La guerra de la app de rastreo del virus: investigadores y gobiernos europeos compiten por su opci¨®n

M¨¢s de 300 acad¨¦micos de instituciones de 27 pa¨ªses han publicado una carta este lunes para advertir sobre el peligro de una app centralizada de rastreo de contagios: ¡°Estamos preocupados de que algunas soluciones a esta crisis puedan resultar en sistemas que permitan una vigilancia masiva sin precedentes de la sociedad¡±, escriben. Este temor llevar¨ªa, a?aden, a que menos gente se la descargase o empleara, lo que convertir¨ªa ese esfuerzo en in¨²til. La carta llega en medio de una batalla entre Gobiernos europeos e instituciones por el modelo de app que se utilice para superar la crisis.

La soluci¨®n tecnol¨®gica para el d¨ªa que salgamos a la calle es una app que ayude a rastrear contagios. Un gran problema del coronavirus ha sido la capacidad para contagiar de los afectados sin s¨ªntomas. Esta app permitir¨ªa saber con qui¨¦n ha estado una persona que luego resulta positivo. Funciona mediante bluetooth: nuestros tel¨¦fonos se enviar¨ªan y recibir¨ªan c¨®digos cada pocos minutos. Si alguien resulta infectado, al confirmarse su positivo, el sistema permitir¨ªa advertir a quienes han estado cerca en los ¨²ltimos d¨ªas para que hagan cuarentena.

Este sistema tiene b¨¢sicamente dos formatos: centralizado y descentralizado. La diferencia b¨¢sica es el conocimiento de la poblaci¨®n que tiene quien controle el servidor. En el centralizado, las autoridades pueden conocer rastrear identidades, con lo que hay que confiar en que solo lo usen para combatir la Covid-19. En el descentralizado, las operaciones m¨¢s importantes ocurren en el m¨®vil, al que tienen acceso solo los usuarios.

En Europa surgi¨® a principios de abril un consorcio llamado PEPP-PT (Rastreo Paneuropeo de Proximidad para Preservar la Privacidad) apoyado por decenas de instituciones. Esta era su intenci¨®n inicial: ¡°Apoyamos propuestas centralizadas y descentralizadas y cada pa¨ªs escoger¨¢ la que convenga a su legislaci¨®n. Todo lo que proporcionemos se basar¨¢ en participaci¨®n voluntaria, ser¨¢ an¨®nimo, no usar¨¢ datos personales ni geolocalizaci¨®n, operar¨¢ cumpliendo el Reglamento Europeo de Protecci¨®n de Datos y habr¨¢ sido certificado y comprobado por profesionales¡±.

Desde la aparici¨®n de esa p¨¢gina web, poco m¨¢s se supo de la actividad de PEPP-PT. Entre esas propuestas la web avanzaba que hab¨ªa una iniciativa llamada DP-3T. Con un equipo de m¨¢s 20 profesionales en ocho instituciones europeas y liderados por una ingeniera espa?ola, Carmela Troncoso, DP-3T avanzaba en su trabajo de crear un protocolo descentralizado. Su intenci¨®n era, como explicaba Troncoso en una entrevista en EL PA?S, ofrecer una alternativa que respete la privacidad ante la certeza de que iba a haber una app de rastreo de contagios.

El viernes 10 de abril Apple y Google dieron a conocer su trabajo para ayudar con el rastreo de contagios. Su esfuerzo iba a ir en la direcci¨®n de DP-3T, es decir hacia un modelo descentralizado.

Empiezan los nervios

En PEPP-PT, mientras, no ocurr¨ªa nada. Algunos gobiernos, como el espa?ol, se hab¨ªan sumado a una iniciativa que parec¨ªa proponer algo aceptable para todo el continente. Por su parte, DP-3T segu¨ªa con su trabajo, con el c¨®digo colgado en el repositorio online GitHub para que fuera analizado por la comunidad. Hasta el pasado mi¨¦rcoles. Ese d¨ªa la menci¨®n a DP-3T fue silenciosamente eliminada de la web oficial de PEPP-PT. Empezaron los nervios.

?Qu¨¦ quedaba en PEPP-PT? Solo algo supuestamente centralizado que nadie hab¨ªa visto. Las sospechas y las suspicacias circulaban en todas direcciones. La ¨²nica figura p¨²blica representada en PEPP-PT era Hans-Christian Boos, un empresario alem¨¢n y asesor del Gobierno federal. Pero nadie ten¨ªa claro cu¨¢l era su papel ni qui¨¦n le ayudaba en su labor.

El viernes PEPP-PT organiz¨® dos videollamadas en Zoom. Boos hizo una para periodistas. Dos investigadores del Instituto Fraunhofer hicieron la otra. Hablaron de pruebas en marcha, de una implementaci¨®n pr¨®xima, de conversaciones con Apple y Google. Ese d¨ªa por la tarde colgar¨ªan algo en GitHub, dijeron. Todo parec¨ªa de repente m¨¢s avanzado de lo que nadie cre¨ªa. Pero viernes por la tarde solo apareci¨® un simple pdf que borraron en seguida. El caos y las dudas crec¨ªan. Varias instituciones y cient¨ªficos empezaron a desvincular su nombre del proyecto.

En la categor¨ªa miembros de PEPP-PT hay ahora alguna instituci¨®n y un reguero de empresas, como Bending Spoons, que est¨¢ desarrollando la app en Italia, o Hering, la compa?¨ªa de relaciones p¨²blicas que ayud¨® a Volkswagen en su fiasco por el di¨¦selgate.

Hasta el s¨¢bado al mediod¨ªa, cuando se public¨® el protocolo ROBERT. Detr¨¢s de ROBERT hab¨ªa dos instituciones francesa y alemana: Inria y Fraunhofer. Pero ning¨²n nombre de investigador, lo que es raro en la comunidad cient¨ªfica. Durante el d¨ªa algunos miembros de Inria mostraban su extra?eza porque se asociara su instituci¨®n a algo que hab¨ªa hecho solo un grupo.

ROBERT viene de ROBust and privacy-presERving proximity Tracing protocol. Ah¨ª quedaron claros los dos bandos en la batalla. Al d¨ªa siguiente, domingo, DP-3T public¨® una cr¨ªtica a la falta de privacidad por dise?o de ROBERT. Y algunas instituciones empezaron a desvincular su nombre del proyecto.

Este lunes se ha publicado la carta de los investigadores. Los Gobiernos deben decidir de qu¨¦ bando est¨¢n. Alemania, Francia e Italia dicen haber puesto en marcha proyectos junto a empresas privadas que usar¨ªan PEPP-PT. Otros gobiernos que no han trascendido estar¨ªan ya trabajando con DP-3T. Otros a¨²n, como Espa?a, miran con aparente extra?eza todo lo que ocurre y lo que puede llevar a un nuevo desconcertante conflicto europeo. Polonia ha creado ya su app similar a la usada en Singapur, que a su vez es similar a PEPP-PT.

Adem¨¢s, est¨¢n en medio Apple y Google. La versi¨®n ROBERT pretende que los c¨®digos presuntamente anonimizados los den las autoridades, lo que es una contradicci¨®n flagrante y a¨²n no resuelta. En la propuesta descentralizada, que siguen Apple y Google, esos c¨®digos se crear¨ªan en el tel¨¦fono, con lo que nadie, tampoco el Gobierno, sabr¨ªa a qui¨¦n pertenecen. Desde la propuesta ROBERT dicen en cambio que esos c¨®digos los tendr¨¢n igualmente Apple y Google.

Sea como sea, si Apple no permite que los c¨®digos no se creen localmente en el m¨®vil, ROBERT tiene un problema grave. Su sistema operativo no permite usar bluetooth ¡°por detr¨¢s¡±, cuando el tel¨¦fono no est¨¢ activo. Las apps de Robert deber¨ªan funcionar con la pantalla siempre desbloqueada, con el peligro que eso supone si el tel¨¦fono se roba y los problemas de bater¨ªa. Los gobiernos est¨¢n en presuntas conversaciones con Apple para resolverlo. Por ahora, sin respuesta.

La guerra de la app de rastreo est¨¢ servida. Algunos gobiernos creen que no pueden dejar escapar focos de contagios y deben ser los primeros en saber y transmitir posibles contagiados. Los epidemi¨®logos vinculados a DP-3T creen que es suficiente con que la gente sepa su peligro y act¨²e en consecuencia. Los investigadores creen que pocos se la descargar¨¢n si no hay garant¨ªas del buen uso. Las consecuencias de crear un sistema que permita definir con certeza con qui¨¦n has estado es potencialmente peligroso.

¡°Una de las metas de estas apps debe ser el respeto a la privacidad. Es necesario porque favorece la seguridad de todos, al proteger datos personales que pueden usarse de manera equivocada o incluso maliciosa¡±, explica Manuel Carro, director de Imdea Software (Madrid) y uno de los firmantes espa?oles de la carta. ¡°Pero, adem¨¢s, en caso contrario las apps de rastreo de contactos no tendr¨ªan la aceptaci¨®n necesaria para ser efectivas: perder¨ªamos una oportunidad de continuar deteniendo esta pandemia y de confiar en lo que la tecnolog¨ªa bien pensada puede hacer. Espa?a deber¨ªa mirar a alternativas que cumplen normas europeas de privacidad de datos y que est¨¢n respaldadas mayoritariamente por la comunidad cient¨ªfica¡±, a?ade.

¡°Lo m¨¢s importante es que se respeten los derechos fundamentales de los ciudadanos, y que el impacto en la sociedad del uso de esta app sea positivo. Esto s¨®lo se puede conseguir a trav¨¦s de un sistema descentralizado¡±, dice Manuela Battaglini, abogada experta en privacidad. ¡°El Gobierno deber¨ªa alejarse de una opci¨®n centralizada que pueda suponer la entrada a una implantaci¨®n de un sistema de vigilancia permanente en nuestro pa¨ªs¡±, a?ade.