La guerra de la app de rastreo del virus: investigadores y gobiernos europeos compiten por su opción

Más de 300 académicos de instituciones de 27 países han publicado una carta este lunes para advertir sobre el peligro de una app centralizada de rastreo de contagios: “Estamos preocupados de que algunas soluciones a esta crisis puedan resultar en sistemas que permitan una vigilancia masiva sin precedentes de la sociedad”, escriben. Este temor llevaría, añaden, a que menos gente se la descargase o empleara, lo que convertiría ese esfuerzo en inútil. La carta llega en medio de una batalla entre Gobiernos europeos e instituciones por el modelo de app que se utilice para superar la crisis.

La solución tecnológica para el día que salgamos a la calle es una app que ayude a rastrear contagios. Un gran problema del coronavirus ha sido la capacidad para contagiar de los afectados sin síntomas. Esta app permitiría saber con quién ha estado una persona que luego resulta positivo. Funciona mediante bluetooth: nuestros teléfonos se enviarían y recibirían códigos cada pocos minutos. Si alguien resulta infectado, al confirmarse su positivo, el sistema permitiría advertir a quienes han estado cerca en los últimos días para que hagan cuarentena.

Este sistema tiene básicamente dos formatos: centralizado y descentralizado. La diferencia básica es el conocimiento de la población que tiene quien controle el servidor. En el centralizado, las autoridades pueden conocer rastrear identidades, con lo que hay que confiar en que solo lo usen para combatir la Covid-19. En el descentralizado, las operaciones más importantes ocurren en el móvil, al que tienen acceso solo los usuarios.

En Europa surgió a principios de abril un consorcio llamado PEPP-PT (Rastreo Paneuropeo de Proximidad para Preservar la Privacidad) apoyado por decenas de instituciones. Esta era su intención inicial: “Apoyamos propuestas centralizadas y descentralizadas y cada país escogerá la que convenga a su legislación. Todo lo que proporcionemos se basará en participación voluntaria, será anónimo, no usará datos personales ni geolocalización, operará cumpliendo el Reglamento Europeo de Protección de Datos y habrá sido certificado y comprobado por profesionales”.

Desde la aparición de esa página web, poco más se supo de la actividad de PEPP-PT. Entre esas propuestas la web avanzaba que había una iniciativa llamada DP-3T. Con un equipo de más 20 profesionales en ocho instituciones europeas y liderados por una ingeniera española, Carmela Troncoso, DP-3T avanzaba en su trabajo de crear un protocolo descentralizado. Su intención era, como explicaba Troncoso en una entrevista en EL PAÍS, ofrecer una alternativa que respete la privacidad ante la certeza de que iba a haber una app de rastreo de contagios.

El viernes 10 de abril Apple y Google dieron a conocer su trabajo para ayudar con el rastreo de contagios. Su esfuerzo iba a ir en la dirección de DP-3T, es decir hacia un modelo descentralizado.

Empiezan los nervios

En PEPP-PT, mientras, no ocurría nada. Algunos gobiernos, como el español, se habían sumado a una iniciativa que parecía proponer algo aceptable para todo el continente. Por su parte, DP-3T seguía con su trabajo, con el código colgado en el repositorio online GitHub para que fuera analizado por la comunidad. Hasta el pasado miércoles. Ese día la mención a DP-3T fue silenciosamente eliminada de la web oficial de PEPP-PT. Empezaron los nervios.

¿Qué quedaba en PEPP-PT? Solo algo supuestamente centralizado que nadie había visto. Las sospechas y las suspicacias circulaban en todas direcciones. La única figura pública representada en PEPP-PT era Hans-Christian Boos, un empresario alemán y asesor del Gobierno federal. Pero nadie tenía claro cuál era su papel ni quién le ayudaba en su labor.

El viernes PEPP-PT organizó dos videollamadas en Zoom. Boos hizo una para periodistas. Dos investigadores del Instituto Fraunhofer hicieron la otra. Hablaron de pruebas en marcha, de una implementación próxima, de conversaciones con Apple y Google. Ese día por la tarde colgarían algo en GitHub, dijeron. Todo parecía de repente más avanzado de lo que nadie creía. Pero viernes por la tarde solo apareció un simple pdf que borraron en seguida. El caos y las dudas crecían. Varias instituciones y científicos empezaron a desvincular su nombre del proyecto.

En la categoría miembros de PEPP-PT hay ahora alguna institución y un reguero de empresas, como Bending Spoons, que está desarrollando la app en Italia, o Hering, la compañía de relaciones públicas que ayudó a Volkswagen en su fiasco por el diéselgate.

Hasta el sábado al mediodía, cuando se publicó el protocolo ROBERT. Detrás de ROBERT había dos instituciones francesa y alemana: Inria y Fraunhofer. Pero ningún nombre de investigador, lo que es raro en la comunidad científica. Durante el día algunos miembros de Inria mostraban su extrañeza porque se asociara su institución a algo que había hecho solo un grupo.

ROBERT viene de ROBust and privacy-presERving proximity Tracing protocol. Ahí quedaron claros los dos bandos en la batalla. Al día siguiente, domingo, DP-3T publicó una crítica a la falta de privacidad por diseño de ROBERT. Y algunas instituciones empezaron a desvincular su nombre del proyecto.

Este lunes se ha publicado la carta de los investigadores. Los Gobiernos deben decidir de qué bando están. Alemania, Francia e Italia dicen haber puesto en marcha proyectos junto a empresas privadas que usarían PEPP-PT. Otros gobiernos que no han trascendido estarían ya trabajando con DP-3T. Otros aún, como España, miran con aparente extrañeza todo lo que ocurre y lo que puede llevar a un nuevo desconcertante conflicto europeo. Polonia ha creado ya su app similar a la usada en Singapur, que a su vez es similar a PEPP-PT.

Además, están en medio Apple y Google. La versión ROBERT pretende que los códigos presuntamente anonimizados los den las autoridades, lo que es una contradicción flagrante y aún no resuelta. En la propuesta descentralizada, que siguen Apple y Google, esos códigos se crearían en el teléfono, con lo que nadie, tampoco el Gobierno, sabría a quién pertenecen. Desde la propuesta ROBERT dicen en cambio que esos códigos los tendrán igualmente Apple y Google.

Sea como sea, si Apple no permite que los códigos no se creen localmente en el móvil, ROBERT tiene un problema grave. Su sistema operativo no permite usar bluetooth “por detrás”, cuando el teléfono no está activo. Las apps de Robert deberían funcionar con la pantalla siempre desbloqueada, con el peligro que eso supone si el teléfono se roba y los problemas de batería. Los gobiernos están en presuntas conversaciones con Apple para resolverlo. Por ahora, sin respuesta.

La guerra de la app de rastreo está servida. Algunos gobiernos creen que no pueden dejar escapar focos de contagios y deben ser los primeros en saber y transmitir posibles contagiados. Los epidemiólogos vinculados a DP-3T creen que es suficiente con que la gente sepa su peligro y actúe en consecuencia. Los investigadores creen que pocos se la descargarán si no hay garantías del buen uso. Las consecuencias de crear un sistema que permita definir con certeza con quién has estado es potencialmente peligroso.

“Una de las metas de estas apps debe ser el respeto a la privacidad. Es necesario porque favorece la seguridad de todos, al proteger datos personales que pueden usarse de manera equivocada o incluso maliciosa”, explica Manuel Carro, director de Imdea Software (Madrid) y uno de los firmantes españoles de la carta. “Pero, además, en caso contrario las apps de rastreo de contactos no tendrían la aceptación necesaria para ser efectivas: perderíamos una oportunidad de continuar deteniendo esta pandemia y de confiar en lo que la tecnología bien pensada puede hacer. España debería mirar a alternativas que cumplen normas europeas de privacidad de datos y que están respaldadas mayoritariamente por la comunidad científica”, añade.

“Lo más importante es que se respeten los derechos fundamentales de los ciudadanos, y que el impacto en la sociedad del uso de esta app sea positivo. Esto sólo se puede conseguir a través de un sistema descentralizado”, dice Manuela Battaglini, abogada experta en privacidad. “El Gobierno debería alejarse de una opción centralizada que pueda suponer la entrada a una implantación de un sistema de vigilancia permanente en nuestro país”, añade.