Empresas y gobiernos de todo el mundo están construyendo y desplegando un número vertiginoso de sistemas y aplicaciones para luchar contra COVID-19. Muchos grupos han coincidido en el uso del rastreo de proximidad asistido por Bluetooth para la notificación de la exposición. Aún así, hay muchas maneras de abordar el problema y han surgido docenas de propuestas.
Una forma de clasificarlas se basa en la confianza que cada propuesta deposita en una autoridad central. En los modelos más "centralizados", una sola entidad -como una organización sanitaria, un gobierno o una empresa- recibe la responsabilidad especial de manejar y distribuir la información de los usuarios. Esta entidad tiene un acceso privilegiado a la información que los usuarios habituales y sus dispositivos no tienen. En cambio, en los modelos "descentralizados", el sistema no depende de una autoridad central con acceso especial. Una aplicación descentralizada puede compartir datos con un servidor, pero esos datos se ponen a disposición de todos para que los vean, no sólo de quien dirige el servidor.
Tanto el modelo centralizado como el descentralizado pueden afirmar que ofrecen una serie de garantías de privacidad. Pero los modelos centralizados se basan en una suposición peligrosa: que una autoridad "de confianza" tendrá acceso a grandes cantidades de datos sensibles y decidirá no hacer un mal uso de ellos. Como hemos visto, una y otra vez, ese tipo de confianza no suele sobrevivir a una colisión con la realidad. Los modelos descentralizados cuidadosamente construidos son mucho menos propensos a dañar las libertades civiles. En este artículo se explicarán con más detalle las distinciones entre estos dos tipos de propuestas, y se sopesarán los beneficios y los inconvenientes de cada una de ellas.
Modelos centralizados
Hay muchas propuestas diferentes de rastreo de proximidad que pueden considerarse "centralizadas", pero en general significa que una única autoridad "de confianza" sabe cosas que los usuarios habituales no saben. Las propuestas de rastreo de proximidad centralizado son favorecidas por muchos gobiernos y autoridades de salud pública. Un servidor central suele almacenar información privada en nombre de los usuarios y toma decisiones sobre quién puede haber estado expuesto a la infección. El servidor central normalmente puede saber qué dispositivos han estado en contacto con los dispositivos de las personas infectadas, y puede ser capaz de vincular esos dispositivos a identidades del mundo real.
Por ejemplo, un grupo europeo llamado PEPP-PT ha publicado una propuesta llamada NTK. En NTK, un servidor central genera una clave privada para cada dispositivo, pero se guarda las claves para sí mismo. Esta clave privada se utiliza para generar un conjunto de identificaciones efímeras para cada usuario. Los usuarios obtienen sus identificaciones efímeras del servidor, y luego las intercambian con otros usuarios. Cuando alguien da positivo en COVID-19, sube el conjunto de identificaciones efímeras de otras personas con las que ha estado en contacto (además de una buena cantidad de metadatos). La autoridad vincula esas identificaciones con las claves privadas de otras personas en su base de datos, y luego decide si se pone en contacto con esos usuarios directamente. El sistema está diseñado para evitar que los usuarios vinculen identificaciones efímeras con personas concretas, permitiendo al mismo tiempo que el servidor central haga exactamente eso.
Algunas propuestas, como la de ROBERT de Inria, se toman muchas molestias para ser seudónimos, es decir, para mantener las identidades reales de los usuarios fuera de la base de datos central. Esto es loable, pero no es suficiente, ya que las identificaciones seudónimas a menudo pueden ser atadas a personas reales con un poco de esfuerzo. Muchas otras propuestas centralizadas, incluyendo NTK, no se molestan. Las aplicaciones TraceTogether de Singapur y COVIDSafe de Australia incluso requieren que los usuarios compartan sus números de teléfono con el gobierno para que las autoridades sanitarias puedan llamarlos o enviarles mensajes de texto directamente. Las soluciones centralizadas también pueden recoger algo más que datos de contacto: algunas propuestas hacen que los usuarios carguen también la hora y la ubicación de sus contactos.
Modelos descentralizados
En un sistema de seguimiento de proximidad "descentralizado", el papel de una autoridad central se reduce al mínimo. Una vez más, hay muchas propuestas diferentes en el marco de la "descentralización". En general, los modelos descentralizados no confían a ningún agente central información que el resto del mundo no pueda ver también. Todavía existen riesgos de privacidad en los sistemas descentralizados, pero en una propuesta bien diseñada, esos riesgos se reducen en gran medida.
La EFF recomienda las siguientes características en los esfuerzos de rastreo de proximidad descentralizados:
- El objetivo debería ser la notificación de la exposición. Es decir, una alerta automatizada al usuario de que puede haber sido infectado por la proximidad de una persona con el virus, acompañada de consejos a ese usuario sobre cómo obtener servicios de salud. El objetivo no debe ser el entregar automáticamente al gobierno, o a cualquier otra persona, información sobre la salud o los contactos de persona a persona de personas concretas.
- Las identificaciones efímeras de un usuario deben ser generadas y almacenadas en su propio dispositivo. Las identificaciones efímeras pueden ser compartidas con los dispositivos con los que el usuario entra en contacto, pero nadie debería tener una base de datos que mapee los conjuntos de identificaciones a personas particulares.
- Cuando un usuario se entera de que está infectado, según lo confirme un médico o una autoridad sanitaria, debería ser su prerrogativa absoluta decidir si proporciona o no información al servidor compartido del sistema.
- Cuando un usuario se reporta enfermo, el sistema debe transmitir desde el dispositivo del usuario al servidor compartido del sistema la cantidad mínima de datos necesaria para que otros usuarios conozcan su riesgo de exposición. Por ejemplo, pueden compartir o bien el conjunto de identificaciones efímeras que emiten, o bien el conjunto de identificaciones con las que entraron en contacto, pero no ambos.
- Ninguna entidad debe conocer la identidad de las personas que han estado potencialmente expuestas por proximidad a una persona infectada. Esto significa que el servidor compartido no debe poder "empujar" las advertencias a los usuarios de riesgo; más bien, las aplicaciones de los usuarios deben "sacar" datos del servidor central sin revelar su propio estado, y utilizarlos para determinar si deben notificar a su usuario de riesgo. Por ejemplo, en un sistema en el que los usuarios enfermos informan de sus propias identificaciones efímeras a un servidor compartido, las aplicaciones de otros usuarios deben extraer regularmente del servidor compartido un conjunto completo de las identificaciones efímeras de los usuarios enfermos, y luego comparar ese conjunto con las identificaciones efímeras ya almacenadas en la aplicación debido a la proximidad de otros usuarios.
- Las identificaciones efímeras no deben ser vinculables a personas reales o entre sí. Cualquiera que reúna muchas identificaciones efímeras no debería ser capaz de decir si vienen de la misma persona.
Los modelos descentralizados no tienen que estar completamente descentralizados. Por ejemplo, los datos públicos sobre las identificaciones efímeras que corresponden a los dispositivos que se han notificado como enfermos pueden estar alojados en una base de datos central, siempre que esa base de datos sea accesible a todos. No es necesario que haya cadenas de bloqueo. Además, la mayoría de los modelos exigen que los usuarios obtengan la autorización de un médico o de una autoridad sanitaria antes de informar de que tienen COVID-19. Este tipo de "centralización" es necesaria para evitar que los troles inunden el sistema con informes positivos falsos.
La API de notificación de exposición de Apple y Google es un ejemplo de un sistema (mayoritariamente) descentralizado. Las claves se generan en dispositivos individuales, y los teléfonos cercanos intercambian identificaciones efímeras. Cuando un usuario da positivo, puede subir sus claves privadas, ahora llamadas "claves de diagnóstico", a una base de datos de acceso público. No importa si la base de datos está alojada por una autoridad sanitaria o en una red P2P; siempre que todo el mundo pueda acceder a ella, el sistema de rastreo de contactos funciona eficazmente.
¿Cuáles son las ventajas y desventajas?
Hay beneficios y riesgos asociados a ambos modelos. Sin embargo, en su mayor parte, los modelos centralizados benefician a los gobiernos, y los riesgos recaen en los usuarios.
Los modelos centralizados ponen más datos a disposición de quien se erija en autoridad de control, y podrían utilizar esos datos para mucho más que el rastreo de contactos. La autoridad tiene acceso a registros detallados de todas las personas con las que las personas infectadas entraron en contacto, y puede utilizar fácilmente esos registros para construir gráficos sociales detallados que revelen cómo interactúan las personas entre sí. Esto resulta atractivo para algunas autoridades sanitarias, que desearían utilizar los datos reunidos por estas herramientas para realizar investigaciones epidemiológicas o medir el impacto de las intervenciones. Pero los datos personales reunidos para un propósito no deben utilizarse para otro (por muy correcto que sea) sin el consentimiento específico de los interesados. Algunas propuestas descentralizadas, como la DP-3T, incluyen formas de que los usuarios opten por compartir ciertos tipos de datos para estudios epidemiológicos. Los datos compartidos de esa manera pueden ser anonimizados y agregados para reducir al mínimo el riesgo.
Más importante, los datos recogidos por las aplicaciones de seguimiento de proximidad no son sólo sobre COVID, sino sobre las interacciones humanas. Una base de datos que rastrea quiénes interactúan con quiénes podría ser extremadamente valiosa para las agencias de inteligencia y de aplicación de la ley. Los gobiernos podrían utilizarla para rastrear quién interactúa con los disidentes, y los empleadores podrían utilizarla para rastrear quién interactúa con los organizadores sindicales. También sería un objetivo atractivo para los piratas informáticos comunes y corrientes. Y la historia ha demostrado que, lamentablemente, los gobiernos no suelen ser los mejores administradores de los datos personales.
La centralización significa que la autoridad puede usar los datos de contacto para llegar directamente a las personas expuestas. Los defensores sostienen que las notificaciones de las autoridades de salud pública serán más eficaces que las notificaciones de exposición de las aplicaciones a los usuarios. Pero esa afirmación es especulativa. De hecho, es posible que haya más personas dispuestas a optar por un sistema de seguimiento de proximidad descentralizado que por uno centralizado. Además, la intrusión en la privacidad de un sistema centralizado es demasiado elevada.
Incluso en un modelo ideal y descentralizado, existe cierto grado de riesgo inevitable de desenmascaramiento de la infección: que cuando alguien informa de que está enfermo, todas las personas con las que ha estado en contacto (y cualquiera con suficientes balizas Bluetooth) pueden teóricamente aprender el hecho de que están enfermos. Esto se debe a que las listas de identificaciones efímeras infectadas se comparten públicamente. Cualquier persona con un dispositivo Bluetooth puede registrar la hora y el lugar en que vio una identificación efímera en particular, y cuando esa identificación se marca como infectada, aprenden cuándo y dónde vieron la identificación. En algunos casos, esta información puede ser suficiente para determinar a quién pertenecía.
Algunos modelos centralizados, como ROBERT, afirman eliminar este riesgo. En el modelo de ROBERT, los usuarios suben la lista de identificaciones que han encontrado a la autoridad central. Si un usuario ha estado en contacto con una persona infectada, la autoridad le dirá: "Ha estado potencialmente expuesto", pero no cuándo ni dónde. Esto es similar a la forma en que funciona el rastreo de contactos tradicional, en que las autoridades sanitarias entrevistan a las personas infectadas y luego se ponen en contacto directamente con las personas con las que han estado en contacto. En realidad, el modelo de ROBERT hace menos conveniente saber quién está infectado, pero no es imposible.
Los sistemas automáticos son fáciles de manipular. Si un mal actor sólo activa el Bluetooth cuando está cerca de una persona en particular, podrá saber si su objetivo está infectado. Si tienen varios dispositivos, pueden apuntar a varias personas. Los actores con más recursos técnicos podrían explotar más eficazmente el sistema. Es imposible resolver el problema de la infección desenmascarando completamente, y los usuarios deben comprenderlo antes de elegir compartir su estado con cualquier aplicación de proximidad. Mientras tanto, es fácil evitar los riesgos de privacidad que conlleva conceder a una autoridad central un acceso privilegiado a nuestros datos.
Conclusión
EFF sigue siendo cautelosa con las aplicaciones de rastreo de proximidad. No está claro cuánto ayudarán; en el mejor de los casos, complementarán las técnicas probadas de lucha contra la enfermedad como las pruebas generalizadas y el seguimiento manual de los contactos. No deberíamos poner nuestras esperanzas en una solución técnica. Incluso con las aplicaciones mejor diseñadas, siempre existe el riesgo de que se haga un mal uso de la información personal de las personas con las que hemos estado en contacto en el transcurso de nuestros días.
Un punto es claro: los gobiernos y las autoridades sanitarias no deben recurrir a modelos centralizados para la notificación automática de la exposición. Es poco probable que los sistemas centralizados sean más eficaces que las alternativas descentralizadas. Crearán nuevas bases de datos masivas sobre el comportamiento humano que serán difíciles de asegurar y más difíciles de destruir una vez que esta crisis haya terminado.