La ingeniera espa?ola que lidera la ¡®app¡¯ europea de rastreo de contagios: ¡°No ser¨¢ un estado de vigilancia¡±

Carmela Troncoso es ingeniera de telecomunicaciones especialista en privacidad en la Escuela Polit¨¦cnica Federal de Lausana (Suiza). Lidera un equipo de m¨¢s de 20 personas de ocho instituciones europeas que trabaja para crear una app que rastree nuestros contactos y a la vez respete nuestra privacidad. El objetivo es tener una herramienta tecnol¨®gica a principios de mayo que permita a los ciudadanos saber si han estado cerca de alguien que d¨ªas despu¨¦s da positivo por Covid-19.

En esta primera entrevista desde que empez¨® en este proyecto, Troncoso explica la iniciativa: DP-3T. Es descentralizado y el ¨²nico que de momento ha publicado su propuesta bajo el paraguas del PEPP-Pt (Rastreo Paneuropeo de Proximidad para Preservar la Privacidad). Espa?a es uno de los gobiernos europeos que se ha sumado a este consorcio y espera ver qu¨¦ sale de ah¨ª.

Apple y Google dieron un empuj¨®n enorme el pasado viernes al usar un protocolo muy similar para convertir la herramienta en global. En el MIT y en Stanford hay iniciativas parecidas, pero DP-3T es ¨ªntegramente europea y quiz¨¢ marque el camino a seguir para poder hacer vida m¨¢s o menos normal hasta la llegada de una vacuna.

Pregunta. El rastreo de contactos no est¨¢ demostrado que sirva. En Singapur, de momento, no ha funcionado. ?Por qu¨¦ ahora s¨ª?

Respuesta. Esa es una pregunta para un epidemi¨®logo, no para la persona t¨¦cnica. Esto es la soluci¨®n tecnol¨®gica para el problema de aplanar la curva y frenar los contagios. La manera que tenemos ahora de conseguirlo es no salir de casa. Pero una vez salgamos, el problema m¨¢s grande ser¨¢ el periodo asintom¨¢tico: cuando eres contagioso y no lo sabes. Los epidemi¨®logos dicen que hay que avisar a esa gente cuanto antes. La app intenta darte una pista de que puedes llegar a tener s¨ªntomas en el futuro. Te dice que has estado en contacto con alguien que ha dado positivo. As¨ª que en vez de esperar a tener s¨ªntomas puedes hacer algo en ese momento, como quedarte en casa o contactar con el m¨¦dico. Esto es lo que la tecnolog¨ªa puede hacer: no puede hacer una vacuna.

P. ?No servir¨¢ solo para que parezca que los gobiernos hacen algo?

R. Esto no va a curar el coronavirus. Pero parece que la soluci¨®n sin rastreo de contactos no est¨¢ sobre la mesa. Si me hubieras preguntado por rastreo s¨ª o no hace un mes, hubiera dicho ¡®no s¨¦¡¯. Ahora no tenemos la opci¨®n de no tenerlo. La cuesti¨®n es qu¨¦ tipo de rastreo tendremos, cu¨¢nto va a respetar nuestros derechos fundamentales. Hay gente que prefiere ceder su localizaci¨®n a quedarse en casa. Pero no es una dicotom¨ªa. Una vez visto que hay que salir y que cuando salgamos no debemos volver al crecimiento exponencial, hay pocas alternativas. La pregunta es c¨®mo debemos hacerlo para que no sea un nuevo problema y se convierta en un estado de vigilancia. No podemos solucionar un problema y crear otro.

P. Los ciudadanos tienden a imaginarse un estado policial.

R. Hay muchas cosas que la gente tiene en contra del rastreo de contactos. Por ejemplo, la idea de que la app se convierta en una herramienta de discriminaci¨®n. Aunque no sea obligatoria, igual te dicen que no puedes ir al trabajo sin la app. Por eso esto debe venir con un marco legal. No somos los t¨¦cnicos los que podemos presionar a los gobiernos. La discriminaci¨®n en base a la app debe ser ilegal.

P. ?C¨®mo resuelve vuestro protocolo el problema de los contagios?

R. Cada tel¨¦fono emite por bluetooth identidades ef¨ªmeras, unos c¨®digos que duran 10-15 minutos. Ese fragmento debe ser suficientemente largo como para medir si dos personas han estado juntas y c¨®mo de cerca.

P. ?Med¨ªs el tiempo y a qu¨¦ distancia hemos estado de alguien?

R. Intercambiaremos c¨®digos. Si el c¨®digo de otra persona se env¨ªa cada tres minutos y yo lo veo en mi m¨®vil tres veces seguidas, sabr¨¦ que he estado nueve minutos con esa persona. La distancia se mide en funci¨®n de la potencia de la se?al. Lo que necesitamos es saber si hemos estado a m¨¢s o menos de dos metros de alguien, aunque este dato no se sube al servidor. Cuando te bajas a tu m¨®vil los c¨®digos de la gente infectada, ves si has estado cerca de alguien que ha dado positivo. Por ejemplo, el c¨®digo 1234 lo tienes varias veces: eso quiere decir que has estado tantos minutos con una persona que ha dado positivo. Y al lado de ese 1234, en tu m¨®vil, estar¨¢ guardada la potencia de la se?al, que marca la distancia a la que has estado de esa persona. (Los c¨®digos son claramente bastante mas largos y aleatorios que 1234).

P. La clave de vuestro protocolo es qu¨¦ informaci¨®n se sube al servidor una vez eres positivo. No todos los protocolos son iguales.

R. Hay protocolos en los que se sube al servidor el modelo de tel¨¦fono, la versi¨®n del sistema operativo, la versi¨®n del bluetooth, ?cu¨¢ntos de esos son pseudoidentificadores?

P. Entonces, ?qu¨¦ informaci¨®n sube al servidor vuestro protocolo, el DP-3T?

R. En nuestro sistema, el servidor no recoge informaci¨®n relevante. Subimos solo los identificadores de la persona contagiada: no revela ninguna informaci¨®n de sus contactos con otros. Esto es muy importante. En apps como la de Singapur se suben al servidor los c¨®digos que has recibido de otras personas, no los que has mandado. Si ves la sociedad como un grafo, estos intercambios dan las aristas del grafo. Se puede reconstruir. Es una diferencia enorme y es algo por lo que estoy muy agradecida a Google y Apple por tomar nuestro protocolo.

P. Tu m¨®vil organiza tus encuentros en dos listas: c¨®digos que mandas y c¨®digos que recibes de las personas con las que te cruzas. Puede parecer menor, pero vuestro protocolo sube al servidor los c¨®digos que env¨ªas, no los que recibes. ?Por qu¨¦ es una diferencia clave?

R. Porque la lista de c¨®digos que recibes indica con qui¨¦n has estado: si has estado con dos personas y a la vez que esas personas han estado juntas. Por c¨®mo funciona el contagio, si los amigos de mis amigos est¨¢n infectados, ellos subir¨¢n m¨¢s c¨®digos y ver¨¢n a sus amigos. Adem¨¢s, en otros protocolos es el servidor quien notifica a esas personas que han estado cerca de una persona en riesgo.

P. Apple y Google no han tomado ese modelo.

R. No, est¨¢n haciendo un gran favor a la privacidad de los usuarios. Impiden la creaci¨®n de sistemas centralizados. Nuestro sistema implica privacidad por dise?o, no privacidad por confianza, que es cuando te juran que no lo van a usar mal. Cuando hablamos de los datos de contactos de un pa¨ªs entero, es importante.

P. Han tomado vuestro modelo.

R. La soluci¨®n de Apple y Google es fundamentalmente la misma idea que la nuestra. Hay unos peque?os cambios sobre los que estamos hablando con ellos para ver las implicaciones. Pero para nosotros es perfecto.

P. Su participaci¨®n trae otras ventajas.

R. Facilita la portabilidad entre pa¨ªses. El protocolo com¨²n hace esto m¨¢s f¨¢cil. El protocolo es c¨®mo los tel¨¦fonos recogen datos y los mandan, pero es muy importante para mantener la soberan¨ªa que el servidor sea nacional. No deber¨ªamos dejar nunca que ese servidor lo gestione Google. Si eso ocurre, esto se convierte en un sistema de Google.

P. Cada pa¨ªs conservar¨¢ opciones al aplicar este protocolo.

R. S¨ª, incluso con nuestro protocolo la app podr¨¢, por ejemplo, llamar autom¨¢ticamente cuando alguien reciba una alerta de contagio. Por eso la aplicaci¨®n es de c¨®digo abierto. Pero podr¨¢ enviar lo que le d¨¦ la gana: mis n¨²meros, metadatos. Si quieres la localizaci¨®n, te la recoges y la mandas aparte. El bluetooth solo manda c¨®digos, pero la app podr¨ªa coger la localizaci¨®n del GPS del m¨®vil. Pero eso no tiene nada que ver con el protocolo. Las autoridades nacionales pueden decidir muchas cosas.

P. ?La localizaci¨®n?

R. Coger la localizaci¨®n es algo que ya pueden hacer. Esa informaci¨®n la puedes obtener ahora sin bluetooth, solo preguntando a toda la gente que se infecta. Pero la pregunta que la gente debe hacerse es ¡®esta tecnolog¨ªa nueva, qu¨¦ cosas permite¡¯.

P. Has dicho que Apple y Google son una buena noticia. ?Pero hay algo que te preocupa?

R. Tienen un poder enorme. Han tomado una decisi¨®n que limita qu¨¦ puede decidir un gobierno, y puede entenderse como un problema para la soberan¨ªa. En este caso, han tomado una decisi¨®n en base a privacidad y derechos fundamentales. Si no hubieran tomado esta decisi¨®n, ahora estar¨ªamos en el debate de si se pueden vulnerar derechos fundamentales.

P. Pero ahora tienen a¨²n m¨¢s capacidades.

R. Tampoco ganan tanto. Hay gente que dice: ahora tienen todas las balizas. Ya las ten¨ªan antes. Son el sistema operativo. Con lo que no me parece que haya excesiva diferencia. No lo veo como una ventaja para nuestro protocolo sino para los derechos fundamentales.

P. Los gobiernos podr¨¢n seguir subcontratando empresas locales para hacer sus apps.

R. Por eso es una buena noticia que el protocolo est¨¦ en el sistema operativo y no tengamos que preocuparnos de ellas. En nuestro caso, s¨ª estamos dise?ando una app. Ser¨¢ los m¨ªnimos datos posibles. Ha salido el primer prototipo. Varias personas la van a auditar. Nos tomamos muy en serio esto. No estamos aqu¨ª para ganar dinero. Es una pregunta que me hacen a menudo. No voy a montar ninguna start-up. No estamos aqu¨ª para vender ning¨²n producto. Estamos aqu¨ª para demostrar que el rastreo de contactos es posible sin un estado de vigilancia.

P. ?No da v¨¦rtigo la velocidad a la que ha ido el desarrollo, en apenas un mes?

R. V¨¦rtigo es poco. La velocidad es enorme. Pero la criptograf¨ªa que va detr¨¢s de esto es simple, con la app y todo, comparado con otros protocolos centralizados que tienen una base de datos detr¨¢s, hay un mont¨®n de puntos en los que te puedes equivocar. El nuestro es mucho m¨¢s sencillo. Nosotros seguimos el principio KISS, como ¡°beso¡±, que es ¡°keep it simple, stupid¡±, ¡°hazlo f¨¢cil, est¨²pido¡±. Nuestra app es KISS. Es una decisi¨®n de dise?o para que el an¨¢lisis sea f¨¢cil. El protocolo lleva colgado dos semanas para que la gente pueda analizarlo. La gente viene con ataques, con recomendaciones, es muy ¨²til.

P. ?Qu¨¦ tipo de ataques?

R. Hay ataques fundamentales que vienen por la tecnolog¨ªa que usamos ¨Cbluetooth¨C y hay ataques de otros tipos. En la parte del software vamos a hacer muchas auditor¨ªas para comprobar que no nos hemos equivocado con el c¨®digo: c¨®mo nos aseguramos que no se puede coger un c¨®digo y replicarlo en otro lugar, hacerse pasar por otros.

P. Las grandes tiendas ya tienen balizas de bluetooth en sus entradas. Pueden descargar la app y comportarse como un usuario m¨¢s. Cuando reciban los c¨®digos, pueden saber qui¨¦n es positivo.

R. No hay nada que podamos hacer para evitar eso. Si se bajan la app son un usuario. Para evitar ese ataque, en vez de enviar el identificador en cada baliza, lo que hacemos es dividirlo en cachitos y mandarlo en partes, con lo cual si pasas por delante de alguien no va a darle tiempo a coger todos los trozos. Para eso, un empleado de la tienda deber¨ªa estar un rato al lado de cada usuario para recoger todos sus cachitos.

P. ?Podr¨¢s desactivar tu bluetooth si no quieres rastreo en alg¨²n momento?

R. Entiendo que s¨ª. Esto es algo que te hace dudar. Pero luego pens¨¦ que podemos hacer auditor¨ªas externas. Puedes hacer en casa algo parecido y ver qu¨¦ ocurre con tu tel¨¦fono. Me relaj¨¦ mucho cuando me di cuenta de que no necesitas estar dentro para ver si han hecho lo que dicen. Es positivo que hayan dado este paso, pero es muy importante que tanto Apple como Google tengan auditor¨ªas externas.

P. ?C¨®mo sabremos que dejan de rastrearnos cuando pase la pandemia?

R. Cada pa¨ªs podr¨¢ pararlo si controla el servidor. Pero c¨®mo paras algo que est¨¢ en el sistema operativo. Por un lado no puedes. Por otro, tambi¨¦n podr¨ªan haberlo hecho ya sin este rastreo de contactos. Ahora podr¨¢s hacer auditor¨ªas externas. No podr¨¢n hacerlo en secreto. No pueden mandar se?ales que no se puedan ver. La mayor preocupaci¨®n es que hayan tenido tanto poder para decidir qu¨¦ tipo de sistema se va a implementar en el planeta. Eso da miedo. Deber¨ªamos reflexionar como sociedad cu¨¢ndo les hemos dado ese poder.