blockquote class="twitter-tweet"><p lang="es" dir="ltr">Nuestro compromiso es liberar el código de <a href="https://twitter.com/hashtag/RadarCOVID?src=hash&amp;ref_src=twsrc%5Etfw">#RadarCOVID</a><br><br>❓ Cómo: bajo licencia Mozilla Public License 2.0<br><br>❓ Por qué: por transparencia y para que la comunidad pueda ayudarnos a mejorar la app<br><br>❓ Cuándo: desde el día 9 de septiembre<a href="https://twitter.com/hashtag/EsteVirusLoParamosUnidos?src=hash&amp;ref_src=twsrc%5Etfw">#EsteVirusLoParamosUnidos</a></p>&mdash; S.E. Digitalización e Inteligencia Artificial (@SEDIAgob) <a href="https://twitter.com/SEDIAgob/status/1300813647669800962?ref_src=twsrc%5Etfw">September 1, 2020</a></blockquote> <script async src="https://platform.twitter.com/widgets.js" charset="utf-8"></script>

La aplicación está disponible en la App Store y Google Play. No obstante, es necesario que cada comunidad autónoma implemente el protocolo de notificación para que la aplicación funcione correctamente. De lo contrario, el teléfono recopilará los identificadores anónimos de las personas que nos rodean, pero no sabremos cuándo una de estas ha dado positivo en COVID-19.

Por otra parte, la Secretaría de Estado de Digitalización e Inteligencia Artificial ha asegurado que el próximo 9 de septiembre se podrá examinar el código de la aplicación, que se liberará bajo la licencia Mozilla Public License 2.0. De esta forma, cualquier persona podrá auditar el funcionamiento de la aplicación e incluso trasladar sugerencias de mejora a los responsables de la misma.

Hipertextual-Alberto Martin

Cuando Apple y Google presentaron su API de exposición para el Coronavirus, lo hicieron dejando claro que la implementación final debía de hacerse de la manos de las administraciones públicas a través de una app dedicada que fuera la que hiciese uso de la herramienta. Esto ha supuesto una implementación lenta en muchas regiones, además de dejar en manos de diferentes configuraciones territoriales (con diferentes app) la inclusión de las notificaciones de Covid.

En el caso de España, con Radar Covid, la app lleva disponible desde hace varias semanas, pero muchas comunidades autónomas como Madrid o Valencia, todavía no han implantado la aplicación, y aunque los usuarios pueden descargarla y utilizarla, la funcionalidad de notificar un positivo no funciona si la CC.AA. de turno no implementa la app en sus sistema.

Esto supone que no todos los ciudadanos puedan usar la aplicación, además de estar limitada territorialmente en función de si el gobierno de turno quiere utilizarla o no y supone una barrera para su uso cruzado, pese a que tanto las herramientas como la tecnología están en el terminal del usuario.

Ahora Apple parece que quiere que su API de exposición del Covid funcione independientemente de las aplicaciones de las administraciones públicas, de forma que el usuario pueda activarlo independientemente de si el gobierno ha lanzado o activado la aplicación en su región particular.

En la beta de iOS 13.7, los usuarios podrán activar las notificaciones de exposición de Covid sin necesidad de apps de terceros, lo que supondrá que cualquiera pueda utilizar esta herramienta sin depender de si la administración de turno tiene activa la app o no.

Lo que está muy claro es, sin apps de terceros y de las administraciones públicas, no podrá introducirse un positivo en el sistema. Actualmente en la beta este sistema ya se puede activar sin necesidad de apps, pero para notificar un positivo el sistema requiere si o si hacerlo a través de la aplicación oficial de Radar Covid.

Un paso lógico para verificar que cada positivo que entra en el sistema es real y se evitar los falsos positivos al requerir el código que dan los servicios médicos para introducir en Rada Covid.

En definitiva, una buena noticia para los usuarios.