Como parte de sus esfuerzos para frenar el brote de coronavirus, gobiernos Las instituciones de investigación y la industria están desarrollando aplicaciones de rastreo de contactos para registrar interacciones entre personas. Las aplicaciones advierten a los usuarios si una de las personas con las que se ha registrado que está en contacto es diagnosticada posteriormente con COVID-19 para que puedan tomar las medidas adecuadas, como el autoaislamiento.

Estas aplicaciones podrían resultar útiles para evitar las medidas de confinamiento a largo plazo. Sin embargo, recopilan información confidencial como datos de ubicación, Información de proximidad con Bluetooth, y si las personas están infectadas.

Ahora, Un nuevo informe técnico del Dr. Yves-Alexandre de Montjoye del Imperial College de Londres ha esbozado ocho preguntas que deben hacerse para comprender cuán protectora de la privacidad es una aplicación.

Dr. de Montjoye, del Departamento de Computación de Imperial, dijo:"Necesitamos hacer todo lo posible para ayudar a frenar el brote. El rastreo de contactos requiere el manejo de datos muy confidenciales a escala, y existen técnicas sólidas y comprobadas para ayudarnos a hacerlo mientras protegemos nuestro derecho fundamental a la privacidad. No podemos permitirnos el lujo de no usarlos.

"Nuestras preguntas están destinadas a los gobiernos y los ciudadanos para ayudar a evaluar la privacidad de las aplicaciones. También podrían hacerlo para los desarrolladores de aplicaciones al planificar y evaluar su trabajo".

Las preguntas fueron desarrolladas por un equipo que incluía a Imperial Ph.D. estudiantes Florimond Houssiau, Andrea Gadotti, y Florent Guepin de ENS Lyon.

Las preguntas

1. ¿Cómo se limitan los datos personales recopilados por los desarrolladores de aplicaciones?

Dr. de Montjoye (YDM):"La recopilación a gran escala de datos personales puede conducir rápidamente a una vigilancia masiva. Deberíamos preguntarnos cuántos datos recopila la aplicación, como toda la trayectoria de la enfermedad y la red social de la vida real de los usuarios infectados".

2. ¿Cómo se protege el anonimato de todos los usuarios?

YDM:"Se deben implementar medidas especiales para limitar el riesgo de que los desarrolladores de aplicaciones puedan volver a identificar a los usuarios, otros usuarios, o terceros. Dado que los rastreos de ubicación son únicos, fácilmente podrían estar vinculados a una persona ".

3. ¿La aplicación revela a sus desarrolladores la identidad de los usuarios que están en riesgo?

YDM:"El objetivo del rastreo de contactos es advertir a las personas que están en riesgo, por lo que no es necesario que los desarrolladores de aplicaciones sepan quiénes son estas personas ".

4. ¿Podrían los usuarios utilizar la aplicación para saber quién está infectado o en riesgo? incluso en su círculo social?

YDM:"Los datos de salud personal son muy sensibles. El rastreo de contactos digital debería advertir a quienes están en riesgo sin revelar quién podría haberlos infectado".

5. ¿La aplicación permite a los usuarios obtener información personal sobre otros usuarios?

YDM:"Tener acceso a pequeñas cantidades de información podría ayudar a los usuarios a identificar quién está infectado, por lo que las aplicaciones no deben revelar información sobre la ubicación de un usuario o las redes sociales a otros usuarios ".

6. ¿Podrían las partes externas explotar la aplicación para rastrear a los usuarios o averiguar quién está infectado?

YDM:"Las aplicaciones deben considerar el riesgo de adversarios externos, incluidos los que cuentan con buenos recursos. Las entidades externas podrían instalar rastreadores Bluetooth para cubrir una ciudad, o instalar código malicioso en teléfonos, y registrar los identificadores que observan en ubicaciones específicas. Esto puede evitarse cambiando y volviendo a anonimizar identificadores como los datos de ubicación ".

7. ¿Implementan medidas adicionales para proteger los datos personales de los usuarios infectados y en riesgo?

YDM:"El diseño de la aplicación puede requerir que se revele más información personal sobre los usuarios que están infectados o expuestos, pero estas son a menudo las personas más vulnerables y en riesgo. Es importante considerar qué medidas adicionales se pueden tomar para proteger su información ".

8. ¿Cómo pueden los usuarios verificar que el sistema hace lo que dice?

YDM:"El rastreo de contactos a gran escala es un tema demasiado delicado para confiar en la confianza ciega. Deben utilizarse medidas técnicas para garantizar el escrutinio público del funcionamiento de la aplicación. Transparencia del sistema (código de la aplicación, protocolo, lo que se está transmitiendo, etc) es fundamental para garantizar la privacidad. Esto requiere que la aplicación sea de código abierto y que las versiones de la aplicación distribuidas en las tiendas de aplicaciones móviles sean verificables. permitir a los desarrolladores confirmar que están ejecutando el público, código auditable ".

La privacidad, un 'componente crucial' en el futuro

Se están desarrollando aplicaciones de rastreo de contactos en todo el mundo y algunas ya están disponibles. Si se demuestra su utilidad, gobiernos autoridades sanitarias, y los usuarios deberán evaluar los diferentes enfoques y decidir si los adoptan. Intimidad, dicen los investigadores, es un componente crucial en esta decisión.

Coautor Florimond Houssiau, también del Departamento de Computación de Imperial, dijo:"Estas preguntas están destinadas a ser un punto de partida para una conversación informada sobre la privacidad en las aplicaciones de rastreo de contactos".

Las preguntas no cubren todas las vulnerabilidades potenciales de los protocolos de rastreo de contactos, como cuestiones de seguridad. El coautor Andrea Gadotti dijo:"Nuestras preguntas se centran en la privacidad, pero el aspecto de la seguridad es igualmente importante. Esto significa, por ejemplo, cifrar las aplicaciones, evaluar cómo el malware móvil podría afectar el comportamiento de la aplicación, y evaluar la resistencia de los servidores de desarrolladores de aplicaciones frente a intrusiones ".