CYPRIAN · CYbersecurity, PRIvacy and Anonymity Lab

Artículo elaborado conjuntamente por investigadores de atlanTTic – Universidade de Vigo y Gradiant

Durante las primeras fases de la expansión del COVID-19 en Europa, impulsados en buena parte por las experiencias de buena gestión en determinados países asiáticos que vivieron antes el impacto del virus, múltiples expertos europeos de diferentes ámbitos (académico, privado, gubernamental) señalaron el uso de las nuevas tecnologías como uno de los elementos clave para hacer frente a la pandemia. En concreto, las aplicaciones de rastreo digital de contactos se identificaron como una herramienta no sólo útil para frenar la expansión de la pandemia, sino como un elemento esencial para las fases de desescalada o desconfinamiento, que se prevé se puedan prolongar durante un tiempo significativo.

El debate en curso sobre dos métodos alternativos (centralizado y descentralizado) para implementar aplicaciones de rastreo digital de contactos ha servido para poner en evidencia carencias graves de dichas aplicaciones que las convierten, en su concepción actual, en desaconsejables. En la raíz de estas carencias se encuentran unos requisitos de privacidad que no son alcanzables con una tecnología que, como es el caso de Bluetooth Low Energy (BLE), nunca fue concebida para este fin.

En el presente documento se ofrecen argumentos que justifican que, tal como han sido propuestas, las aplicaciones de seguimiento de contactos no ofrecen una garantía total de privacidad a los usuarios, ni son 100% robustas frente a ataques maliciosos, algunos de ellos relativamente sencillos de implementar, escalables, con capacidad de convertirse en masivos y con potenciales consecuencias muy negativas.

Asimismo, se justifica que la tecnología BLE está inherentemente limitada en la fiabilidad de los datos que puede proporcionar, cuestionando su validez como mecanismo de detección de contactos de riesgo. Además, el grado de adopción de BLE, siendo apreciable, dista mucho de alcanzar el nivel necesario para ser efectivo en la contención de la epidemia. Por otra parte, los requisitos de privacidad hacen que estas aplicaciones ni siquiera puedan servir de complemento al rastreo manual.

Concluimos que las tecnologías de base no son suficientemente fiables, robustas ni extendidas como para alcanzar las tasas deseables de detección de contactos. Su adopción, sin consciencia de estas limitaciones, puede conducir a una falsa seguridad que, una vez refutada, se convierta en un elemento desincentivador para su uso.

Desde una perspectiva meramente técnica, desaconsejamos firmemente la adopción inmediata de aplicaciones de rastreo de contactos en tanto no se solucionen satisfactoriamente los problemas identificados.

Esta crisis epidemiológica hubiese supuesto una oportunidad sin precedentes para desplegar el potencial tecnológico europeo y dar una respuesta conjunta a un problema acuciante, poniendo en valor además nuestro marco legal de respeto a la privacidad y a los derechos fundamentales de los ciudadanos. En cambio, las rencillas entre los defensores de los dos modelos propuestos no sólo han complicado la existencia de un sistema europeo interoperable, sino que han puesto en manos de Google y Apple la solución, renunciando una vez más a la soberanía tecnológica y abriendo muchos más interrogantes sobre la privacidad. Buscando evitar un Gran Hermano, los europeos estamos poniendo nuestra privacidad en manos de un Mayor Hermano.

Authors:
Juan González Martínez, Gradiant
Fernando Pérez González, atlanTTic – Universidade de Vigo
Luis Pérez Freire, Gradiant
David Chaves Diéguez, Gradiant

DOWNLOAD ARTICLE