Este mes de junio comenzarán a usarse en Canarias, en un programa piloto, una app de seguimiento de contagios de la COVID-19, impulsada por el gobierno español, utilizando una interfaz desarrollada por Google y Apple. En los últimos días hemos podido leer en Internet todo tipo de rumores sobre la seguridad de esa aplicación y sobre si se está instalando en nuestros teléfonos para espiarnos y robarnos los datos. Para aclarar malentendidos y posibles dudas, y para saber más sobre este tipo de apps, su seguridad, la privacidad y su uso, hemos decidido hablar con Iván Martínez Ortiz, del Departamento de Ingeniería del Software e Inteligencia Artificial de la Facultad de Informática.
Lo primero de todo, ¿de qué tipo de app estamos hablando?
Hay varios grupos de investigación, tanto empresas como universidades, que a nivel internacional han estado analizando diferentes sistemas para ver si era posible, mediante aplicaciones en los dispositivos móviles, facilitar la tarea de los rastreadores, que son los encargados de buscar a todas aquellas personas que hayan estado en contacto con alguien que haya dado positivo en coronavirus. En el caso de la app del Gobierno de España no se conocen todavía todos los detalles, pero lo que sí se sabe es la tecnología de base, que permite analizar que si dos personas han estado cerca durante un período de varios minutos en las últimas dos semanas y una de ellas notifica voluntariamente en la app que ha sido diagnosticada con COVID-19, se podrá avisar a todos aquellos que estuvieron cerca y que, por tanto, también podrían estar contagiados. Una cosa que debe quedar clara es que esta aplicación no tiene como objetivo decirte si estás contagiado, sino facilitar información sobre los contactos que ha habido entre las personas, para que con esos datos el sistema sanitario pueda realizar su trabajo de una manera más fácil y más ágil.
Comenta que hay empresas y universidades involucradas, ¿se ha contactado en España con la Complutense para el desarrollo de la aplicación?
No tengo ninguna información de ello, ni en lo que se refiere a la UCM ni a nivel de CRUE, así que creo que no, por desgracia. En el caso de otra aplicación que se planteó al principio del confinamiento se hablaba de un acuerdo marco que había firmado la Secretaría General de Administración Digital con Telefónica y un par de empresas para el desarrollo de una aplicación que permitía saber si la gente se movía entre provincias, pero ese acuerdo de todos modos no es para la nueva aplicación que comenzará a funcionar este mes de junio. Supongo, de todos modos, que tendrán el apoyo de alguna empresa, simplemente porque el Ministerio no tiene un gran equipo de desarrollo, entendiendo ese grande no por calidad sino por volumen, así que partirán de aplicaciones que ya están funcionando.
¿Cómo es capaz la app de realizar un seguimiento?
Se podría haber utilizado el GPS, que de hecho es lo que se pensó al principio del confinamiento o incluso, ya que nuestros dispositivos móviles se conectan a un proveedor de telefonía, utilizar las antenas. De todos modos ahí surgieron problemas de privacidad, sobre todo porque en estos casos el usuario final, el ciudadano, tenía muy poca capacidad de control, no tenía apenas capacidad de decisión sobre si quería o no compartir esa información, sobre todo en el caso de las antenas de telefonía. El GPS tiene una ubicación muy precisa, pero para facilitar el trabajo a los rastreadores no hace falta esa precisión, no hace falta saber que yo, durante el confinamiento, he ido de mi casa al supermercado y vuelta. No hace falta conocer el recorrido exacto, lo que se necesita es conocer posibles contactos que puedan cumplir los criterios de riesgo que establezca la autoridad sanitaria.
Si no se ha hecho con el GPS, ¿cómo se ha desarrollado finalmente?
Descartados GPS y antenas se ha optado por el bluetooth, que es un protocolo, una tecnología que funciona muy bien además dentro de edificios, lo que es una ventaja añadida frente al GPS, y presenta el equilibrio perfecto entre funcionalidad y la salvaguarda de la privacidad. En las tecnologías siempre está el protocolo de base y luego hay unas extensiones, y en este caso concreto se ha optado por el bluetooth low energy (BLE) para que no haga un uso excesivo de la batería, porque el servicio va a estar constantemente utilizando un programa. Por lo tanto, esta versión del protocolo está pensado para este tipo de situaciones en las que quieres emitir y recibir unos poquitos datos. En España tenemos bastante rotación de móviles como para que no haya un problema muy grande a la hora de usar este BLE, pero en terminales más antiguos sí puede ser un problema, ya que los fabricantes de móviles no utilizaban un chip con ese protocolo, así que no lo soportarían.
¿Están nuestros datos realmente seguros con esta app?
La iniciativa DP3T, que es la capa sobre la que se va a construir la app española, tiene un protocolo de seguridad bastante estricto, utilizando mecanismos criptográficos para que el dispositivo móvil vaya generando números aleatorios. Una vez por día se genera una clave y cada pocos minutos se crea ese número aleatorio que es el que se emite desde el móvil, de tal manera que al final ni siquiera un actor como el gobierno podría analizar con quien se junta cada uno. Es decir, que el miedo que pueda tener la gente de que se pueda saber exactamente con quién hemos estado es un miedo infundado, ya que es prácticamente imposible saberlo. Los datos llegarán a Google o a Apple, allí se agrupan y se dejan disponibles para que luego otros dispositivos móviles, cada cierto tiempo, se descarguen esos datos y los verifiquen. Entonces será cuando llegará una notificación al móvil diciendo que has podido tener cerca a una persona contagiada. En ese momento es cuando van a tener que ser muy precisos y es donde puede haber más problemas, porque la tecnología bluetooth, aunque es una tecnología cercana, puede detectar datos hasta unos diez metros y las autoridades sanitarias dicen que esa distancia no es relevante para un contagio. De todos modos, algunos dispositivos móviles ya son capaces de detectar la intensidad de la señal, así que más o menos se puede calcular la distancia a la que estaba la persona contagiada. Eso será importante tenerlo en cuenta en el desarrollo de la app para que no haya falsos positivos que te indiquen que has podido tener un contacto de riesgo cuando no ha sido así. Hay que ser muy cuidadoso para que los datos que lleguen al usuario no generen una alarma innecesaria.
Aparte de con la seguridad, ¿quién se instale la app puede estar tranquilo con la privacidad de los datos?
La gente debería darse cuenta de que ya utilizan muchos servicios gratuitos, en los que la moneda son sus datos, así que ya están compartiendo sus datos, hasta cierto punto. Esta aplicación, frente a otras comerciales, tiene un objetivo final que es facilitar el trabajo y ayudar, en la medida de lo posible, en esta pandemia. Me parece chocante que en muchos artículos de prensa, y en televisión, algunos supuestos expertos difundan más desinformación y metan miedos no fundados, porque estoy casi seguro de que todo el mundo que se ha instalado aplicaciones de Facebook, Instagram o Twitter no se ha leído los términos de servicio, no sabe cuáles son los objetivos de lo que pueden hacer con tus datos y se lo han instalado sin problemas. Pero, sin embargo, a una aplicación que en teoría va a estar acotada durante un cierto tiempo y va a estar controlada por el gobierno de tu país, no por una empresa, le sacamos todas las pegas del mundo. Es un poco un sinsentido. Además hay que tener en cuenta que nadie nos obliga a instalarnos la aplicación ni nadie nos la va a instalar sin nuestro consentimiento, y si tienes la COVID-19, como usuario, tienes la potestad de decidir liberar esos datos que se han recopilado en tu móvil, que ya hemos visto que no son más que números aleatorios.
¿Se podría haber utilizado otro sistema?
Sí. Parece que Reino Unido, por ejemplo, ha optado por no utilizar la misma tecnología que se está planteando para España en el sentido de que se apuesta por una opción centralizadora, donde al final las apps lo que hacen es enviar los datos continuamente a un servidor central que controla la administración sanitaria, y una vez allí se analizan y se realizan las notificaciones. En ese caso sí pueden saltar un poco más las alarmas del "gran hermano" y de qué va a pasar con esos datos que se envían de manera continuada.
De todos modos, y para entender mejor la utilidad de la aplicación de seguimiento, en el vídeo del ejército de Suiza que se puede ver en esta entrevista se hace una comparación peculiar. Los soldados testean la aplicación que llevan en el móvil y a la vez intercambian unos papelitos entre ellos, lo que provoca un pequeño caos por lo complejo que es coger un papel, apuntar un numerito e intercambiárselo. Con ello se quiere resaltar lo difícil que sería hacer esto sin utilizar una aplicación móvil en una realidad con muchos ciudadanos. Quizás, lo de los papelitos, podría servir, y ser preciso, para el trabajo de un rastreador en un pueblo pequeño, pero en una ciudad como Madrid sería imposible intercambiarse notas con cada persona con la que te cruzas. En ese sentido es donde tiene mucha más potencia la app, porque simplifica el sistema y siempre teniendo en cuenta que esto no es la herramienta principal para controlar la pandemia, sino simplemente una herramienta de apoyo al trabajo fantástico que está realizando el personal sanitario.
¿Es cierto que para esta aplicación han trabajado Google y Apple de manera conjunta?
Sí, porque curiosamente el uso del bluetooth en algunos dispositivos móviles está restringido o es complejo, y sobre todo pasa en los móviles de Apple. Eso ha hecho que se hayan unido Google y Apple para proporcionar una API (Interfaz del Programa de la Aplicación) común, de tal manera que al final, independientemente de la plataforma o del dispositivo móvil que tengas, los desarrolladores de apps, pueden utilizar el mismo conjunto de instrucciones tanto en Android como en IOs. Esta unión no es muy común, no me atrevería a decir que es la primera vez que ocurre, pero seguro cien por cien que es la vez más relevante en la que lo han hecho. En este momento lo han hecho bien, porque han identificado el problema que existía y han apostado por prestar un servicio a la sociedad de manera conjunta. Es cierto que algunos países, incluso España, se han quejado de que ni Apple ni Google les han tenido en cuenta, aunque creo que era necesario porque los temas se complican si hay muchos interlocutores, sobre todo cuando hay que llegar a una solución rápida y efectiva.
¿Ya se ha empezado a aplicar en algún lugar del mundo?
Acaba de lanzarse la aplicación de Francia con esta misma API, y el armazón básico será igual, o muy parecido, al que se utilizará en España, porque con esa armazón de Apple y Google hay poco margen de maniobra. En Suiza también está muy avanzado, en fases de pruebas para ver si se puede poner a disposición del público en general. En España, ya hay una entrada sobre la API de notificación de la COVID-19 en los ajustes de muchos teléfonos móviles, que es quizás lo que ha creado la alarma de que estaban instalando apps en nuestros móviles, pero al final la vas a tener que activar tú como usuario. La infraestructura ya está en marcha y comenzará este mes de junio en Canarias y luego, en julio o agosto, se comenzará a aplicar en todo el país, y es probable que con la nueva normalidad de septiembre será cuando será más útil, porque será cuando la gente retome más su trabajo.
¿Podría ser útil en el ámbito universitario?
En teoría vamos a reactivar la parte presencial a partir del comienzo de curso y ahí, pensando en la experiencia del Metro o de Cercanías, seguro que es muy útil. Habrá que tener muy en cuenta el tema de los falsos positivos, pero las autoridades sanitarias ya verán si les aporta más que les causa problemas. De todos modos, a priori parece una manera más razonable de llevar el control que el hecho de que yo me acuerde de que he visto a alguien con un polo rojo en el Metro, que iba sin mascarilla y tosiendo. Con la API de Google y Apple no se podría hacer una aplicación que afectase sólo a la Complutense, por ejemplo, porque sólo está disponible para autoridades sanitarias. A nivel de la UCM se podría hacer, eso sí, una aplicación para gestionar aforos, y eso se podría hacer con tecnologías que a veces son muy invasivas, como las cámaras de seguridad, o con otras como la app CRUE, que se aprobó hace ya años, aunque no está claro si se va a llegar a hacer. Una manera sencilla, si se conoce el número de personas que pueden acceder a cada lugar, es colocar en esos locales un código QR para que los que vayan accediendo lo vayan escaneando según entran con una app que mande los datos al servicio informático de la universidad. Sería una aplicación bastante fácil de implementar y, sobre todo, bastante útil en el contexto en el que nos vamos a mover. Por ejemplo, los compañeros de Informática de la UCM se están volviendo locos de cara a preparar la EvAU, precisamente por el tema de aforos, así que en un futuro próximo cualquier ayuda debería ser bienvenida y no sólo pensar que lo van a utilizar para espiarnos o para cualquier otra cosa.
¿Saldrá algo bueno de todo esto?
Dentro de la situación de drama humano que estamos teniendo, que es un drama terrible, se podría intentar aprovechar para mejorar algunos aspectos a nivel general de gestión, no sólo universitaria aunque también, para fomentar la administración digital, que al final es una de las partes que si se potencia evitaría gran parte de los desplazamientos y de la generación de papel. La situación va a obligar necesariamente a hacer muchos cambios y así será hasta que tengamos un tratamiento efectivo o, en su momento, la vacuna.
¿Los informáticos serán mucho más importantes en la nueva realidad?
Eso no lo sé, pero espero que seamos de utilidad, y no sólo los informáticos, sino toda la universidad en general, que se vea que tenemos una gran importancia en la sociedad y en particular en las TIC (Tecnologías de la Información y la Comunicación) que han venido para quedarse. Sería prácticamente inconcebible que el mundo TIC desapareciera de un día para otro, salvo algún improbable tipo de cataclismo que fría todos los dispositivos. Así que esperemos poder utilizar la tecnología, no solamente para el trabajo y el ocio, sino también para ayudar a la sociedad.