Radar COVID: Luces y sombras de la app de rastreo de España

Con el nuevo incremento de contagios, la escasez de rastreadores preocupa cada vez más, y el Gobierno ha puesto fecha al lanzamiento de Radar COVID, la aplicación nacional para rastreos de la que se habla desde principios de la pandemia. 

A finales de julio, Pedro Sánchez emplazó a las comunidades autónomas a usarla, y la Secretaría de Estado para la Digitalización y la Inteligencia Artificial (SEDIA) ha anunciado resultados exitosos del piloto en La Gomera. Los primeros días de agosto, Fernando Simón insistió en que hay que apoyar esta herramienta y “no podemos perder el tren de la tecnología”.

Desde la SEDIA repiten una y otra vez que Radar COVID no requerirá datos personales ni permisos de localización y será de código abierto. Está basada en la API de Google y Apple; y DP-3T (Decentralized Privacy-Preserving Proximity Tracing), la tecnología respetuosa con la privacidad producida por el equipo europeo liderado por Carmela Troncoso. Ha sido desarrollada por Indra y, aseguran desde SEDIA, estará disponible para toda España el 15 de septiembre. 

Parece el final deseado de una historia que se ha retrasado demasiado, pero aún hay algunas sombras largas que sería bueno despejar. Cuatro meses después de que se empezara a hablar de ella y a un mes del anuncio de su lanzamiento como piloto en La Gomera, el código no ha sido abierto (publicado para que otros desarrolladores y expertos puedan analizarlo y garantizar su fiabilidad), no queda claro si será completamente auditable, no se ha explicado por qué en Android es necesario tener activada la localización, la ingeniera que lidera la app europea dice que no llamaría ‘colaboración’ a lo que tuvo con el gobierno español, ni ha sido posible encontrar el contrato adjudicado a Indra. 

El reto de las apps de rastreos

La pandemia del coronavirus es la primera crisis sanitaria mundial ante la que el uso de datos masivos y las tecnologías móviles pueden ser de gran utilidad en la lucha contra el virus. Las aplicaciones de rastreo se presentaron como una de las herramientas con más potencial para ayudar a los rastreadores humanos en la etapa que vendría después del confinamiento. 

El gran reto de esta tecnología es que debería ser de uso voluntario, pero necesita lograr un número significativo de descargas  para que sea realmente útil

Publicidad

Tras las experiencias de Singapur, China y Corea del Sur, que utilizaron tecnología con distintos grados de invasión a la privacidad del usuario, en Europa se abrió un debate en el que gobiernos, empresas, desarrolladores y sociedad civil reconocieron el desafío que suponía gestionar y centralizar datos personales sensibles como los de la salud. Más de 100 organizaciones de derechos humanos advirtieron a los gobiernos de que no utilizaran la lucha contra el coronavirus como una excusa para la vigilancia digital de los ciudadanos. 

El Computer Chaos Club, una de las mayores asociaciones de ‘hackers’ en Europa, publicó un decálogo de las condiciones que deberían cumplir las tecnologías dedicadas al rastreo para no vulnerar los derechos de los usuarios. Xnet, plataforma formada por activistas relacionados con los derechos digitales, en España, también se ha reunido con Google y ONGs para pedir transparencia y garantías en estos desarrollos.

Una app de rastreo de contactos como estas debería permitir rastrear usuarios e identificar sus contactos de forma anónima y segura para evitar falsos positivos. Debe gestionarlo de forma descentralizada, siguiendo las recomendaciones europeas, para evitar crear una base de datos que quede bajo el control de gobiernos o empresas.

Un código abierto permite que toda la comunidad lo revise y detecte errores más rápidamente, por lo que se considera que es un desarrollo más seguro, transparente y fiable

Publicidad

El gran reto que plantea el diseño de esta tecnología es que debería ser de uso voluntario, pero además necesita lograr un número significativo de descargas entre la población para que sea realmente útil. Experiencias como las de la app de Italia, que ha tenido muy pocas descargas, cuestionan la utilidad de estas herramientas, que tienen que ser transparentes para que los usuarios puedan descargarlas con confianza. De ahí que los expertos recomiendan que sea de código abierto. 

Un código que es liberado en abierto permite que toda la comunidad lo revise y detecte errores más rápidamente, por lo que se considera que es un desarrollo más seguro, transparente y por lo tanto más fiable. 

Un código por abrir

El Gobierno de España puso en marcha una aplicación de autodiagnóstico en abril, un chatbot e hizo estudios de movilidad, pero nada de esto tiene relación con la app de rastreos en la que se trabaja desde hace al menos cuatro meses, Radar COVID. El estado del desarrollo estaba a mediados de abril “muy avanzado”, según fuentes de Economía que cita El Español. Sin embargo aún en junio se anunciaba que su salida se retrasaría 15 días y que cuando lo hiciera sería a modo de prueba.

Pablo Aragón es investigador en ciencia social computacional y profesor asociado en la Universitat Pompeu Fabra. Le preocupa “que se haya optado por contratar el desarrollo de una app nueva existiendo ya apps libres de gobiernos de otros países europeos (Alemania, Irlanda, Italia, etc.). Siendo España un país tan golpeado por la pandemia, cuesta entender por qué no se ha aprovechado la iniciativa de esos países para adaptar soluciones libres ya validadas y disponer de la app mucho antes de lo que se está anunciando desde la SEDIA”.

Simona Levi es fundadora de Xnet y una conocida activista por los derechos digitales. Cree que auditar esta app será muy complicado. “Por el momento no está ni la app española, yo entiendo que no quieran críticas antes de tiempo pero en el software libre la colaboración de la gente ayuda”.

Levi no considera que España o la SEDIA hayan actuado mal hasta aquí, sino que dice que su crítica va dirigida más hacia los gobiernos europeos en conjunto: “Nosotros no queremos criticar al gobierno con esto, al menos no todavía. Por una vez que hay alguien que al menos se entera en un puesto sobre temas de digitalización… Si no muestran el código saldremos a criticar, por el momento no consideramos que hayan hecho nada mal, excepto que consideramos que toda Europa debiera haber sido más firme”.

Las tecnologías detrás de una app de rastreos: DP-3T y la API de Google y Apple

En la carrera que decenas de países de todo el mundo iniciaron hace meses para la tecnología de rastreos, hubo una línea de desarrollo que marcó la solución a las recomendaciones europeas sobre un modelo descentralizado que respetara la privacidad. Este es el protocolo en código abierto llamado DP-3T, desarrollado de manera independiente por un equipo de 33 personas entre los que hay ingenieros, desarrolladores, epidemiólogos y expertos legales, liderados por Carmela Troncoso, investigadora española de la Escuela Politécnica Federal de Lausana, Suiza (EPFL, por sus siglas en francés). 

DP-3T tuvo muy buena acogida técnica, y fue adoptado por Google y Apple para su API. A finales de junio, 12 países habían basado sus aplicaciones de rastreo en esta tecnología. Son 13 si contamos a España, que el 29 de junio lanzaba la prueba piloto de La Gomera. 

El equipo de Troncoso abrió el código y lo puso a disponibilidad de los gobiernos que quisieran usarlo. ¿Cuánto tiempo de trabajo es razonable para adaptar ese desarrollo en una app nacional? Troncoso explica: “El grado de desarrollo necesario del lado de la app es más bien poco. Los problemas pueden venir de la integración de la app con el sistema de salud, ya que cada país/región tiene distinto grado de digitalización y puede necesitar más o menos adaptación. Si se coge directamente el código sin cambiar ningún mecanismo el despliegue debería ser sencillo”. 

Una colaboración que no es tal

¿Cuál fue el nivel de colaboración entre el equipo DP-3T y el Gobierno español? Depende de a qué parte preguntemos. Según SEDIA, se encuentran trabajando en esta app con los equipos europeos desde hace cinco meses. “Al principio de todo esto, desde marzo, se establecieron grupos de trabajo a nivel europeo con varios subgrupos en distintos países”. Nos dicen que “con la gente del consorcio DP-3T ha habido contacto y reuniones a distintos niveles, no solo con Carmela Troncoso, hasta que arrancó el piloto, a principios de junio”. 

Desde el consorcio no lo ven igual. Carmela Troncoso dice: “Yo no lo llamaría una colaboración. Hemos hablado con la secretaría en momentos puntuales para intercambiar experiencias de despliegue, como hemos hablado con otros países, y les hemos enviado copias de nuestros documentos cada vez que publicamos algo nuevo. Pero la relación no ha ido más allá”. 

En relación con los tiempos de desarrollo y despliegue desde que Sanidad anunció que tenían una app, Troncoso responde que desconoce por qué el proceso ha sido tan largo. Y matiza: “No creo que España vaya tarde ni temprano a la hora del despliegue. No es tarde si la app ayuda, cualquier ayuda es poca para salir de esto. No sabemos qué habría pasado si estuviese antes, y no puedo juzgar”.

Código abierto para la fiabilidad 

El Gobierno ha anunciado que la app será de código abierto, pero por el momento no es posible revisarlo. Pablo Aragón dice que es “fundamental que el código sea libre para poder ser auditado y así garantizar su fiabilidad” y que lo echa en falta: “Su desarrollo se financia con dinero público y debería implicar que el código desarrollado también lo sea (siguiendo los principios de Public Money, Public Code). En segundo lugar, se trata de una tecnología que gestionará unos datos extremadamente sensibles y han de tratarse con protocolos seguros”. 

El Gobierno ha anunciado que la app será de código abierto, pero por el momento no es posible revisarlo

DP-3T sí ya es código abierto y está publicado en GitHub para que cualquiera pueda revisarlo y detectar errores. Esto es lo que Aragón solicita para Radar COVID. “La licencia libre del protocolo DP-3T obliga a que las tecnologías que lo usen tendrán que ser también libres. Por ese motivo, si no se liberase el código de la app se estaría incumpliendo la licencia. Abrir el código no sólo permitiría su auditoría y el cumplimiento de la licencia, también que personas con conocimientos técnicos pudieran proponer mejoras. Es la práctica que han realizado el resto de gobiernos europeos y que ya vienen adoptando numerosas administraciones públicas en el Estado Español para proyectos de desarrollo informático”. 

También la API de Google y Apple debería tener auditorías externas, según han señalado tanto Troncoso como Xnet. ¿Cómo podemos asegurarnos que esos componentes del sistema operativo (Android) no vinculan ningún identificador de usuarios con los contactos que se van descubriendo (via Radar COVID)?

“Idealmente, querríamos que Google y Apple abriesen su código también, y podriamos comprobar que hacen lo que dicen, incluida tu pregunta del identificador”, señala Troncoso. “Ahora mismo tenemos que creer su palabra. Eso no va a pasar, ya que no van a abrir su sistema operativo, ni Google Play, ya que es parte de su negocio (aunque Google ha abierto algunas partes). Ya que no van a abrir para todos, por lo menos una auditoría independiente que lo vea y compruebe que no hay nada raro”. Troncoso ha pedido esa auditoría externa a Google desde que publicaron su API, a lo que aún no ha tenido respuesta, a pesar de continuar solicitándola regularmente. 

Preguntamos a SEDIA cuándo podremos ver el código de la app del gobierno. “El piloto ha sido un desarrollo para hacer las pruebas y las mejoras necesarias. Cuando esté la aplicación final, que está prevista para el 15 de septiembre, de esa aplicación sí se va a liberar el código”, aseguran. 

Carmela Troncoso también lo espera. A fecha de hoy no ha visto el código de Radar COVID ni ningún documento de diseño. “Espero de verdad que pronto se haga disponible para que tanto mi equipo como el resto de la comunidad pueda revisar y ayudar a que la app sea lo más segura posible. Las descripciones en prensa indican que es igual o parecido a la app desplegada en Suiza pero no sabemos hasta qué punto es el mismo código, los mecanismos son los mismos o que modificaciones se pueden haber realizado”. 

Otros que esperan son los de la Agencia de Protección de Datos. La nota de prensa del Ministerio dice que han participado en la evaluación del piloto, pero al preguntarles más sobre el tema nos remiten a un comunicado en el que hacen constar que “la Agencia abrió unas actuaciones previas de investigación que aún no han concluido, por lo que no podemos facilitar más información al respecto”. A una semana de terminar la experiencia piloto, aseguran que “el desconocimiento de los detalles de la articulación práctica de la aplicación y de la experiencia piloto ha impedido valorar su adecuación a la normativa de protección de datos personales con antelación”. 

La cuestión de la localización y el Bluetooth en Android

Desde la SEDIA y los medios de comunicación se ha insistido en que Radar COVID no utiliza localización de ningún tipo y que el único permiso que se pide es la activación de Bluetooth. Pero cualquier usuario puede ver al instalar la app en un teléfono Android, el sistema operativo más usado, que el teléfono te pide que actives la localización para que el Bluetooth pueda funcionar. 

Algunos gobiernos (Dinamarca, Suiza y Letonia) pidieron explicaciones a Google cuando esto se conoció, hace unos días. Un portavoz de Google dijo al New York Times que las aplicaciones de notificaciones para el virus no utilizan la localización, aunque se requiera que esté activada. 

La tecnología para las notificaciones de COVID, llamada Exposure Notifications System utiliza Bluetooth para detectar otros dispositivos cercanos pero no necesita saber la geolocalización de esos móviles, ni hay datos de localización en los identificadores temporales asignados a un usuario. 

¿Por qué tiene que estar activada entonces? Google explica que desde 2015 y en todos los teléfonos que utilizan versiones superiores a Android 6.0, es necesario que lo esté para utilizar cualquier aplicación, no sólo la de COVID. Google dice que ellos y Apple han desarrollado salvaguardas que garantizan que las apps de los gobiernos basadas en Exposure Notifications System no podrán inferir la localización del usuario.

“Que el permiso tenga que ser activado no quiere decir que la app lo utilice”, confirma Troncoso. “De hecho (…) eso incumpliría los términos de uso de Google. En nuestro código se puede ver claramente que la app no utiliza esa información”. ¿Y en Radar COVID? “Entendemos que tampoco ya que Google ha autorizado la app, pero no se puede comprobar”. 

Juan Font es ingeniero informático, fundador de Politibot, y tiene experiencia como desarrollador de aplicaciones móviles. Su valoración del Exposure Notifications System es positiva. “Lo han pensado mucho para que pueda funcionar con gobiernos… complicados, sin que haya filtración de datos. Exposure Notifications no habla con Apple o Google para nada, solo con el server central del gobierno, y sin compartir localización”.

Radar COVID, SwissCovid, y todas las apps basadas en la API de Google y Apple siguen requiriendo el permiso de localización, hasta que llegue la nueva versión de Android, según ha anunciado Google. 

El contrato de Indra

Indra se ha encargado en España del desarrollo técnico de Radar COVID o de las modificaciones a partir de la aplicación creada por el equipo de Troncoso. Fuentes de SEDIA nos dicen que “se eligió Indra porque tenían bastante trabajo adaptado, tenían desarrollo que habían empezado a hacer. Se cogió parte de lo que ellos tenían desarrollado y se les aplicaron cambios. Había cosas que nosotros no queríamos hacerlas así y se modificaron. Eso permitió que en muy poco tiempo se pudiera poner en marcha el piloto”. 

El Consejo de Ministros aprobó a finales de junio por el procedimiento de emergencia el contrato con Indra Soluciones Tecnológicas de la Información S.L.U, por un valor de 330.537,52 euros, pero es difícil conocer más detalles al respecto. Las búsquedas del documento en el Portal de Contratación Pública y en el BOE han sido infructuosas.

Una vez firmado el contrato, el art. 120 de la Ley de contratos del sector público en España especifica que se debe seguir con las mismas obligaciones que la contratación pública ordinaria

Desde el Gobierno no saben del tema, nos remiten a la nota de prensa publicada tras el Consejo de Ministros y aluden a un posible retraso en los plazos de publicación por haberse llevado a cabo mediante un procedimiento emergencia. Hablamos con Patricia González, de Access Info, para preguntarle si el contrato de la app de rastreo a Indra -que ha sido ya desarrollada y cuyo piloto empezó a funcionar el 29 de junio- debería ser público, y nos dice que sí.  

Para una contratación de emergencia no es necesario publicar el expediente de contratación de la oferta pública. Mediante el Procedimiento Negociado sin Publicación Previa, se elige a la persona o empresa que pueda cumplir con el servicio lo más pronto y eficientemente posible. Pero la tramitación de emergencia afecta sólo a la licitación, no a los posteriores acuerdos de adjudicación y formalización. Una vez firmado el contrato, el art. 120 de la Ley de contratos del sector público en España especifica que se debe seguir con las mismas obligaciones que la contratación pública ordinaria. Lo que incluye su publicación en el Portal de Contratación.

No sería la primera vez en los últimos meses que el Gobierno ignora la obligación de publicidad activa recogida también en la Ley de Transparencia. En abril, los medios criticaron que Sanidad incumplía la ley al ocultar los proveedores y contratos del coronavirus. Los detalles del contrato se suman, así, a las sombras de la aplicación Radar COVID.

Actualización 11/8/2020 16:39 h.

El contrato de adjudicación a Indra ha sido publicado a las 15:37 en la plataforma de contratación del sector público. 

Aquí puedes ver los documentos: 

• Contrato 
• Acuerdo de tramitación del expediente de emergencia 
• Documento de acta de resolución 

Fuentes

• Agencia de Protección de Datos
• Secretaría de Estado para la Digitalización y la Inteligencia Artificial (SEDIA)
• Indra
• Pablo Aragón, investigador en ciencia social computacional y profesor asociado en la Universitat Pompeu Fabra
• Simona Levi, fundadora de Xnet
• Carmela Troncoso, investigadora de la Escuela Politécnica Federal de Lausana, Suiza (EPFL)
• Juan Font, ingeniero informático, fundador de Politibot
• Documentación DP-3T en Github
• Sitio de información de Google sobre COVID-19 Exposure Notifications
• Sitio de Apple sobre Privacy-Preserving Contact Tracing
• Documentación de Google sobre los Google Play Service Snippets
• Comunicado de la Agencia de Protección de Datos sobre la participación de la AEPD en la app de notificación de contactos de riesgo por COVID-19
• Nota de prensa de Moncloa tras el consejo de ministros del 23 de junio