La ¡®app¡¯ Radar Covid ha tenido una brecha de seguridad desde su lanzamiento

Cuando un usuario de Radar Covid recibe la confirmaci¨®n de su positivo, las autoridades de su comunidad aut¨®noma deben darle un c¨®digo. Si decide introducirlo en la app, su m¨®vil mandar¨¢ a un servidor las claves que ha compartido en los ¨²ltimos d¨ªas al estar cerca de otros usuarios. Esas claves son las que permitir¨¢n al resto de usuarios comprobar si han estado cerca del nuevo positivo. As¨ª, solo hay un momento en que los usuarios suben claves al servidor de Radar Covid: cuando son positivos. Aunque ese tr¨¢fico est¨¦ cifrado y el contenido de la comunicaci¨®n sea an¨®nimo, si hay subida al servidor implica que el usuario es positivo. Quien tenga acceso al tr¨¢fico, por tanto, sabe qui¨¦n lo es.

La opci¨®n de acceso a esa informaci¨®n no est¨¢ al alcance de cualquier usuario, pero su explotaci¨®n va m¨¢s all¨¢ de las operadoras telef¨®nicas y de Internet. La empresa Amazon tambi¨¦n tiene acceso a esa informaci¨®n: la subida al servidor se hace con un software de la compa?¨ªa estadounidense, con lo que tambi¨¦n puede comprobar qu¨¦ m¨®viles mandaban positivos. Adem¨¢s de grandes empresas, tambi¨¦n tendr¨ªa acceso cualquier individuo o empresa con la opci¨®n de entrar a la misma red wifi desde la que se env¨ªan las claves.

Otras apps de rastreo de contactos europeas solucionaban este problema de una manera f¨¢cil de entender: simulan tr¨¢fico falso desde m¨®viles aleatorios para que desde fuera no pueda concluirse qui¨¦n sube un positivo real y qui¨¦n manda un paquete de datos falsos que el servidor sabe que lo son. La app espa?ola Radar Covid no lo hace. El problema, cuya existencia ya public¨® EL PA?S, fue subsanada, seg¨²n el Gobierno, el pasado 9 de octubre. ¡°No se ha comunicado al p¨²blico en general, porque esa posible vulnerabilidad tiene un alcance muy limitado, dado que solo podr¨ªa ser explotada por el operador de comunicaciones¡±, han explicado a EL PA?S fuentes de la Secretaria de Estado de Inteligencia Artificial, encargada de impulsar la app.

La posibilidad de acceso no implica que se haya explotado, aunque en realidad no se sabe. No hay pruebas de que la brecha haya sido aprovechada, pero exist¨ªa y, como tal, deb¨ªa ser reparada. Tambi¨¦n las empresas con posibilidad de acceso ten¨ªan que querer hacerlo: es como dejar una puerta cerrada sin llave; para ver qu¨¦ hay al otro lado hay que hacer el ejercicio de abrirla. Es un esfuerzo anodino, pero hay que ejecutarlo y no es algo banal con este tipo de datos. Tampoco es algo que pueda hacerse despu¨¦s. Debe ser en directo, a no ser que se registrara. El Gobierno ha dejado pasar varias semanas desde que tuvo la confirmaci¨®n de esta vulnerabilidad. La Secretar¨ªa de Estado anunci¨® en su cuenta oficial que este problema ya hab¨ªa sido solucionado con la ¨²ltima actualizaci¨®n.

La legislaci¨®n europea y espa?ola obliga al Gobierno a comunicar a la Agencia Espa?ola de Protecci¨®n de Datos (AEPD) y al p¨²blico la existencia de una brecha. La informaci¨®n a la AEPD se hizo, seg¨²n fuentes de Secretar¨ªa de Estado, ¡°la semana del 5 de octubre¡±. Esa comunicaci¨®n no se realiz¨® seg¨²n un procedimiento establecido por la ley para casos graves, pero la AEPD confirma por su lado que esa comunicaci¨®n se produjo de alg¨²n modo. El nivel de notificaci¨®n, seg¨²n fuentes de la AEPD, es algo que debe valorar cada responsable del tratamiento seg¨²n lo que dice el Reglamento de Protecci¨®n de Datos. As¨ª lo hizo la Secretar¨ªa de Estado: ¡°La vulnerabilidad no se hizo p¨²blica porque no ha habido constancia de una violaci¨®n de la seguridad de los datos personales, tal como recoge el art¨ªculo 33 del Reglamento¡±, dicen fuentes oficiales del Gobierno. Seg¨²n su criterio, habr¨ªa actuado correctamente.

La AEPD, por su parte, tiene un procedimiento abierto y no hace ning¨²n comentario sobre la gravedad de la brecha. En cualquier caso, su resoluci¨®n no es inminente. Cuando llegue, es probable que Radar Covid haya dejado de ser una herramienta importante para la pandemia, aunque quiz¨¢ el rastreo de contactos es algo que tiene alg¨²n tipo de vigencia. Este problema muestra que el desarrollo de una app que trata datos sensibles tiene m¨¢s retos de privacidad de lo que puede parecer. M¨¢s a¨²n si es el Gobierno quien la crea.

Las consecuencias jur¨ªdicas de la brecha pueden ir sin embargo m¨¢s all¨¢ de lo que diga la Secretar¨ªa de Estado. ¡°Desde el punto de vista jur¨ªdico hay un problema de protecci¨®n de datos¡±, dice Miquel Peguera, profesor de Derecho de la Universitat Oberta de Catalunya. ¡°Hay una vulneraci¨®n del principio de transparencia porque el interesado no tiene un conocimiento claro de qu¨¦ pasa con estos datos y de si eso podr¨¢ ser identificable por alguien. Hay una brecha de seguridad porque los datos no est¨¢n protegidos para que terceros no tengan acceso¡±.

La triste suerte del Gobierno es que el escaso ¨¦xito provisional de Radar Covid ha provocado que el esc¨¢ndalo o el peligro por esta vulnerabilidad no sea mayor. Las comunidades aut¨®nomas siguen repartiendo c¨®digos a positivos de un modo desigual. Madrid acaba de empezar y Catalu?a sigue al margen de la app, sin fecha de despliegue. Otras comunidades avanzan tambi¨¦n a ritmos distintos. La incorporaci¨®n de Madrid permiti¨® vislumbrar que algo iba a mejorar, pero sigue rondando el 1% de positivos reportados en toda Espa?a: por cada 10.000 positivos, algo m¨¢s de 100 se introducen en Radar Covid. ¡°Cuando se empezaron a dar los c¨®digos en la Comunidad de Madrid pasamos de estar por debajo del 0,8% a sobre el 1,2%, pero ahora est¨¢ bastante estable sobre esos rangos entre el 1% y el 1,4%¡±, dice el ingeniero Pedro Jos¨¦ Pereira, creador de la cuenta de Twitter @radarcovidstats, que analiza precisamente el tr¨¢fico al servidor.

Puedes seguir a EL PA?S TECNOLOG?A RETINA en Facebook, Twitter, Instagram o suscribirte aqu¨ª a nuestra Newsletter.