Destacadas

La ingeniera española que lidera la ‘app’ europea de rastreo de contagios: “No será un estado de vigilancia”

Carmela Troncoso es ingeniera de telecomunicaciones especialista en privacidad en la Escuela Politécnica Federal de Lausana (Suiza). Lidera un equipo de más de 20 personas de ocho instituciones europeas que trabaja para crear una app que rastree nuestros contactos y a la vez respete nuestra privacidad. El objetivo es tener una herramienta tecnológica a principios de mayo que permita a los ciudadanos saber si han estado cerca de alguien que días después da positivo por Covid-19.

Apple y Google dieron un empujón enorme el pasado viernes al usar un protocolo muy similar para convertir la herramienta en global. En el MIT y en Stanford hay iniciativas parecidas, pero DP-3T es íntegramente europea y quizá marque el camino a seguir para poder hacer vida más o menos normal hasta la llegada de una vacuna.

Pregunta. El rastreo de contactos no está demostrado que sirva. En Singapur, de momento, no ha funcionado. ¿Por qué ahora sí?

Respuesta. Esa es una pregunta para un epidemiólogo, no para la persona técnica. Esto es la solución tecnológica para el problema de aplanar la curva y frenar los contagios. La manera que tenemos ahora de conseguirlo es no salir de casa. Pero una vez salgamos, el problema más grande será el periodo asintomático: cuando eres contagioso y no lo sabes. Los epidemiólogos dicen que hay que avisar a esa gente cuanto antes. La app intenta darte una pista de que puedes llegar a tener síntomas en el futuro. Te dice que has estado en contacto con alguien que ha dado positivo. Así que en vez de esperar a tener síntomas puedes hacer algo en ese momento, como quedarte en casa o contactar con el médico. Esto es lo que la tecnología puede hacer: no puede hacer una vacuna.

P. ¿No servirá solo para que parezca que los gobiernos hacen algo?

R. Esto no va a curar el coronavirus. Pero parece que la solución sin rastreo de contactos no está sobre la mesa. Si me hubieras preguntado por rastreo sí o no hace un mes, hubiera dicho ‘no sé’. Ahora no tenemos la opción de no tenerlo. La cuestión es qué tipo de rastreo tendremos, cuánto va a respetar nuestros derechos fundamentales. Hay gente que prefiere ceder su localización a quedarse en casa. Pero no es una dicotomía. Una vez visto que hay que salir y que cuando salgamos no debemos volver al crecimiento exponencial, hay pocas alternativas. La pregunta es cómo debemos hacerlo para que no sea un nuevo problema y se convierta en un estado de vigilancia. No podemos solucionar un problema y crear otro.

P. Los ciudadanos tienden a imaginarse un estado policial.

R. Hay muchas cosas que la gente tiene en contra del rastreo de contactos. Por ejemplo, la idea de que la app se convierta en una herramienta de discriminación. Aunque no sea obligatoria, igual te dicen que no puedes ir al trabajo sin la app. Por eso esto debe venir con un marco legal. No somos los técnicos los que podemos presionar a los gobiernos. La discriminación en base a la app debe ser ilegal.

P. ¿Cómo resuelve vuestro protocolo el problema de los contagios?

R. Cada teléfono emite por bluetooth identidades efímeras, unos códigos que duran 10-15 minutos. Ese fragmento debe ser suficientemente largo como para medir si dos personas han estado juntas y cómo de cerca.

P. ¿Medís el tiempo y a qué distancia hemos estado de alguien?

R. Intercambiaremos códigos. Si el código de otra persona se envía cada tres minutos y yo lo veo en mi móvil tres veces seguidas, sabré que he estado nueve minutos con esa persona. La distancia se mide en función de la potencia de la señal. Lo que necesitamos es saber si hemos estado a más o menos de dos metros de alguien, aunque este dato no se sube al servidor. Cuando te bajas a tu móvil los códigos de la gente infectada, ves si has estado cerca de alguien que ha dado positivo. Por ejemplo, el código 1234 lo tienes varias veces: eso quiere decir que has estado tantos minutos con una persona que ha dado positivo. Y al lado de ese 1234, en tu móvil, estará guardada la potencia de la señal, que marca la distancia a la que has estado de esa persona. (Los códigos son claramente bastante mas largos y aleatorios que 1234).

P. La clave de vuestro protocolo es qué información se sube al servidor una vez eres positivo. No todos los protocolos son iguales.

R. Hay protocolos en los que se sube al servidor el modelo de teléfono, la versión del sistema operativo, la versión del bluetooth, ¿cuántos de esos son pseudoidentificadores?

P. Entonces, ¿qué información sube al servidor vuestro protocolo, el DP-3T?

R. En nuestro sistema, el servidor no recoge información relevante. Subimos solo los identificadores de la persona contagiada: no revela ninguna información de sus contactos con otros. Esto es muy importante. En apps como la de Singapur se suben al servidor los códigos que has recibido de otras personas, no los que has mandado. Si ves la sociedad como un grafo, estos intercambios dan las aristas del grafo. Se puede reconstruir. Es una diferencia enorme y es algo por lo que estoy muy agradecida a Google y Apple por tomar nuestro protocolo.

P. Tu móvil organiza tus encuentros en dos listas: códigos que mandas y códigos que recibes de las personas con las que te cruzas. Puede parecer menor, pero vuestro protocolo sube al servidor los códigos que envías, no los que recibes. ¿Por qué es una diferencia clave?

R. Porque la lista de códigos que recibes indica con quién has estado: si has estado con dos personas y a la vez que esas personas han estado juntas. Por cómo funciona el contagio, si los amigos de mis amigos están infectados, ellos subirán más códigos y verán a sus amigos. Además, en otros protocolos es el servidor quien notifica a esas personas que han estado cerca de una persona en riesgo.

P. Apple y Google no han tomado ese modelo.

R. No, están haciendo un gran favor a la privacidad de los usuarios. Impiden la creación de sistemas centralizados. Nuestro sistema implica privacidad por diseño, no privacidad por confianza, que es cuando te juran que no lo van a usar mal. Cuando hablamos de los datos de contactos de un país entero, es importante.

P. Han tomado vuestro modelo.

R. La solución de Apple y Google es fundamentalmente la misma idea que la nuestra. Hay unos pequeños cambios sobre los que estamos hablando con ellos para ver las implicaciones. Pero para nosotros es perfecto.

P. Su participación trae otras ventajas.

R. Facilita la portabilidad entre países. El protocolo común hace esto más fácil. El protocolo es cómo los teléfonos recogen datos y los mandan, pero es muy importante para mantener la soberanía que el servidor sea nacional. No deberíamos dejar nunca que ese servidor lo gestione Google. Si eso ocurre, esto se convierte en un sistema de Google.

P. Cada país conservará opciones al aplicar este protocolo.

R. Sí, incluso con nuestro protocolo la app podrá, por ejemplo, llamar automáticamente cuando alguien reciba una alerta de contagio. Por eso la aplicación es de código abierto. Pero podrá enviar lo que le dé la gana: mis números, metadatos. Si quieres la localización, te la recoges y la mandas aparte. El bluetooth solo manda códigos, pero la app podría coger la localización del GPS del móvil. Pero eso no tiene nada que ver con el protocolo. Las autoridades nacionales pueden decidir muchas cosas.

P. ¿La localización?

R. Coger la localización es algo que ya pueden hacer. Esa información la puedes obtener ahora sin bluetooth, solo preguntando a toda la gente que se infecta. Pero la pregunta que la gente debe hacerse es ‘esta tecnología nueva, qué cosas permite’.

P. Has dicho que Apple y Google son una buena noticia. ¿Pero hay algo que te preocupa?

R. Tienen un poder enorme. Han tomado una decisión que limita qué puede decidir un gobierno, y puede entenderse como un problema para la soberanía. En este caso, han tomado una decisión en base a privacidad y derechos fundamentales. Si no hubieran tomado esta decisión, ahora estaríamos en el debate de si se pueden vulnerar derechos fundamentales.

P. Pero ahora tienen aún más capacidades.

R. Tampoco ganan tanto. Hay gente que dice: ahora tienen todas las balizas. Ya las tenían antes. Son el sistema operativo. Con lo que no me parece que haya excesiva diferencia. No lo veo como una ventaja para nuestro protocolo sino para los derechos fundamentales.

P. Los gobiernos podrán seguir subcontratando empresas locales para hacer sus apps.

R. Por eso es una buena noticia que el protocolo esté en el sistema operativo y no tengamos que preocuparnos de ellas. En nuestro caso, sí estamos diseñando una app. Será los mínimos datos posibles. Ha salido el primer prototipo. Varias personas la van a auditar. Nos tomamos muy en serio esto. No estamos aquí para ganar dinero. Es una pregunta que me hacen a menudo. No voy a montar ninguna start-up. No estamos aquí para vender ningún producto. Estamos aquí para demostrar que el rastreo de contactos es posible sin un estado de vigilancia.

P. ¿No da vértigo la velocidad a la que ha ido el desarrollo, en apenas un mes?

R. Vértigo es poco. La velocidad es enorme. Pero la criptografía que va detrás de esto es simple, con la app y todo, comparado con otros protocolos centralizados que tienen una base de datos detrás, hay un montón de puntos en los que te puedes equivocar. El nuestro es mucho más sencillo. Nosotros seguimos el principio KISS, como “beso”, que es “keep it simple, stupid”, “hazlo fácil, estúpido”. Nuestra app es KISS. Es una decisión de diseño para que el análisis sea fácil. El protocolo lleva colgado dos semanas para que la gente pueda analizarlo. La gente viene con ataques, con recomendaciones, es muy útil.

P. ¿Qué tipo de ataques?

R. Hay ataques fundamentales que vienen por la tecnología que usamos –bluetooth– y hay ataques de otros tipos. En la parte del software vamos a hacer muchas auditorías para comprobar que no nos hemos equivocado con el código: cómo nos aseguramos que no se puede coger un código y replicarlo en otro lugar, hacerse pasar por otros.

P. Las grandes tiendas ya tienen balizas de bluetooth en sus entradas. Pueden descargar la app y comportarse como un usuario más. Cuando reciban los códigos, pueden saber quién es positivo.

R. No hay nada que podamos hacer para evitar eso. Si se bajan la app son un usuario. Para evitar ese ataque, en vez de enviar el identificador en cada baliza, lo que hacemos es dividirlo en cachitos y mandarlo en partes, con lo cual si pasas por delante de alguien no va a darle tiempo a coger todos los trozos. Para eso, un empleado de la tienda debería estar un rato al lado de cada usuario para recoger todos sus cachitos.

P. ¿Podrás desactivar tu bluetooth si no quieres rastreo en algún momento?

R. Entiendo que sí. Esto es algo que te hace dudar. Pero luego pensé que podemos hacer auditorías externas. Puedes hacer en casa algo parecido y ver qué ocurre con tu teléfono. Me relajé mucho cuando me di cuenta de que no necesitas estar dentro para ver si han hecho lo que dicen. Es positivo que hayan dado este paso, pero es muy importante que tanto Apple como Google tengan auditorías externas.

P. ¿Cómo sabremos que dejan de rastrearnos cuando pase la pandemia?

R. Cada país podrá pararlo si controla el servidor. Pero cómo paras algo que está en el sistema operativo. Por un lado no puedes. Por otro, también podrían haberlo hecho ya sin este rastreo de contactos. Ahora podrás hacer auditorías externas. No podrán hacerlo en secreto. No pueden mandar señales que no se puedan ver. La mayor preocupación es que hayan tenido tanto poder para decidir qué tipo de sistema se va a implementar en el planeta. Eso da miedo. Deberíamos reflexionar como sociedad cuándo les hemos dado ese poder.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

one × 1 =