Las aplicaciones de rastreo de contactos de Bahréin, Kuwait y Noruega, entre las más peligrosas para la privacidadUna investigación de Amnistía Internacional revela que Bahréin, Kuwait y Noruega han implantado algunas de las aplicaciones de rastreo de contactos contra la COVID-19 más invasivas del mundo, que ponen el peligro la privacidad y la seguridad de centenares de miles de personas.
El proyecto Security Lab de Amnistía ha examinado aplicaciones de rastreo de contactos de Europa, Oriente Medio y el Norte de África, realizando en concreto un detallado análisis técnico de 11 aplicaciones de Argelia, Bahréin, Emiratos Árabes Unidos, Francia, Islandia, Israel, Kuwait, Líbano, Noruega, Qatar y Túnez, algunas de las cuales son desde malas hasta peligrosas para los derechos humanos. Las aplicaciones “BeAware Bahrain”, “Shlonik” y “Smittestopp”, de Bahréin, Kuwait y Noruega, respectivamente, figuran entre las herramientas de vigilancia masiva más alarmantes evaluadas por Amnistía, porque las tres realizan rastreos directos o casi directos de ubicaciones de usuarios, subiendo las coordinadas GPS a un servidor central a intervalos frecuentes.
El lunes, el gobierno noruego anunció que iba a suspender el uso de su aplicación de rastreo de contactos. Esta decisión se tomó sólo unas horas antes de que Amnistía Internacional hiciera público su análisis y después de que, el 2 de junio, la organización hubiera comunicado sus conclusiones a las autoridades noruegas y al organismo de protección de datos del país. Amnistía se había reunido además con la persona responsable del desarrollo de la aplicación “Smittestopp” el 10 de junio.
“Bahréin, Kuwait y Noruega han hecho caso omiso de la privacidad de las personas con herramientas de vigilancia sumamente invasivas que superan los límites hasta los que está justificado llegar para hacer frente a la COVID-19”, ha afirmado Claudio Guarnieri, director del proyecto Security Lab de Amnistía Internacional.
“La aplicación noruega era sumamente invasiva, y lo que tienen que hacer las autoridades es replantearse su uso. Instamos a los gobiernos bahreiní y kuwaití a poner también fin de inmediato al uso de estas intrusivas aplicaciones en su forma actual. Básicamente, transmiten las ubicaciones de los usuarios a una base de datos gubernamental en tiempo real, lo que es poco probable que resulte necesario y proporcionado en el contexto de una respuesta de salud pública. La tecnología puede desempeñar una función de rastreo de contactos de gran utilidad para contener la COVID-19, pero la privacidad no puede ser una víctima más como consecuencia de las prisas de los gobiernos por implantar aplicaciones.”
Herramientas de vigilancia masiva
Las aplicaciones de rastreo de contactos de Bahréin, Kuwait y Noruega aplican un enfoque centralizado invasivo, que representa una grave amenaza para la privacidad. Estos sistemas captan los datos de ubicación por medio del GPS y los suben a una base de datos central, rastreando los movimientos de los usuarios en tiempo real. La aplicación “EHTERAZ” de Qatar ofrece la opción de activar el rastreo directo de contactos de todos los usuarios o de personas concretas (en el momento de redactar estas líneas está desactivado).
Las autoridades de todos estos países pueden vincular fácilmente esta información personal sensible con una persona, pues Qatar, Bahréin y Kuwait exigen a los usuarios registrase con un número de documento nacional de identidad, mientras que Noruega impone el registro con un número de teléfono válido.
Otras aplicaciones analizadas por Security Lab, como la “E7mi” de Túnez, también siguen un modelo centralizado, pero en lugar de registrar las coordinadas GPS, utilizan el escaneo de proximidad de Bluetooth para seguir los contactos entre usuarios en tiempo real. La aplicación “EHTERAZ” de Qatar registra y sube el contacto de Bluetooth entre los dispositivos de los usuarios, junto con las coordinadas GPS del encuentro.
En la aplicación qatarí se identificó una grave vulnerabilidad de seguridad que dejaba expuestos datos personales sensibles de más de un millón de personas. Esta vulnerabilidad era especialmente preocupante, pues el uso de la aplicación era obligatorio a partir del 22 de mayo. Se subsanó tras alertar Amnistía de ella a las autoridades al final de mayo. El fallo de seguridad habría permitido a ciberatacantes acceder a información personal altamente sensible, incluidos el nombre, documento nacional de identidad, estado de salud y ubicación de confinamiento asignada de los usuarios.
Las aplicaciones de rastreo de países como Emiratos Árabes Unidos, Francia e Islandia utilizan un modelo centralizado, pero la información sobre el contacto entre los dispositivos de los usuarios se sube sólo si éstos deciden voluntariamente informar de que son sintomáticos o las autoridades de salud la solicitan. Estas subidas voluntarias y consentidas reducen al menos el riesgo de vigilancia masiva, ya que los datos no se suben automáticamente. El modelo centralizado de la aplicación de rastreo de contactos de Francia, sumado a la falta de transparencia sobre el modo de almacenar los datos, suscita la sospecha de que la información de los usuarios pueda dejar de ser anónima.
“Es necesario que, en todo el mundo, los gobiernos no se apresuren a implantar aplicaciones defectuosas y excesivamente intrusivas de rastreo de contactos, que no protejan los derechos humanos. Para que las aplicaciones de rastreo de contactos desempeñen una función efectiva en la lucha contra la COVID-19, las personas tienen que estar seguras de que se protegerá su privacidad”, ha afirmado Claudio Guarnieri.
Nuevas formas de vigilancia
La aplicación de Bahréin incluso estaba vinculada a un programa de televisión de ámbito nacional llamado “¿Estás en Casa?”, en el que se concedían premios por quedarse en casa durante el Ramadán. Con los datos de contacto recopilados por medio de la aplicación, se elegían cada día 10 números de teléfono al azar mediante un programa informático y se llamaba a ellos en directo para comprobar si los usuarios de la aplicación estaban en su casa. Si estaban, ganaban un premio. La inclusión en el sorteo del programa de televisión era obligatoria al principio, pero luego la Administración Electrónica y de Información de Bahréin añadió a la aplicación BeAware Bahrain una opción que permitía a los usuarios elegir no participar en el concurso televisivo. Las autoridades bahreiníes han publicado también en Internet información personal sensible de presuntos casos de COVID-19, incluidos el estado de salud, nacionalidad, edad, género e historial de viajes de una persona.
Las aplicaciones bahreiní y kuwaití pueden combinarse con una pulsera con Bluetooth que sirve para asegurarse de que el usuario está cerca del teléfono y hacer cumplir así las medidas de cuarentena. La kuwaití comprueba periódicamente la distancia entre la pulsera y el dispositivo y cada 10 minutos sube la ubicación a un servidor central.
Los datos de ubicación y la información adicional de diagnóstico de la pulsera con Bluetooth vinculada a la aplicación BeAware Bahrain se envían a un servidor central a intervalos frecuentes. Es obligatorio que todas las personas incluidas en los registros de cuarentena domiciliaria lleven la pulsera, y si no la llevan pueden ser sancionadas con arreglo a la Ley de Salud Pública Núm. 34 (2018), que permite imponer penas de hasta tres meses de prisión, multas de entre 1.000 y 10.000 dinares bahreiníes (alrededor de 2.700 y 27.000 dólares estadounidenses) o ambas cosas.
Privacidad y derechos humanos en el diseño
El rastreo de contactos es un componente importante de una respuesta eficaz a la pandemia, y las aplicaciones de rastreo de contactos pueden ser de utilidad con tal fin. Pero, para que sean compatibles con los derechos humanos, las aplicaciones de rastreo de contactos deben, entre otras cosas, incorporar en su diseño la protección de los datos y la privacidad, lo que significa que los datos recopilados deben ser los mínimos necesarios y almacenarse de forma segura. Toda recopilación de datos debe limitarse al control de la propagación de la COVID-19 y no tener ningún otro fin, como hacer cumplir la ley, velar por la seguridad nacional o controlar la inmigración. Tampoco debe ponerse a disposición de terceros ni destinarse a fines comerciales. La decisión individual de descargar y usar aplicaciones de rastreo de contactos debe ser completamente voluntaria. Los datos recopilados deben ser siempre anónimos, incluso si se combinan con otros conjuntos de datos.
“Los gobiernos que implantan aplicaciones de rastreo de contactos con rastreo de ubicación en tiempo real tienen que replantearse su uso. Hay opciones mejores, que atienden la necesidad de rastrear la propagación de la enfermedad sin recopilar información personal sensible de millones de personas”, ha manifestado Claudio Guarnieri.