Apple y Google están emprendiendo un trabajo de equipo sin precedentes para construir un sistema que permita a nuestros equipos Android e iPhone interoperar en nombre de la tecnología de rastreo de contactos COVID-19.

El plan de las empresas forma parte de un torrente de propuestas para usar la fuerza de la señal de Bluetooth para mejorar el rastreo manual de contactos con aplicaciones móviles basadas en la proximidad. Como Apple y Google, efectivamente, son un duopolio en el espacio del sistema operativo móvil, su plan tiene un peso especial. La tecnología de Apple y Google estaría ampliamente descentralizada, manteniendo la mayoría de los datos en los teléfonos de los usuarios y lejos de las bases de datos centrales. Este tipo de aplicación tiene algunos compromisos de privacidad inevitables, como veremos más adelante, y Apple y Google podrían hacer más para prevenir la filtración de datos. Aun así, su modelo está diseñado para reducir los riesgos de privacidad del rastreo por proximidad Bluetooth, y es preferible a otras estrategias que dependen de un servidor central.

Las aplicaciones de rastreo de proximidad podrían ser, como mucho, una pequeña parte de una respuesta de salud pública más amplia a COVID-19. Este uso de la tecnología Bluetooth no está probado ni comprobado, y está diseñado para su uso en aplicaciones para teléfonos inteligentes que no llegarán a todo el mundo. Las aplicaciones construidas sobre el nuevo sistema de Apple y Google no serán una solución tecnológica "mágica" para el actual estado de refugio en el lugar. Su efectividad dependerá de numerosas compensaciones y de la suficiente confianza para una amplia adopción pública. La insuficiente protección de la privacidad reducirá esa confianza y, por lo tanto, socavará la eficacia de las aplicaciones.

¿Cómo funcionará?

Tan pronto como hoy, Apple y Google están empezando a desplegar partes de la infraestructura del iPhone y Android que los desarrolladores necesitan para poder construir aplicaciones de rastreo de proximidad basadas en Bluetooth. Si descargas una de estas aplicaciones, usará el chip Bluetooth de tu teléfono para hacer lo que hace el Bluetooth: emitir pequeños pings de radio para encontrar otros dispositivos. Por lo general, estos pings buscan los altavoces externos o el mouse inalámbrico. En el caso de las aplicaciones de rastreo de proximidad COVID-19, estarán llegando a las personas cercanas que también han optado por usar Bluetooth para este propósito. Sus teléfonos también emitirán y escucharán esos pings. Las aplicaciones utilizarán la intensidad de la señal de Bluetooth para estimar la distancia entre los dos teléfonos. Si están lo suficientemente cerca -6 pies o más cerca, basado en la guía actual del CDC- ambos registrarán un evento de contacto.

Ahora hay muchas propuestas diferentes para hacer básicamente lo mismo, con consideraciones ligeramente diferentes para la eficiencia, la seguridad y la privacidad. El resto de esta entrada se centra en la propuesta de Apple y Google (versión 1.1) en particular.

Cada teléfono generará una nueva llave privada de propósito especial cada día, conocida como "llave de exposición temporal". Luego utilizará esa clave para generar números de identificación aleatorios llamados "identificadores de proximidad rodante" (RPID). Los pings se emitirán al menos una vez cada cinco minutos cuando el Bluetooth esté activado. Cada ping contendrá el RPID actual del teléfono, que cambiará cada 10 o 20 minutos. Esto tiene como objetivo reducir el riesgo de que los rastreadores de terceros puedan usar los pings para rastrear pasivamente la ubicación de las personas. El sistema operativo guardará todas sus claves de exposición temporal, y registrará todos los RPID con los que entre en contacto, durante las últimas 2 semanas.

Si un usuario de la aplicación descubre que está infectado, puede autorizar a una autoridad de salud pública a compartir públicamente sus claves de exposición temporal. Para prevenir la sobrecarga del sistema con falsas alarmas, las autoridades sanitarias deben verificar que el usuario está realmente infectado antes de poder subir sus claves. Después de subirlas, las claves de exposición temporal de un usuario se conocen como "claves de diagnóstico". Las claves de diagnóstico se almacenan en un registro público y están disponibles para todos los demás usuarios de la aplicación.

Las claves de diagnóstico contienen toda la información necesaria para volver a generar el conjunto completo de RPIDs asociados a cada dispositivo de usuario infectado. Las aplicaciones participantes pueden utilizar el registro para comparar los RPID con los que un usuario ha estado en contacto con los RPID de los portadores de COVID-19 confirmados. Si la aplicación encuentra una coincidencia, el usuario recibe una notificación de su riesgo de infección.

El programa se desarrollará en dos fases. En la fase 1, Google y Apple están construyendo una nueva API en sus respectivas plataformas. Esta API contendrá la funcionalidad básica necesaria para hacer que su esquema de rastreo de proximidad funcione tanto en iPhones como en Androides. Otros desarrolladores tendrán que construir aplicaciones que realmente ejecuten la nueva API. Ya se ha publicado un borrador de las especificaciones de la API, y podría estar disponible para que los desarrolladores lo utilicen esta semana. En la fase 2, las empresas dicen que el seguimiento de proximidad "se introducirá a nivel del sistema operativo para ayudar a asegurar una amplia adopción". Sabemos mucho menos sobre esta segunda fase.

¿Funcionará?

Varios desafíos técnicos y sociales se interponen en el camino del rastreo de proximidad automatizado. En primer lugar, estas aplicaciones asumen que "teléfono móvil = humano". Pero incluso en los EE.UU., la adopción del teléfono celular está lejos de ser universal. Las personas mayores y los hogares de bajos ingresos son menos propensos a tener teléfonos inteligentes, lo que podría dejar fuera a muchas personas con el mayor riesgo de COVID-19. Muchos teléfonos antiguos no tendrán la tecnología necesaria para el rastreo por proximidad Bluetooth. Los teléfonos pueden apagarse, dejarse en casa, quedarse sin batería o ponerse en modo avión. Así que incluso un sistema de rastreo de proximidad con adopción casi universal va a perder millones de contactos cada día.

Estas aplicaciones asumen que "teléfono celular = humano", pero la adopción del teléfono celular está lejos de ser universal.

Segundo, las aplicaciones de rastreo de proximidad tienen que dar el profundo salto de "hay una fuerte señal de Bluetooth cerca de mí" a "dos humanos están experimentando un contacto epidemiológicamente relevante". La tecnología Bluetooth no fue hecha para esto. Una aplicación puede registrar una conexión cuando dos personas con máscaras se cruzan brevemente en una acera con viento, o cuando dos coches con las ventanillas abiertas se sientan uno al lado del otro en el tráfico. La proximidad de un paciente a una enfermera con PPE puede parecerse a la de Bluetooth como la proximidad de dos personas que se besan. Además, el Bluetooth puede ser interrumpido por grandes concentraciones de agua, como el cuerpo humano. En algunas situaciones, aunque dos personas pueden estar lo suficientemente cerca para tocarse, sus teléfonos no pueden establecer contacto por radio. Estimar con precisión la distancia entre dos dispositivos es aún más difícil.

Tercero, la propuesta de Apple y Google especifica actualmente que los teléfonos emitirán señales tan rara vez como una vez cada cinco minutos. Así que incluso en condiciones óptimas, dos teléfonos no pueden registrar un contacto hasta que hayan estado cerca el uno del otro durante el tiempo necesario.

En cuarto lugar, una parte significativa de la población debe usar realmente las aplicaciones. En Singapur, una aplicación desarrollada por el gobierno sólo ha logrado alrededor de un 20% de adopción después de varias semanas. Como un duopolio de plataforma móvil, Apple y Google están en la mejor posición posible para fomentar el despliegue de una nueva pieza de software a escala. Aún así, la adopción puede ser lenta, y nunca será universal.

¿Será privado y seguro?

La verdad es que nadie sabe realmente cuán efectivas serán las aplicaciones de rastreo por proximidad. Además, tenemos que sopesar los beneficios potenciales contra los riesgos muy reales para la privacidad y la seguridad.

En primer lugar, cualquier sistema de seguimiento por proximidad que compruebe una base de datos pública de claves de diagnóstico con los RPID de un dispositivo de usuario -como lo hace la propuesta de Apple-Google- permite abrir la posibilidad de que los contactos de una persona infectada averigüen cuál de las personas con las que se ha encontrado está infectada. Por ejemplo, si tienes un contacto con un amigo y éste informa de que está infectado, puedes usar el registro de contactos de tu propio dispositivo para saber que está enfermo. Llevado al extremo, los malos actores podrían recoger RPIDs en masa, conectarlos a identidades utilizando reconocimiento facial u otra tecnología, y crear una base de datos de quién está infectado. Otras propuestas, como la de la UE PEPP-PT y la de Francia y Alemania ROBERT, pretenden prevenir este tipo de ataque, o al menos dificultarlo, realizando la comparación en un servidor central; pero esto introduce riesgos más serios para la privacidad.

En segundo lugar, la elección de Apple y Google de hacer que los usuarios infectados compartan públicamente sus claves de diagnóstico una vez al día, en lugar de sólo sus RPID de cada minuto, expone a esas personas a ataques de enlace. Un adversario bien dotado de recursos podría recoger RPIDs de muchos lugares diferentes a la vez estableciendo balizas estáticas de Bluetooth en lugares públicos, o convenciendo a miles de usuarios de que instalen una aplicación. El rastreador recibirá un firehose de RPIDs en diferentes momentos y lugares. Con sólo los RPIDs, el rastreador no tiene forma de vincular sus observaciones entre sí.

A plain street map with several red dots indicating different Bluetooth pings.

Si un mal actor instalara una baliza Bluetooth o utilizara una aplicación para recoger la ubicación de los RPID de la gente, todo lo que obtendría es un mapa como este: muchos pings diferentes, pero ninguna indicación de qué pings pertenecen a qué individuo.

Pero una vez que un usuario sube sus claves de diagnóstico diarias al registro público, el rastreador puede usarlas para vincular todos los RPID de esa persona de un solo día.

The same plain street map, this time with a line connecting some of the different red Bluetooth ping dots into one person's daily route.

Si alguien envía sus claves de diagnóstico diario a un servidor central, un delincuente podría usar esas claves para enlazar varios pings de RPID. Esto puede exponer su rutina diaria, como dónde viven y trabajan.

Esto puede crear un mapa de la rutina diaria del usuario, incluyendo donde trabajan, viven y pasan el tiempo. Estos mapas son muy particulares para cada persona, por lo que podrían usarse para identificar a la persona que está detrás de la clave de diagnóstico cargada. Además, pueden revelar la dirección de la casa de una persona, su lugar de trabajo y sus viajes a lugares sensibles como una iglesia, una clínica de abortos, un bar de homosexuales o un grupo de apoyo para el abuso de sustancias. El riesgo de rastreo de ubicación no es exclusivo de las aplicaciones Bluetooth, y los actores con los recursos para llevar a cabo un ataque como éste probablemente tengan otras formas de adquirir información similar de torres celulares o de terceros agentes de datos. Pero los riesgos asociados con el rastreo por proximidad de Bluetooth en particular deben reducirse siempre que sea posible.

Este riesgo puede atenuarse reduciendo el tiempo en que se utiliza una sola clave de diagnóstico para generar los RPID, a costa de aumentar el tamaño de la descarga de la base de datos de exposición. Proyectos similares, como el PACT del MIT, proponen utilizar claves horarias en lugar de diarias.

En tercer lugar, la policía puede buscar datos creados por aplicaciones de proximidad. El teléfono de cada usuario almacenará un registro de su proximidad física a los teléfonos de otras personas, y por lo tanto de sus asociaciones íntimas y expresivas con algunas de esas personas, durante varias semanas. Cualquiera que tenga acceso a los datos de la aplicación de proximidad desde los teléfonos de dos usuarios podrá ver si, y en qué días, han registrado los contactos entre ellos. Es probable que este riesgo sea inherente a cualquier protocolo de rastreo de proximidad. Debería mitigarse dando a los usuarios la opción de apagar selectivamente la aplicación y eliminar los datos de proximidad de determinados períodos de tiempo. Al igual que muchas otras amenazas a la privacidad, también debería mitigarse con cifrado y contraseñas fuertes.

El protocolo de Apple y Google puede ser susceptible a otros tipos de ataques. Por ejemplo, actualmente no hay forma de verificar que el dispositivo que envía un RPID es realmente el que lo generó, por lo que los trolls podrían recoger los RPID de otros y retransmitirlos como propios. Imagina una red de balizas Bluetooth instaladas en las esquinas de las calles más transitadas que retransmitieran todos los RPID que observaran. Cualquiera que pase por una baliza "mala" registraría los RPID de todos los demás que estuvieran cerca de cualquiera de las balizas. Esto conduciría a muchos falsos positivos, que podrían socavar la confianza del público en las aplicaciones de rastreo de proximidad, o peor aún, en el sistema de salud pública en su conjunto.

¿Qué deben hacer los desarrolladores de aplicaciones?

La fase 1 de Apple y Google es una API, que deja al resto del mundo la tarea de desarrollar las aplicaciones reales que utilicen la nueva API. Google y Apple han dicho que tienen la intención de que las "autoridades de salud pública" hagan aplicaciones. Pero la mayoría de las autoridades de salud no tendrán los recursos técnicos internos para hacerlo, por lo que es probable que se asocien con empresas privadas. Cualquiera que construya una aplicación sobre la interfaz tendrá que hacer muchas cosas bien para asegurarse de que es privada y segura.

Los creadores de aplicaciones con mala fe pueden intentar derribar las garantías de privacidad de los gigantes de la tecnología. Por ejemplo, aunque se supone que los datos de un usuario deben permanecer en su dispositivo, una aplicación con acceso a la API podría ser capaz de subir todo a un servidor remoto. Podría entonces vincular las claves privadas diarias a un ID de anuncio móvil u otro identificador, y explotar el historial de asociación de los usuarios para hacer un perfil de ellos. También podría utilizar la aplicación como un "caballo de Troya" para convencer a los usuarios de que acepten un conjunto de rastreo más invasivo.

Entonces, ¿qué debe hacer un desarrollador de aplicaciones responsable? Para empezar, deberían respetar el protocolo en el que se basan. Los desarrolladores no deberían tratar de injertar un protocolo más "centralizado", que comparta más datos con una autoridad central, además del modelo más "descentralizado" de Apple y Google que mantiene los datos de los usuarios en sus dispositivos. Además, los desarrolladores no deberían compartir ningún dato a través de Internet más allá de lo absolutamente necesario: sólo subir claves de diagnóstico cuando un usuario infectado decide hacerlo.

Los desarrolladores deberían ser extremadamente francos con sus usuarios sobre los datos que la aplicación está recolectando y cómo detenerla. Los usuarios deberían ser capaces de detener y comenzar a compartir los RPIDs en cualquier momento. También deberían poder ver la lista de los RPID que han recibido y borrar parte o todo el historial de contactos.

Todo el sistema depende de la confianza.

Igualmente importante es lo que no se debe hacer. Esta es una crisis de salud pública, no una oportunidad de crecer. Los desarrolladores no deben obligar a los usuarios a registrarse para tener una cuenta para nada. Tampoco deberían enviar una aplicación de rastreo de contactos con características extra e innecesarias. La aplicación debería hacer su trabajo y salir del camino, no tratar de embarcar a los usuarios a un nuevo servicio.

Obviamente, las aplicaciones de rastreo de proximidad no deberían tener nada que ver con los anuncios (y el desastre explotador y depredador de información que viene con ellos). De la misma manera, no deberían usar bibliotecas analíticas que comparten datos con terceros. En general, los desarrolladores deberían utilizar salvaguardias técnicas y políticas sólidas y transparentes para aislar estos datos para los fines de COVID-19 y sólo para los fines de COVID-19.

Todo el sistema depende de la confianza. Si los usuarios no confían en que una aplicación funciona en su mejor interés, no la usarán. Por lo tanto, los desarrolladores deben ser tan transparentes como sea posible sobre cómo funcionan sus aplicaciones y qué riesgos implican. Deberían publicar el código fuente y la documentación para que los usuarios conocedores de la tecnología y los tecnólogos independientes puedan comprobar su trabajo. Y deberían invitar a los profesionales a realizar auditorías de seguridad y pruebas de intrusión para tener la mayor confianza posible de que sus aplicaciones realmente hacen lo que dicen que harán.

Todo esto llevará tiempo. Hay muchas cosas que pueden salir mal, y hay demasiado en juego para permitirse un software precipitado y descuidado. Las autoridades de salud pública y los desarrolladores deberían dar un paso atrás y asegurarse de que hacen las cosas bien. Y los usuarios deberían desconfiar de cualquier aplicación que salga en los días siguientes al lanzamiento de la primera API de Apple y Google.

¿Qué deberían hacer Apple y Google?

Apple y Google deberían ser transparentes sobre cuáles son sus criterios.

Durante la primera fase, Apple y Google han dicho que la API "sólo puede [ser] utilizada para el rastreo de contactos por las aplicaciones de las autoridades de salud pública", las cuales "recibirán una aprobación basada en un conjunto específico de criterios diseñados para asegurar que sólo se administren conjuntamente con las autoridades de salud pública, cumplan con nuestros requisitos de privacidad y protejan los datos de los usuarios". Apple y Google deberían ser transparentes y específicos sobre cuáles son exactamente estos criterios. A través de estos criterios, las empresas pueden controlar qué otros permisos tienen las aplicaciones. Por ejemplo, podrían evitar que las aplicaciones de rastreo por proximidad COVID-19 accedan a los identificadores de anuncios para móviles u otros identificadores de dispositivos. También podrían hacer prescripciones de políticas más detalladas, como exigir que cualquier aplicación que utilice la API tenga un mecanismo claro para que los usuarios puedan volver atrás y eliminar partes de su registro de contactos. Los criterios de aprobación de la tienda de aplicaciones de Apple y Google y las restricciones relacionadas también deben aplicarse de manera uniforme; si Apple y Google hacen excepciones para los gobiernos o las empresas con las que tienen amistad, socavarían la confianza necesaria para un consentimiento informado.

En la segunda fase, las empresas construirán la tecnología de rastreo de proximidad directamente en Android e iOS. Esto significa que no se necesitará ninguna aplicación inicialmente, aunque Apple y Google proponen que se le pida al usuario que descargue una aplicación de salud pública si se detecta una coincidencia de exposición. Todas las recomendaciones para los desarrolladores de aplicaciones anteriores también se aplican a Apple y Google aquí. Lo más importante es que la opción prometida debe obtener el consentimiento específico e informado de cada usuario antes de activar cualquier tipo de rastreo de proximidad. Tienen que facilitar a los usuarios que opten por entrar, que luego puedan salir, y ver y borrar los datos que el dispositivo ha recogido. Deben crear fuertes barreras técnicas entre los datos reunidos para el rastreo de proximidad y todo lo demás. Y deberían abrir  [el código fuente de] sus implementaciones para que los analistas de seguridad independientes puedan comprobar su trabajo.

Este programa debe finalizar cuando la crisis de COVID-19 termine.

Por último, este programa debe finalizar cuando la crisis de COVID-19 termine. Las aplicaciones de rastreo de proximidad no deben usarse para otras cosas, como rastrear más brotes leves de gripe estacional o encontrar testigos de un crimen. Google y Apple han dicho que "pueden desactivar el sistema de notificación de exposición a nivel regional cuando ya no sea necesario". Esta es una capacidad importante, y Apple y Google deberían establecer un plan claro y concreto sobre cuándo terminar este programa y eliminar las APIs de sus sistemas operativos. Deberían declarar públicamente cómo definirán "el fin de la crisis", incluyendo qué criterios buscarán y qué autoridades de salud pública los guiarán.

No habrá una solución técnica rápida para COVID-19. Ninguna aplicación nos permitirá volver a los negocios como de costumbre. El rastreo de contactos asistido por una aplicación tendrá serias limitaciones, y aún no sabemos el alcance de los beneficios. Si Apple y Google van a encabezar este gran experimento social, deben hacerlo de manera que los riesgos para la privacidad sean mínimos. Y si quieren que tenga éxito, deben ganarse y mantener la confianza del público.