Lo que nos dicen los documentos técnicos sobre las medidas de privacidad y seguridad del proyecto.
Fuente: The Verge. Russell Brandom 11 de abril de 2020.
El viernes, Google y Apple se unieron para un ambicioso proyecto de emergencia, estableciendo un nuevo protocolo para rastrear el brote de coronavirus en curso. Es un proyecto urgente y complejo, con enormes implicaciones para la privacidad y la salud pública. Proyectos similares han tenido éxito en Singapur y otros países, pero queda por ver si las agencias de salud pública de los EE. UU. Podrían administrar dicho proyecto, incluso con las empresas tecnológicas más grandes del mundo echando una mano.
Cubrimos los lineamientos básicos del proyecto aquí , pero hay mucho más para profundizar, comenzando con los documentos técnicos publicados por las dos compañías . Revelan mucho sobre lo que Apple y Google realmente están tratando de hacer con estos datos confidenciales, y dónde queda corto el proyecto. Así que nos sumergimos en esas presentaciones y tratamos de responder las doce preguntas más apremiantes, comenzando desde el principio absoluto:
¿QUÉ HACE ESTO?
Cuando alguien se enferma con una nueva enfermedad como el coronavirus de este año, los trabajadores de salud pública intentan contener la propagación rastreando y poniendo en cuarentena a todas las personas con las que la persona infectada ha estado en contacto. Esto se llama rastreo de contactos, y es una herramienta crucial para contener brotes.
EL SISTEMA REGISTRA PUNTOS DE CONTACTO SIN USAR DATOS DE UBICACIÓN
Esencialmente, Apple y Google han creado un sistema automatizado de seguimiento de contactos. Es diferente del rastreo de contactos convencional, y probablemente sea más útil cuando se combina con métodos convencionales. Lo que es más importante, puede operar a una escala mucho mayor que el rastreo de contactos convencional, que será necesario dado el alcance del brote en la mayoría de los países. Debido a que proviene de Apple y Google, parte de esta funcionalidad también se incorporará a Android y iPhone a nivel de sistema operativo. Eso hace que esta solución técnica esté potencialmente disponible para más de tres mil millones de teléfonos en todo el mundo, algo que de otra manera sería imposible.
Es importante tener en cuenta que Apple y Google están trabajando juntos en un marco y no en una aplicación. Se encargan de la plomería y garantizan la privacidad y la seguridad del sistema, pero dejan la construcción de las aplicaciones reales que la usan a otros.
¿COMO FUNCIONA?
En términos básicos, este sistema le permite a su teléfono registrar otros teléfonos que han estado cerca. Mientras este sistema esté funcionando, su teléfono generará periódicamente un código pequeño, único y anónimo, derivado de la identificación única de ese teléfono. Otros teléfonos dentro del alcance reciben ese código y lo recuerdan, acumulando un registro de los códigos que recibieron y cuándo los recibieron.
El nuevo coronavirus se está extendiendo por los EE. UU., Y varios estados han hecho declaraciones de emergencia. La Organización Mundial de la Salud lo ha declarado una pandemia. Aquí están los conceptos básicos:
TODO LO QUE NECESITAS SABER SOBRE EL CORONAVIRUS.
Cuando una persona que usa el sistema recibe un diagnóstico positivo, puede elegir enviar su código de identificación a una base de datos central. Cuando su teléfono vuelve a verificar con esa base de datos, ejecuta un escaneo local para ver si alguno de los códigos en su registro coincide con los ID en la base de datos. Si hay una coincidencia, recibirá una alerta en su teléfono que indica que ha estado expuesto.
Esa es la versión simple, pero ya puede ver cuán útil podría ser este tipo de sistema. En esencia, le permite registrar puntos de contacto (es decir, exactamente lo que necesitan los rastreadores de contacto) sin recopilar datos de ubicación precisos y mantener solo una información mínima en la base de datos central.
¿CÓMO ENVÍAS QUE HAS SIDO INFECTADO?
Los documentos publicados son menos detallados en este punto. Se asume en la especificación que solo los proveedores de atención médica legítimos podrán enviar un diagnóstico, para garantizar que solo los diagnósticos confirmados generen alertas. (No queremos que trolls e hipocondríacos inunden el sistema). No está del todo claro cómo sucederá eso, pero parece un problema solucionable, ya sea que se gestione a través de la aplicación o algún tipo de autenticación adicional antes de que una infección se registre de forma centralizada.
¿CÓMO ENVÍA EL TELÉFONO ESAS SEÑALES?
La respuesta corta es: Bluetooth. El sistema funciona con las mismas antenas que sus auriculares inalámbricos, aunque es la versión Bluetooth Low Energy (BLE) de la especificación, lo que significa que no agotará su batería de manera tan notable. Este sistema en particular utiliza una versión del sistema BLE Beacon que ha estado en uso durante años, modificada para funcionar como un intercambio de código bidireccional entre teléfonos.
El flujo de trabajo para transmitir códigos a través de Bluetooth, como se muestra en las especificaciones de Bluetooth del sistema
¿HASTA DÓNDE LLEGA LA SEÑAL?
Realmente no lo sabemos todavía. En teoría, BLE puede registrar conexiones a una distancia de hasta 100 metros, pero depende mucho de configuraciones de hardware específicas y es fácilmente bloqueado por paredes. Muchos de los usos más comunes de BLE, como emparejar una funda AirPods con su iPhone, tienen un alcance efectivo más cercano a seis pulgadas. Los ingenieros en el proyecto son optimistas de que pueden ajustar el rango a nivel de software a través del «umbral», esencialmente, descartando señales de menor intensidad, pero como todavía no hay un software real, la mayoría de las decisiones relevantes aún no se han tomado.
Al mismo tiempo, no estamos completamente seguros de cuál es el mejor rango para este tipo de alerta. Las reglas de distanciamiento social generalmente recomiendan mantenerse a seis pies de distancia de otros en público, pero eso podría cambiar fácilmente a medida que aprendamos más sobre cómo se propaga el nuevo coronavirus. Los funcionarios también desconfiarán de enviar tantas alertas que la aplicación se vuelva inútil, lo que podría hacer que el rango ideal sea aún más pequeño.
ENTONCES, ¿ES UNA APLICACIÓN?
Algo así como. En la primera parte del proyecto (cuyo objetivo es finalizar a mediados de mayo), el sistema se integrará en aplicaciones oficiales de salud pública, que enviarán las señales BLE en segundo plano. Esas aplicaciones serán creadas por agencias de salud a nivel estatal, no por compañías tecnológicas, lo que significa que las agencias estarán a cargo de muchas decisiones importantes sobre cómo notificar a los usuarios y qué recomendar si una persona ha estado expuesta.
Eventualmente, el equipo espera desarrollar esa funcionalidad directamente en los sistemas operativos iOS y Android, de manera similar a un tablero nativo o una palanca en el menú Configuración. Pero eso tomará meses, y aún solicitará a los usuarios que descarguen una aplicación oficial de salud pública si necesitan enviar información o recibir una alerta.
¿ES ESTO REALMENTE SEGURO?
Sobre todo, parece que la respuesta es sí. Según los documentos publicados el viernes, será bastante difícil recuperar cualquier información confidencial basada únicamente en los códigos Bluetooth, lo que significa que puede ejecutar la aplicación en segundo plano sin preocuparse de que esté compilando algo que pueda ser incriminatorio. El sistema en sí no lo identifica personalmente y no registra su ubicación. Por supuesto, las aplicaciones de salud que usan ese sistema eventualmente necesitarán saber quién es usted si quiere cargar su diagnóstico a los funcionarios de salud.
¿PODRÍAN LOS HACKERS USAR ESTE SISTEMA PARA HACER UNA GRAN LISTA DE TODOS LOS QUE HAN TENIDO LA ENFERMEDAD?
Esto sería muy difícil, pero no imposible. La base de datos central almacena todos los códigos enviados por personas infectadas mientras eran contagiosas (eso es lo que su teléfono está comprobando), y es completamente plausible que un mal actor pueda obtener esos códigos. Los ingenieros han hecho un buen trabajo asegurando que no se puede trabajar directamente desde esos códigos hasta la identidad de una persona, pero es posible imaginar algunos escenarios en los que esas protecciones se rompen.
Un diagrama del documento técnico de criptografía, que explica los tres niveles de clave
Para explicar por qué, tenemos que ser un poco más técnicos. La especificación de criptografía establece tres niveles de claves para este sistema: una clave maestra privada que nunca abandona su dispositivo, una clave de rastreo diaria generada a partir de la clave privada y luego la cadena de «ID de proximidad» que genera la clave diaria. Cada uno de estos pasos se realiza a través de una función unidireccional criptográficamente robusta, por lo que puede generar una clave de proximidad a partir de una clave diaria, pero no al revés. Más importante aún, puede ver qué claves de proximidad provienen de una clave diaria específica, pero solo si comienza con la clave diaria en la mano.
El registro en su teléfono es una lista de ID de proximidad (el nivel más bajo de clave), por lo que no son muy buenas por sí mismas. Si da positivo, comparte aún más, publicando las claves diarias para cada día que fue contagioso. Debido a que esas claves diarias ahora son públicas, su dispositivo puede hacer los cálculos y decirle si alguna de las ID de proximidad en su registro provino de esa clave diaria; si lo hicieron, genera una alerta.
Como señala el criptógrafo Matt Tait, esto lleva a una reducción significativa de la privacidad para las personas que dan positivo en este sistema. Una vez que esas claves diarias son públicas, puede averiguar qué ID de proximidad están asociadas a una ID determinada. (Recuerde, eso es lo que se supone que debe hacer la aplicación para confirmar la exposición). Si bien las aplicaciones específicas pueden limitar la información que comparten y estoy seguro de que todos harán lo mejor que puedan, ahora está fuera de las protecciones estrictas del cifrado. Es posible imaginar una aplicación maliciosa o una red de detección de Bluetooth que recopile ID de proximidad de antemano, conectándolas con identidades específicas y luego correlacionándolas con las claves diarias eliminadas de la lista central. Sería difícil hacer esto y sería aún más difícil hacerlo para cada persona en la lista. Incluso entonces, todo lo que obtendría del servidor son los últimos 14 días de códigos. (Eso es todo lo que es relevante para el seguimiento de contactos, por lo que son todas las tiendas de bases de datos centrales). Pero no sería completamente imposible, que generalmente es lo que se busca en criptografía.
Para resumir: es difícil garantizar absolutamente el anonimato de alguien si comparte que ha dado positivo a través de este sistema. Pero en defensa del sistema, esta es una garantía difícil de hacer en ninguna circunstancia. Bajo el distanciamiento social, todos estamos limitando nuestros contactos personales, por lo que si se entera de que estuvo expuesto en un día en particular, la lista de vectores potenciales ya será bastante corta. Agregue la cuarentena y, a veces, la hospitalización que viene con un diagnóstico COVID-19, y es muy difícil mantener la privacidad médica completamente intacta mientras se advierte a las personas que pueden haber estado expuestas. De alguna manera, esa compensación es inherente al rastreo de contactos. Los sistemas tecnológicos solo pueden mitigarlo.
Además, el mejor método de rastreo de contactos que tenemos en este momento consiste en que los humanos lo entrevistan y le preguntan con quién ha estado en contacto. Es básicamente imposible construir un sistema de rastreo de contactos completamente anónimo.
¿PODRÍA GOOGLE, APPLE O UN HACKER USARLO PARA AVERIGUAR DÓNDE HE ESTADO?
Solo bajo circunstancias muy específicas. Si alguien está recolectando sus identificaciones de proximidad y usted da positivo y decide compartir su diagnóstico y realiza toda la rigamarole descrita anteriormente, podría potencialmente usarlo para vincularlo a una ubicación específica donde sus identificaciones de proximidad se habían detectado en la naturaleza.
Pero es importante tener en cuenta que ni Apple ni Google están compartiendo información que podría ubicarlo directamente en un mapa. Google tiene mucha de esa información y la compañía la ha compartido a nivel agregado, pero no es parte de este sistema. Google y Apple pueden saber dónde se encuentra, pero no están conectando esa información a este conjunto de datos. Entonces, si bien un atacante podría volver a esa información, aún terminaría conociendo menos que la mayoría de las aplicaciones en su teléfono.
¿PODRÍA ALGUIEN USAR ESTO PARA AVERIGUAR CON QUIÉN HE ESTADO EN CONTACTO?
Esto sería significativamente más difícil. Como se mencionó anteriormente, su teléfono mantiene un registro de todas las ID de proximidad que recibe, pero la especificación deja en claro que el registro nunca debe abandonar su teléfono. Mientras su registro específico permanezca en su dispositivo específico, estará protegido por el mismo cifrado del dispositivo que protege sus mensajes de texto y correos electrónicos.
Incluso si un mal actor robó su teléfono y logró romper esa seguridad, todo lo que tendrían serían los códigos que recibió, y sería muy difícil averiguar de quién vinieron esas llaves originalmente. Sin una clave diaria para trabajar, no tendrían una forma clara de correlacionar una identificación de proximidad con otra, por lo que sería difícil distinguir a un solo actor en el desastre de los rastreadores Bluetooth, y mucho menos descubrir quién se reunía con quién. Y, lo que es más importante, la criptografía robusta hace que sea imposible obtener directamente la clave diaria asociada o el número de identificación personal asociado.
¿QUÉ PASA SI NO QUIERO QUE MI TELÉFONO HAGA ESTO?
No instale la aplicación, y cuando los sistemas operativos se actualicen durante el verano, simplemente deje la configuración de «seguimiento de contactos» desactivada. Apple y Google insisten en que la participación es voluntaria y, a menos que tome medidas proactivas para participar en el seguimiento de contactos, debería poder usar su teléfono sin involucrarse en absoluto.
¿ES ESTO SOLO UN SISTEMA DE VIGILANCIA DISFRAZADO?
Esta es una pregunta difícil. En cierto sentido, el rastreo de contactos es vigilancia. El trabajo de salud pública está lleno de vigilancia médica, simplemente porque es la única forma de encontrar personas infectadas que no están lo suficientemente enfermas como para ir al médico. La esperanza es que, dado el daño catastrófico ya causado por la pandemia, las personas estarán dispuestas a aceptar este nivel de vigilancia como una medida temporal para detener la propagación del virus.
Una mejor pregunta es si este sistema está llevando a cabo la vigilancia de manera justa o útil. Importa mucho que el sistema sea voluntario y que no comparta más datos de los que necesita. Aún así, todo lo que tenemos en este momento es el protocolo, y queda por ver si los gobiernos intentarán implementar esta idea de una manera más invasiva o dominante.
A medida que el protocolo se implemente en aplicaciones específicas, se tomarán muchas decisiones importantes sobre cómo se usa y cuántos datos se recopilan fuera de él. Los gobiernos tomarán esas decisiones, y pueden tomarlas mal, o peor aún, pueden no tomarlas en absoluto. Entonces, incluso si está entusiasmado con lo que Apple y Google han presentado aquí, solo pueden lanzar la pelota, y hay mucho en juego en lo que hacen los gobiernos después de atraparlo.