La crisis del coronavirus

El 25% de los noruegos se descarga una app contra la covid-19 pese a las dudas sobre seguridad y privacidad

El sistema notifica a los usuarios si han estado en contacto con un infectado y permite a las autoridades monitorear cómo se mueva la población

Smittestopp

Mientras el confinamiento se relaja con la reapertura de guarderías y colegios, tras mejorar la situación, el Gobierno noruego ha lanzado una aplicación para móviles de seguimiento del coronavirus. Como los sistemas de rastreo de contagios que preparan varios países europeos, Smittestopp (freno a la infección), notifica a los usuarios si han estado en contacto con una persona infectada. Pero además, permite a las autoridades monitorear cómo se mueve la población para calibrar la efectividad de las medidas. Desde su lanzamiento el 19 de abril, ha sido descargada por 1.427.000 usuarios -el 25% de la población-, según el Instituto Noruego de Salud Pública (FHI, en sus siglas en noruego). Aunque las autoridades esperan que más del 60% la use, el periodo de pruebas no se ha salvado de la controversia sobre su seguridad y privacidad.

Con la promesa de “dar más libertad, más rápidamente” a los noruegos, como anunciara en su presentación en rueda de prensa la primera ministra de Noruega, Erna Solberg, las autoridades del FHI, la Dirección de Salud Electrónica y el Consejo de Investigación de Noruega, encargaron al laboratorio de investigación Simula, una organización estatal sin ánimo de lucro, el desarrollo a la carrera de Smittestopp.

El planteamiento es sencillo. Cuando el usuario se registra como infectado por el coronavirus en la División de Control de Enfermedades Infecciosas (MSIS), se envía una sola notificación en forma de mensaje de texto a todos contactos cercanos, entendidos como las personas que han estado a menos de dos metros de la persona infectada al menos durante 15 minutos, durante los últimos 14 días. Naturalmente, tanto el infectado como sus contactos han de haber llevado consigo sus teléfonos y tener descargada la aplicación. “Es posible que se cambie el tiempo de contacto a cinco minutos, según los nuevos descubrimientos sobre la propagación”, señalaba el subdirector gerente de Simula, Kyrre Lekve, al portal Forskning.no.

En la actualidad, la aplicación se usa solo para recopilar datos del movimiento de la población. Este lunes, el FHI anunció que probará la función de notificación para aquellos que hayan estado en contacto un infectado en los municipios de Drammen, Tromsø y Trondheim, y a partir del martes los residentes recibirán un mensaje de texto en caso de haber estado expuestos a la infección.

Disponible para iOS y Android, la app de seguimiento proporciona a las autoridades datos anónimos sobre los movimientos de los usuarios y medir la efectividad de las medidas de contención del coronavirus a través de la combinación de los servicios de ubicación GPS y la tecnología bluetooth, con el fin de recopilar y cifrar información, y subirla al almacenamiento central de datos con el propósito aventajar en rapidez al tradicional sistema de rastreo manual. El uso del GPS es una diferencia notable de esta aplicación respecto a la que proyectan la mayoría de países europeos y la hace más polémica en cuestión de privacidad.

Un caldo de cultivo de alertas falsas

Tras el lanzamiento, una de las principales quejas de los usuarios apunta al excesivo consumo de energía que requiere la aplicación. El subdirector de Salud, Espen Rostrup Nakstad, disculpa como “un pequeño precio a pagar” tener que cargar el móvil un tiempo extra durante un día para ayudar a detener la propagación de la infección y anima a la población a tener siempre a mano un cargador. A principios de esta semana, las autoridades aseguran que habrá una actualización para reducir el consumo. Otro frente es la carencia de un diseño universal adaptado para los usuarios con discapacidad visual y las personas mayores, con más dificultades para usar la aplicación.

Pero lo que realmente inquieta a los noruegos es la seguridad de sus datos. La nueva app de rastreo notifica por SMS si el usuario ha estado cerca de una persona contagiada por coronavirus. Sin embargo, el servicio de mensajería es uno de los mayores puntos débiles de Smittestopp. Un equipo la radiotelevisión pública noruega NRK tardó apenas diez minutos en configurar un sistema para enviar alertas falsas falsificando direcciones de remitente para SMS. Esto prueba la vulnerabilidad de los mensajes de Smittestopp, que puede representar una oportunidad de oro para los estafadores.

“Es muy fácil enviar grandes cantidades de SMS a cualquier persona en todo el mundo con un número de remitente falso o una palabra como "Helsenorge" (Sanidad de Noruega) y asustar a la gente. Esos mensajes pueden, además, incrustarse en los hilos de existentes que el usuario tenga con su médico de familia o la Agencia Tributaria”, alerta el experto en seguridad Per Thorsheim, quien teme que se pida a los destinatarios visitar webs falsas que soliciten información de la tarjeta bancaria.

El director de seguridad de la información del FHI, Pål Solerød, ha reconocido que las autoridades son conscientes del problema, pero optaron por el servicio de SMS como un canal de notificación simple y rápido que todos los usuarios saben manejar, frente a notificar a través de la aplicación, aunque no descartan esa vía más adelante. El CISO recomienda a los usuarios que tengan dudas buscar en la web Helsenorge.no para verificar las notificaciones.

Sin un número real de usuarios

Antes de su lanzamiento, a principios de marzo, uno de cada cuatro noruegos acogía con escepticismo la medida, pero la mitad de los encuestados aseguró que se descargaría la aplicación. La Autoridad de Protección de Datos de Noruega, el Datatilsynet, que ha participado en el desarrollo de Smittestopp, se muestra optimista, aunque recuerda que la aplicación debe descargarse de forma voluntaria y pide total transparencia sobre los datos recopilados y su uso.

La desconfianza de los ciudadanos hace temer que los usuarios eliminen la aplicación después de descargarla o desactiven los servicios de ubicación. La Agencia de Salud Pública de Noruega reconoce que actualmente se desconoce la precisión de la aplicación cuando la función bluetooth o de GPS no estén habilitadas.

Solo un mes de desarrollo

Smittestopp también detectará vías secundarias de infección. A las personas que han estado en contacto con otra persona en contacto con un infectado también se les podrá hacer seguimiento con consejos y sugerencias. Los investigadores podrán controlar el seguimiento de las recomendaciones y sus efectos sobre el número total de contactos cercanos: por ejemplo, para ver si ha habido un aumento dramático en caso de que el gobierno relaje las medidas de control de infecciones.

Las dudas sobre la seguridad que suscita la aplicación residen en su rápido desarrollo, de solo un mes, con un software sin consolidar y sin contar con la interfaz de programación de aplicaciones (API) de Google ni Apple.

El FHI garantiza que los datos se guardan por no más de 30 días y que la aplicación está programada para su eliminación a finales de año. Smittestopp utiliza un servicio en la nube proporcionado por Microsoft, por lo que los datos se almacenan con código cerrado en Irlanda, en consonancia con la legislación noruega, defienden sus desarrolladores. “Los registros de pacientes en el servicio de salud se almacenan igual, los datos están protegidos mediante encriptación. Publicar el código fuente beneficiaría a aquellos que quieran hacer un mal uso de los datos El código abierto es importante para corregir errores, pero se usa para aplicaciones que durarán mucho tiempo, y esta aplicación no debería”, explicaba a la cadena noruega TV 2 Lekve, vicepresidente de Simula, compañía adjudicataria del desarrollo de la aplicación cuyo contrato de cinco millones de coronas (290.000 euros) no ha pasado por ningún proceso de licitación.

Sin embargo, no todos los expertos están seguros. “No creo que nadie hubiera considerado aprobar una aplicación de este tipo en tiempos normales. Esto inicia una pendiente resbaladiza que apunta hacia el amplio monitoreo de China", apuntaba el profesor de criptología Kristian Gjøsteen en el portal Universitetsavisa.

Un riesgo “aceptable”

El 9 de abril, un grupo de expertos presentó un informe preliminar al Ministerio de Salud y Servicios de Atención (HOD) tras evaluar la seguridad de la aplicación. El documento revela debilidades y vulnerabilidades en el código de la aplicación. Sin embargo, los expertos concluyeron que el riesgo es aceptable para una aplicación con datos tan sensibles en un momento excepcional, con la recomendación de implementar la aplicación primero en dos municipios.

Los expertos críticos advierten de los riesgos para profesionales sujetos a la confidencialidad como los periodistas o los abogados. Señalan que el propósito de la protección contra infecciones se puede lograr sin que la información requiera el almacenamiento central de la información. Y avisan del riesgo de que las autoridades puedan utilizar la información para otros fines.

“Si esta aplicación fuera un avión, no pondría mi pie a bordo. Uno de los mejores consejos sobre la privacidad incrustada es no recopilar datos de identificación personal en absoluto, por ejemplo con una máscara para anonimizar la dirección IP antes de dejar el teléfono móvil al usuario. Smittestopp no tiene privacidad incorporada, los datos de la aplicación se envían a través de la línea encriptada, que es altamente identificable. Los datos de ubicación se asignarán al dispositivo móvil específico y no serán anónimos”, lamenta el desarrollador Nils Norman Haukås en el diario Bergens Tidende.

Fe de errores

En una primera versión de este artículo se decía que el contrato había sido de 45 millones coronas noruegas. Pero ese es el total destinado por el Parlamento a medidas digitales. Para la aplicación han sido cinco millones.

Información sobre el coronavirus

- Aquí puede seguir la última hora sobre la evolución de la pandemia

- Así evoluciona la curva del coronavirus en España y en cada autonomía

- Preguntas y respuestas sobre el coronavirus

- Guía de actuación ante la enfermedad

- En caso de tener síntomas, estos son los teléfonos que se han habilitado en cada comunidad

- Pinche aquí para suscribirse a la newsletter diaria sobre la pandemia

En EL PAÍS, decenas de periodistas trabajan para llevarte la información más rigurosa y cumplir con su misión de servicio público. Si quieres apoyar nuestro periodismo y disfrutar de acceso ilimitado, puedes hacerlo aquí por 1€ el primer mes y 10€ a partir del mes siguiente, sin compromiso de permanencia.

Suscríbete

Más información

Lo más visto en...

Top 50