La ¡®app¡¯ Radar Covid no advierte de todos los riesgos para la privacidad de sus usuarios

Radar Covid, la app de rastreo de contactos lanzada por el Gobierno de Espa?a para frenar el avance de la pandemia, incluye en su c¨®digo Firebase, un software de Google que no se menciona en la pol¨ªtica de privacidad de la aplicaci¨®n. Bajo el reglamento europeo de protecci¨®n de datos, el llamado GDPR, las aplicaciones est¨¢n obligadas a declarar la presencia de c¨®digo externo. Incluso Google lo advierte en su informaci¨®n sobre Firebase. M¨¢s, si cabe, en una app utilizada en un ¨¢mbito tan sensible como el de la salud. En una actualizaci¨®n del pasado mi¨¦rcoles Firebase ha desaparecido en el entorno Apple, pero en el momento de cerrar este art¨ªculo sigue presente en Android, donde la aplicaci¨®n no se actualiza desde el 7 de agosto.

Desde la Secretar¨ªa de Estado de Inteligencia Artificial, impulsora de la app, admiten que se ha usado Firebase en la fase de prueba "para agilizar el proceso de lanzamiento e identificar puntos de mejora de la aplicaci¨®n¡±. Despu¨¦s de repetidas preguntas de EL PA?S durante varios d¨ªas, no han aclarado exactamente qu¨¦ hace este c¨®digo, m¨¢s all¨¢ de una explicaci¨®n que no responde al fondo de la cuesti¨®n. ¡°Se utiliz¨® para poder recoger fallos y mejorar la app, y en ning¨²n caso se utiliz¨® ning¨²n dato que no fuesen esos bugs [fallos de software] detectados¡±, siempre seg¨²n fuentes del Gobierno.

Firebase puede servir para muchas cosas: es una especie de navaja suiza de software para desarrolladores de aplicaciones. No es solo una herramienta para detectar fallos. Su uso depende de las funciones que active cada programador. Una de las m¨¢s habituales es recoger informaci¨®n sobre el uso de la app: qu¨¦ modelos de m¨®viles se la descargan, cu¨¢nto tiempo se usa, cada cu¨¢nto se abre. Google da, adem¨¢s, un identificador aleatorio por cada descarga que en principio no puede llevar a identificar a los usuarios. Pero solo en principio, y para evitar precisamente estas dudas, la legislaci¨®n europea obliga a declarar la presencia de este tipo de c¨®digo en las aplicaciones. Radar Covid no lo hace.

La Secretar¨ªa de Estado insiste en que Firebase solo sirvi¨® para la fase de pruebas y que desaparecer¨¢ de Radar Covid en los tel¨¦fonos con sistema operativo Android tras una actualizaci¨®n inminente. EL PA?S pregunt¨® por primera vez por Firebase el pasado 10 de septiembre, un d¨ªa despu¨¦s de que se hiciera p¨²blico el c¨®digo de la aplicaci¨®n. En GitHub, el repositorio donde se colg¨® el c¨®digo de Radar Covid, hay una pregunta abierta sin contestar sobre Firebase desde el mismo d¨ªa 9. Firebase podr¨ªa ciertamente tener sentido en una fase de pruebas real, pero Radar Covid est¨¢ ya en cuatro millones de m¨®viles espa?oles y han pasado dos meses desde el fin del piloto. ?Por qu¨¦ se ha alargado tanto la fase de testing? El Gobierno no lo explica.

¡°Las aplicaciones de rastreo de contactos que usan Firebase comparten datos no solo con las autoridades sanitarias sino tambi¨¦n con Google¡±, dice Douglas Leith, catedr¨¢tico de Sistemas de Computaci¨®n en el Trinity College de Dubl¨ªn y autor de un informe sobre las apps europeas de rastreo de contactos. ¡°Google es una organizaci¨®n con ¨¢nimo de lucro cuyo negocio es usar datos para anuncios personalizados, lo que levanta preocupaciones obvias. Adem¨¢s, en m¨®viles Android, el uso de Firebase habilita Google Play Services, que comparten informaci¨®n con Google (email, n¨²mero de tel¨¦fono, n¨²mero de SIM) y hace que un m¨®vil env¨ªe mensajes frecuentes a servidores de Google¡±. Firebase no tiene ninguna relaci¨®n con el sistema espec¨ªfico que han creado Apple y Google para facilitar que estos sistemas funcionen con Bluetooth. Por todo esto, Leith cree que debe eliminarse: ¡°Firebase no es la mejor pr¨¢ctica para una aplicaci¨®n de rastreo de contagios que el Gobierno anima a toda la poblaci¨®n a instalarse y que pretende proteger su privacidad¡±.

La Agencia Espa?ola de Protecci¨®n de Datos no ha querido hacer ninguna declaraci¨®n y ha recordado solo que tiene desde mayo un procedimiento abierto sobre Radar Covid. EL PA?S ha preguntado a desarrolladores de otros pa¨ªses cercanos si usaban Firebase en sus apps. Ni Portugal, ni Italia, ni Alemania, ni Suiza lo hacen. ¡°En Europa, Letonia lo usaba inicialmente pero lo detuvieron inmediatamente cuando publicamos el informe de privacidad¡±, dice Leith. ¡°La polaca tambi¨¦n lo usa¡±. Seg¨²n fuentes de los desarrolladores italianos de la aplicaci¨®n Immuni, ¡°por motivos de privacidad no ha sido instalada ninguna librer¨ªa que env¨ªe datos a terceras partes, en este caso Google¡±.

¡°SwissCovid [la aplicaci¨®n suiza] nunca ha usado Firebase. Las funcionalidades que proporciona una librer¨ªa de anal¨ªtica como esta no son necesarias para su funcionamiento principal¡±, dice Carmela Troncoso, la ingeniera espa?ola de la Universidad Polit¨¦cnica de Lausane (Suiza) que impuls¨® el protocolo DP-3T, que es precisamente la base de la app espa?ola. La raz¨®n de ser de DP-3T es impulsar la privacidad por dise?o, que significa que el usuario no necesita confiar en la bondad de los autores de las aplicaciones porque est¨¢n construidas desde su dise?o para impedir filtraci¨®n de datos. "Usar Firebase permitir¨ªa por supuesto a nuestros desarrolladores detectar mejor errores y problemas, pero a costa de recoger datos de uso a trav¨¦s de los servidores de Google. Recoger m¨¢s datos de los estrictamente necesarios va en contra de la filosof¨ªa privacidad por dise?o y el principio de minimizaci¨®n que nos llevaron a la propuesta actual. Y a¨²n es peor si esto se hace en servidores de terceros como Firebase¡±, explica Troncoso.

¡°Es muy importante¡±

¡°Es una cuesti¨®n muy importante¡±, dice Gloria Gonz¨¢lez Fuster, profesora investigadora de la Vrije Universiteit de Bruselas. ¡°Lo esencial es que los usuarios deber¨ªan haber sido informados, ya que ese es precisamente el objetivo de la pol¨ªtica de privacidad: informar sobre qu¨¦ datos se est¨¢n recogiendo exactamente y qu¨¦ se hace con ellos¡±, a?ade. La pol¨ªtica de privacidad de Radar Covid, seg¨²n el archivo de Internet Archive, ha cambiado solo una vez para retirar la referencia a la prueba piloto que se llev¨® a cabo en La Gomera. La ¨²nica posible referencia a Firebase est¨¢ en esta frase: ¡°El Titular de la Aplicaci¨®n podr¨¢ dar acceso o transmitir los datos a terceros proveedores de servicios, con los que haya suscrito acuerdos de encargo de tratamiento de datos, y que ¨²nicamente accedan a dicha informaci¨®n para prestar un servicio en favor y por cuenta del responsable¡±.

No es suficiente, dice Gonz¨¢lez Fuster. ¡°Para cumplir con los requisitos de transparencia que impone el Reglamento General de Protecci¨®n de Datos, no basta con ofrecer este tipo de informaciones cr¨ªpticas, sino que hay que ser m¨¢s claros y precisos¡±, explica. No solo eso, contin¨²a: ¡°En relaci¨®n con Firebase, leyendo su propia informaci¨®n cabe pensar que se llevan a cabos transferencias de datos a Estados Unidos". Si eso fuera as¨ª, los usuarios cuyos datos hubieran sido transferidos a Estados Unidos "tendr¨ªan que haber sido informados de manera clara¡±.

Para aumentar la incertidumbre, cuando el pasado 9 de septiembre el Gobierno decidi¨® liberar el c¨®digo de la aplicaci¨®n, la versi¨®n que colg¨® en GitHub no era la misma que los espa?oles llevaban en su m¨®vil. A¨²n as¨ª, se hab¨ªan dejado en el c¨®digo presuntamente limpio de GitHub una referencia a Firebase que delataba su uso. Con un an¨¢lisis de la propia aplicaci¨®n, adem¨¢s, pod¨ªa comprobarse que segu¨ªa enviando informaci¨®n a Firebase.

Nada de todo esto implica necesariamente que Radar Covid esp¨ªe o analice el comportamiento de sus usuarios. Pero s¨ª que el desarrollo de la app ofrece menos garant¨ªas de las deseables. El problema de emplear Firebase en una app tan sensible no tiene por qu¨¦ ser solo la intenci¨®n de las autoridades de saber m¨¢s de lo que la legislaci¨®n les permite, sino tambi¨¦n de que alguien aproveche una vulnerabilidad para acceder a datos: cuanto m¨¢s c¨®digo, m¨¢s agujeros.

El modo en que se ha publicado el c¨®digo abierto es tambi¨¦n deficiente. Cuando este mi¨¦rcoles apareci¨® la nueva versi¨®n de la aplicaci¨®n para los m¨®viles de Apple, desarrolladores externos vieron en seguida que no funcionaba. Los encargados hab¨ªan subido una versi¨®n de prueba, que no estaba vinculada a servidores reales, sino ficticios: ¡°Es un error garrafal en todos los aspectos. No querr¨ªa estar en el lugar del equipo que est¨¢ gestionando esto¡±, dice Jorge J. Ramos, desarrollador independiente. ¡°Todos trabajamos con una serie de automatismos que nos permiten evitar estos problemas. Si no disponemos de esas herramientas, pasa esto, que se sacan las versiones a mano; todos somos humanos y nos podemos confundir. La versi¨®n 1.0.6 se sac¨® a la 1 de la ma?ana y me puedo imaginar que el equipo no est¨¢ trabajando en las condiciones m¨¢s adecuadas. Es un error humano, pero no culpa del equipo en ning¨²n caso y me gustar¨ªa resaltarlo. Todos sabemos c¨®mo funciona esto e imagino que estar¨¢n trabajando con una presi¨®n enorme¡±. Varias horas despu¨¦s de la alerta, se corrigi¨® con una versi¨®n 1.0.7.

¡°Tampoco es que nos hagan mucho caso a la comunidad [de desarrolladores] tras abrir el c¨®digo¡±, dice Amador Navarro, desarrollador de iOS y consultor de Sfy. ¡°No nos contestan, no aceptan propuestas de forma desinteresada de reformas con c¨®digo que solo deben revisar. Esto es una aplicaci¨®n que debe de ser usada por la mayor¨ªa para ayudar a controlar la pandemia y tenemos ganas de ayudar a aportar nuestro granito, por peque?o que sea. Sigo pensando que no hay mala fe, sino prisas por querer contentarnos, aunque luego no nos dejen ser activos con esto¡±, explica.

No es el ¨²nico ejemplo de improvisaci¨®n y errores que podr¨ªan haberse subsanado con otro tipo de planteamiento o m¨¢s tiempo. Uno de los dos encargados de subir el c¨®digo de Radar Covid a GitHub fue un usuario llamado avecina. Es por tanto alguien obviamente con acceso al desarrollo de la aplicaci¨®n. Su cuenta se hab¨ªa creado el 25 de agosto. El d¨ªa 26 fue al repositorio de DP-3T, autores originales del c¨®digo dirigidos por la espa?ola Troncoso, a preguntar por un problema que generaba docenas de rese?as malas para Radar Covid en la Play Store: los errores que daba a quien ten¨ªa activada la optimizaci¨®n de bater¨ªa. ¡°?Por qu¨¦ es necesario deshabilitar la optimizaci¨®n de la bater¨ªa? Es m¨¢s que nada curiosidad, pero hay montones de usuarios quej¨¢ndose de esto¡±. No hay nada malo en preguntar por GitHub. Al contrario, para eso est¨¢. Pero es sorprendente ese ¡°m¨¢s que nada curiosidad¡± cuando hay otros canales m¨¢s directos a disposici¨®n.

Puedes seguir a EL PA?S TECNOLOG?A RETINA en Facebook, Twitter, Instagram o suscribirte aqu¨ª a nuestra Newsletter.