La ‘app’ Radar Covid no advierte de todos los riesgos para la privacidad de sus usuarios

Radar Covid, la app de rastreo de contactos lanzada por el Gobierno de España para frenar el avance de la pandemia, incluye en su código Firebase, un software de Google que no se menciona en la política de privacidad de la aplicación. Bajo el reglamento europeo de protección de datos, el llamado GDPR, las aplicaciones están obligadas a declarar la presencia de código externo. Incluso Google lo advierte en su...

Radar Covid, la app de rastreo de contactos lanzada por el Gobierno de España para frenar el avance de la pandemia, incluye en su código Firebase, un software de Google que no se menciona en la política de privacidad de la aplicación. Bajo el reglamento europeo de protección de datos, el llamado GDPR, las aplicaciones están obligadas a declarar la presencia de código externo. Incluso Google lo advierte en su información sobre Firebase. Más, si cabe, en una app utilizada en un ámbito tan sensible como el de la salud. En una actualización del pasado miércoles Firebase ha desaparecido en el entorno Apple, pero en el momento de cerrar este artículo sigue presente en Android, donde la aplicación no se actualiza desde el 7 de agosto.

Desde la Secretaría de Estado de Inteligencia Artificial, impulsora de la app, admiten que se ha usado Firebase en la fase de prueba "para agilizar el proceso de lanzamiento e identificar puntos de mejora de la aplicación”. Después de repetidas preguntas de EL PAÍS durante varios días, no han aclarado exactamente qué hace este código, más allá de una explicación que no responde al fondo de la cuestión. “Se utilizó para poder recoger fallos y mejorar la app, y en ningún caso se utilizó ningún dato que no fuesen esos bugs [fallos de software] detectados”, siempre según fuentes del Gobierno.

Firebase puede servir para muchas cosas: es una especie de navaja suiza de software para desarrolladores de aplicaciones. No es solo una herramienta para detectar fallos. Su uso depende de las funciones que active cada programador. Una de las más habituales es recoger información sobre el uso de la app: qué modelos de móviles se la descargan, cuánto tiempo se usa, cada cuánto se abre. Google da, además, un identificador aleatorio por cada descarga que en principio no puede llevar a identificar a los usuarios. Pero solo en principio, y para evitar precisamente estas dudas, la legislación europea obliga a declarar la presencia de este tipo de código en las aplicaciones. Radar Covid no lo hace.

La Secretaría de Estado insiste en que Firebase solo sirvió para la fase de pruebas y que desaparecerá de Radar Covid en los teléfonos con sistema operativo Android tras una actualización inminente. EL PAÍS preguntó por primera vez por Firebase el pasado 10 de septiembre, un día después de que se hiciera público el código de la aplicación. En GitHub, el repositorio donde se colgó el código de Radar Covid, hay una pregunta abierta sin contestar sobre Firebase desde el mismo día 9. Firebase podría ciertamente tener sentido en una fase de pruebas real, pero Radar Covid está ya en cuatro millones de móviles españoles y han pasado dos meses desde el fin del piloto. ¿Por qué se ha alargado tanto la fase de testing? El Gobierno no lo explica.

“Las aplicaciones de rastreo de contactos que usan Firebase comparten datos no solo con las autoridades sanitarias sino también con Google”, dice Douglas Leith, catedrático de Sistemas de Computación en el Trinity College de Dublín y autor de un informe sobre las apps europeas de rastreo de contactos. “Google es una organización con ánimo de lucro cuyo negocio es usar datos para anuncios personalizados, lo que levanta preocupaciones obvias. Además, en móviles Android, el uso de Firebase habilita Google Play Services, que comparten información con Google (email, número de teléfono, número de SIM) y hace que un móvil envíe mensajes frecuentes a servidores de Google”. Firebase no tiene ninguna relación con el sistema específico que han creado Apple y Google para facilitar que estos sistemas funcionen con Bluetooth. Por todo esto, Leith cree que debe eliminarse: “Firebase no es la mejor práctica para una aplicación de rastreo de contagios que el Gobierno anima a toda la población a instalarse y que pretende proteger su privacidad”.

La Agencia Española de Protección de Datos no ha querido hacer ninguna declaración y ha recordado solo que tiene desde mayo un procedimiento abierto sobre Radar Covid. EL PAÍS ha preguntado a desarrolladores de otros países cercanos si usaban Firebase en sus apps. Ni Portugal, ni Italia, ni Alemania, ni Suiza lo hacen. “En Europa, Letonia lo usaba inicialmente pero lo detuvieron inmediatamente cuando publicamos el informe de privacidad”, dice Leith. “La polaca también lo usa”. Según fuentes de los desarrolladores italianos de la aplicación Immuni, “por motivos de privacidad no ha sido instalada ninguna librería que envíe datos a terceras partes, en este caso Google”.

“SwissCovid [la aplicación suiza] nunca ha usado Firebase. Las funcionalidades que proporciona una librería de analítica como esta no son necesarias para su funcionamiento principal”, dice Carmela Troncoso, la ingeniera española de la Universidad Politécnica de Lausane (Suiza) que impulsó el protocolo DP-3T, que es precisamente la base de la app española. La razón de ser de DP-3T es impulsar la privacidad por diseño, que significa que el usuario no necesita confiar en la bondad de los autores de las aplicaciones porque están construidas desde su diseño para impedir filtración de datos. "Usar Firebase permitiría por supuesto a nuestros desarrolladores detectar mejor errores y problemas, pero a costa de recoger datos de uso a través de los servidores de Google. Recoger más datos de los estrictamente necesarios va en contra de la filosofía privacidad por diseño y el principio de minimización que nos llevaron a la propuesta actual. Y aún es peor si esto se hace en servidores de terceros como Firebase”, explica Troncoso.

“Es muy importante”

“Es una cuestión muy importante”, dice Gloria González Fuster, profesora investigadora de la Vrije Universiteit de Bruselas. “Lo esencial es que los usuarios deberían haber sido informados, ya que ese es precisamente el objetivo de la política de privacidad: informar sobre qué datos se están recogiendo exactamente y qué se hace con ellos”, añade. La política de privacidad de Radar Covid, según el archivo de Internet Archive, ha cambiado solo una vez para retirar la referencia a la prueba piloto que se llevó a cabo en La Gomera. La única posible referencia a Firebase está en esta frase: “El Titular de la Aplicación podrá dar acceso o transmitir los datos a terceros proveedores de servicios, con los que haya suscrito acuerdos de encargo de tratamiento de datos, y que únicamente accedan a dicha información para prestar un servicio en favor y por cuenta del responsable”.

No es suficiente, dice González Fuster. “Para cumplir con los requisitos de transparencia que impone el Reglamento General de Protección de Datos, no basta con ofrecer este tipo de informaciones crípticas, sino que hay que ser más claros y precisos”, explica. No solo eso, continúa: “En relación con Firebase, leyendo su propia información cabe pensar que se llevan a cabos transferencias de datos a Estados Unidos". Si eso fuera así, los usuarios cuyos datos hubieran sido transferidos a Estados Unidos "tendrían que haber sido informados de manera clara”.

Para aumentar la incertidumbre, cuando el pasado 9 de septiembre el Gobierno decidió liberar el código de la aplicación, la versión que colgó en GitHub no era la misma que los españoles llevaban en su móvil. Aún así, se habían dejado en el código presuntamente limpio de GitHub una referencia a Firebase que delataba su uso. Con un análisis de la propia aplicación, además, podía comprobarse que seguía enviando información a Firebase.

Nada de todo esto implica necesariamente que Radar Covid espíe o analice el comportamiento de sus usuarios. Pero sí que el desarrollo de la app ofrece menos garantías de las deseables. El problema de emplear Firebase en una app tan sensible no tiene por qué ser solo la intención de las autoridades de saber más de lo que la legislación les permite, sino también de que alguien aproveche una vulnerabilidad para acceder a datos: cuanto más código, más agujeros.

El modo en que se ha publicado el código abierto es también deficiente. Cuando este miércoles apareció la nueva versión de la aplicación para los móviles de Apple, desarrolladores externos vieron en seguida que no funcionaba. Los encargados habían subido una versión de prueba, que no estaba vinculada a servidores reales, sino ficticios: “Es un error garrafal en todos los aspectos. No querría estar en el lugar del equipo que está gestionando esto”, dice Jorge J. Ramos, desarrollador independiente. “Todos trabajamos con una serie de automatismos que nos permiten evitar estos problemas. Si no disponemos de esas herramientas, pasa esto, que se sacan las versiones a mano; todos somos humanos y nos podemos confundir. La versión 1.0.6 se sacó a la 1 de la mañana y me puedo imaginar que el equipo no está trabajando en las condiciones más adecuadas. Es un error humano, pero no culpa del equipo en ningún caso y me gustaría resaltarlo. Todos sabemos cómo funciona esto e imagino que estarán trabajando con una presión enorme”. Varias horas después de la alerta, se corrigió con una versión 1.0.7.

“Tampoco es que nos hagan mucho caso a la comunidad [de desarrolladores] tras abrir el código”, dice Amador Navarro, desarrollador de iOS y consultor de Sfy. “No nos contestan, no aceptan propuestas de forma desinteresada de reformas con código que solo deben revisar. Esto es una aplicación que debe de ser usada por la mayoría para ayudar a controlar la pandemia y tenemos ganas de ayudar a aportar nuestro granito, por pequeño que sea. Sigo pensando que no hay mala fe, sino prisas por querer contentarnos, aunque luego no nos dejen ser activos con esto”, explica.

No es el único ejemplo de improvisación y errores que podrían haberse subsanado con otro tipo de planteamiento o más tiempo. Uno de los dos encargados de subir el código de Radar Covid a GitHub fue un usuario llamado avecina. Es por tanto alguien obviamente con acceso al desarrollo de la aplicación. Su cuenta se había creado el 25 de agosto. El día 26 fue al repositorio de DP-3T, autores originales del código dirigidos por la española Troncoso, a preguntar por un problema que generaba docenas de reseñas malas para Radar Covid en la Play Store: los errores que daba a quien tenía activada la optimización de batería. “¿Por qué es necesario deshabilitar la optimización de la batería? Es más que nada curiosidad, pero hay montones de usuarios quejándose de esto”. No hay nada malo en preguntar por GitHub. Al contrario, para eso está. Pero es sorprendente ese “más que nada curiosidad” cuando hay otros canales más directos a disposición.

Puedes seguir a EL PAÍS TECNOLOGÍA RETINA en Facebook, Twitter, Instagram o suscribirte aquí a nuestra Newsletter.