El Gobierno publica un c¨®digo incompleto y confuso de la ¡®app¡¯ Radar Covid

La esperada publicaci¨®n del c¨®digo de la aplicaci¨®n Radar Covid no fue un ¨¦xito. La Administraci¨®n ha logrado el hito notable de liberar el software de la aplicaci¨®n m¨®vil p¨²blica espa?ola con un r¨¦cord de descargas m¨¢s r¨¢pido y extenso: lleva 3,7 millones. Pero el gesto no parece que vaya a colmar las expectativas de m¨¢s de 200 acad¨¦micos espa?oles que firmaron un manifiesto a favor de la transparencia en el desarrollo de software p¨²blico. La buena intenci¨®n se ha quedado, por ahora, a mitad de camino.

El debate no est¨¢ de momento en si la app es segura o si esconde en el c¨®digo errores o trampas que no deber¨ªan estar ah¨ª. Uno de los grandes objetivos de la liberaci¨®n del c¨®digo es responder esas preguntas. ¡°Se trata de un ejercicio de transparencia para que el funcionamiento de la aplicaci¨®n pueda ser auditado de forma abierta y directa por parte de la ciudadan¨ªa¡±, dice Carme Artigas, secretar¨ªa de Estado de Digitalizaci¨®n e Inteligencia Artificial, encargada de la app. El contenido se encuentra disponible en GitHub.

Pero antes de que se pueda analizar a fondo, al rato de liberarse el c¨®digo, la comunidad de desarrolladores empez¨® a debatir sobre un par de cuestiones centrales. La primera era: ?c¨®mo sabemos que el c¨®digo publicado es el que est¨¢ en la app que llevamos en el m¨®vil? Esto ser¨ªa f¨¢cil de comprobar si la aplicaci¨®n del m¨®vil pudiera descompilarse sin problema, pero el c¨®digo est¨¢ ofuscado. La ofuscaci¨®n del c¨®digo es una pr¨¢ctica com¨²n: sirve para esconder detalles que impiden la copia. Pero en el caso de una app cuyo c¨®digo ser¨¢ libre tiene poco sentido usar esta t¨¦cnica.

Aun as¨ª, entre las sombras de ese c¨®digo se ve que hay l¨ªneas y ficheros que no coinciden con lo publicado en GitHub, que es el repositorio habitual donde los desarrolladores publican y comentan c¨®digo abierto. ¡°Cualquier desarrollador Android puede descompilar la aplicaci¨®n que est¨¢ disponible en la Play Store y verificar que existen ciertas diferencias¡±, dice el inform¨¢tico Ra¨²l Mart¨ªnez o @RME. ¡°Probablemente no sea nada grave y se trate solamente de que han retirado m¨¦todos antiguos. Esto no significa que dude de su eficacia o su seguridad, simplemente que no es una buena pr¨¢ctica¡±, a?ade.

Pero si el c¨®digo de las dos versiones es distinto, ?c¨®mo saber c¨®mo es el que funciona en nuestros m¨®viles? ¡°Genera desconfianza porque seguimos igual que ayer¡±, dice David Barrag¨¢n, cofundador y desarrollador de software en Kaleidos Open Source. ¡°Tenemos en el m¨®vil una app de la que no conocemos el c¨®digo, y tenemos un c¨®digo publicado que no vale porque no coincide con el de la app. ?Qu¨¦ otras cosas puede esconder si no son iguales?¡±, explica.

El caso se convierte en m¨¢s misterioso cuando, a preguntas de EL PA?S, la Secretar¨ªa de Estado de Digitalizaci¨®n e Inteligencia Artificial, niega que las dos versiones sean distintas: ¡°La versi¨®n ofuscada es la misma que hay en GitHub¡±, dicen fuentes oficiales. ?Cu¨¢l puede ser el motivo de este desajuste? ¡°En mi opini¨®n el equipo de desarrollo ha estado limpiando el c¨®digo para subirlo pero sin dar tiempo a subir esa nueva versi¨®n a la Play Store. Igual la secretar¨ªa de Estado no est¨¢ al corriente¡±, explica Mart¨ªnez (@RME).

En la pr¨®xima actualizaci¨®n, que ser¨¢ aproximadamente el 15 de septiembre (seg¨²n fuentes oficiales), el c¨®digo de la versi¨®n Android de Radar Covid ir¨¢ ya desofuscado. Entonces ser¨¢ ya plenamente posible comparar ambas versiones y quiz¨¢ ver qu¨¦ ha pasado. En todo caso, es una petici¨®n que un programador ya ha hecho en GitHub.

Solo la ¨²ltima versi¨®n

El segundo gran problema es la falta de contexto en el c¨®digo. Solo se ha publicado la ¨²ltima versi¨®n, sin m¨¢s. ¡°Lo m¨¢s importante es que nos falta el hist¨®rico. Es una parte esencial. No sabemos cu¨¢ndo empez¨®, como se ha ido construyendo, sobre qu¨¦ bases ni qu¨¦ decisiones se han ido tomando¡±, dice Jorge J. Ramos, desarrollador independiente. ¡°Esa informaci¨®n es b¨¢sica para programadores. Si entras en los repositorios de las apps italiana o alemana los hist¨®ricos est¨¢n desde mayo¡±, a?ade.

Esta falta de documentaci¨®n que se produce a lo largo del proceso es ¡°muy laboriosa de hacer¡±, seg¨²n Ramos. ¡°?Si no la han sacado quiere decir que no la tienen?¡±, se pregunta. No se sabe. Solo se sabe que el programador de Indra que subi¨® el c¨®digo a GitHub lamentaba p¨²blicamente en Twitter este mi¨¦rcoles por la noche la falta de comprensi¨®n de la comunidad ante las cr¨ªticas que estaba recibiendo el c¨®digo. Adem¨¢s, dec¨ªa, porque "no se sabe el contexto¡±.

Una de las pruebas de que el proceso de publicaci¨®n del c¨®digo ha sido hecho con prisa es que quedaban claves privadas o restos del c¨®digo del piloto de La Gomera que no deber¨ªan estar ah¨ª. Mientras, las issues (cuestiones, dudas, problemas) planteadas en GitHub por un buen pu?ado de programadores no cesa de crecer. El an¨¢lisis detallado de cada funci¨®n del c¨®digo est¨¢ por llegar.

La liberaci¨®n del c¨®digo ha sido un foco constante de cr¨ªticas por buena parte de la comunidad tecnol¨®gica. El s¨¢bado pasado, m¨¢s de un centenar de acad¨¦micos firm¨® una carta en la que exig¨ªa al Ejecutivo unos m¨ªnimos necesarios para que el open source fuera realmente exitoso. Para ellos, conocer la programaci¨®n es esencial, pero insuficiente. La transparencia debe ser absoluta. ¡°La apertura del c¨®digo debe ir acompa?ada de la documentaci¨®n e informaci¨®n completas, a fin de que la comunidad cient¨ªfica y la sociedad civil tengan la capacidad de escrutinio necesaria para identificar puntos a mejorar y contribuir a desarrollar y desplegar Radar Covid conforme a los m¨¢s altos est¨¢ndares¡±, expon¨ªan los firmantes.

Hasta el momento, la app de rastreo de contagios est¨¢ implantada en 13 comunidades ¡ªtodav¨ªa faltan por sumarse Galicia, Pa¨ªs Vasco, Catalu?a y Castilla-La Mancha¡ª, un 70% de todo el territorio. Esto no implica que funcione porque a¨²n varias regiones est¨¢n en pleno desarrollo de pruebas piloto. ¡°El c¨®digo abierto permite tambi¨¦n mostrar p¨²blicamente el funcionamiento interno de la aplicaci¨®n para que la ciudadan¨ªa pueda tener confianza plena en que la seguridad y la privacidad han sido los principios centrales que sustentan la creaci¨®n de esta herramienta¡±, destaca la secretar¨ªa de Estado.

Nuevas versiones disponibles

¡°La ¨²ltima versi¨®n disponible de la aplicaci¨®n pasa a estar disponible para la comunidad bajo la licencia Mozilla Public License 2.0, la misma que utiliza el proyecto DP-3T, protocolo con el que se ha trabajado durante el desarrollo de Radar Covid. Se publicar¨¢n, adem¨¢s, sucesivas actualizaciones conforme vayan estando disponibles las nuevas versiones de la aplicaci¨®n¡±, afirman fuentes oficiales.

Puedes seguir a EL PA?S TECNOLOG?A RETINA en Facebook, Twitter, Instagram o suscribirte aqu¨ª a nuestra Newsletter.

Informaci¨®n sobre el coronavirus

- Aqu¨ª puede seguir la ¨²ltima hora sobre la evoluci¨®n de la pandemia

- As¨ª evoluciona la curva del coronavirus en Espa?a y en cada autonom¨ªa

- Desc¨¢rguese la aplicaci¨®n de rastreo para Espa?a

- Buscador: La nueva normalidad por municipios

- Gu¨ªa de actuaci¨®n ante la enfermedad