Redacción •  Tecnología •  16/06/2020

Amnistía Internacional: «Las aplicaciones de rastreo de contactos de Bahréin, Kuwait y Noruega, entre las más peligrosas para la privacidad»

Un análisis de aplicaciones de rastreo del coronavirus de Europa, Oriente Medio y el Norte de África revela graves riesgos para los derechos humanos.

Amnistía Internacional: «Las aplicaciones de rastreo de contactos de Bahréin, Kuwait y Noruega, entre las más peligrosas para la privacidad»

Comunicado

Una investigación de Amnistía Internacional revela que Bahréin, Kuwait y Noruega han implantado algunas de las aplicaciones de rastreo de contactos contra la COVID-19 más invasivas del mundo, que ponen el peligro la privacidad y la seguridad de centenares de miles de personas.

El proyecto Security Lab de Amnistía ha examinado aplicaciones de rastreo de contactos de Europa, Oriente Medio y el Norte de África, realizando en concreto un detallado análisis técnico de 11 aplicaciones de Argelia, Bahréin, Emiratos Árabes Unidos, Francia, Islandia, Israel, Kuwait, Líbano, Noruega, Qatar y Túnez, algunas de las cuales son desde malas hasta peligrosas para los derechos humanos. Las aplicaciones “BeAware Bahrain”, “Shlonik” y “Smittestopp”, de Bahréin, Kuwait y Noruega, respectivamente, figuran entre las herramientas de vigilancia masiva más alarmantes evaluadas por Amnistía, porque las tres realizan rastreos directos o casi directos de ubicaciones de usuarios, subiendo las coordinadas GPS a un servidor central a intervalos frecuentes.

El lunes, el gobierno noruego anunció que frenaría el uso de su aplicación de rastreo. La decisión se produjo pocas horas antes de que Amnistía Internacional publicara su análisis y después de que la organización compartiera sus conclusiones con las autoridades noruegas y la agencia de protección de datos del país el pasado 2 de junio. Amnistía Internacional también se reunió con el jefe de desarrollo de la aplicación «Smittestopp» el 10 de junio.

“Bahréin, Kuwait y Noruega violan la privacidad de las personas con invasivas herramientas de vigilancia que superan los límites justificados para hacer frente a la COVID-19. Estos gobiernos deben poner fin de inmediato al uso que se está haciendo en la actualidad de estas aplicaciones intrusivas”, ha afirmado Claudio Guarnieri, director del proyecto Security Lab de Amnistía Internacional.

“La aplicación noruega es muy invasiva y la decisión de frenar su utilización es la correcta. Instamos a los gobiernos de Bahrein y Kuwait a que también detengan inmediatamente el uso de aplicaciones intrusivas como las que están usando ahora. Básicamente, transmiten las ubicaciones de los usuarios a una base de datos gubernamental en tiempo real, lo que es poco probable que resulte necesario y proporcionado en el contexto de una respuesta de salud pública. La tecnología puede desempeñar una función de rastreo de contactos de gran utilidad para contener la COVID-19, pero la privacidad no puede ser una víctima más como consecuencia de las prisas de los gobiernos por implantar aplicaciones”.

Herramientas de vigilancia masiva
Las aplicaciones de rastreo de contactos de Bahréin, Kuwait y Noruega aplican un enfoque centralizado invasivo, que representa una grave amenaza para la privacidad. Estos sistemas captan los datos de ubicación por medio del GPS y los suben a una base de datos central, rastreando los movimientos de los usuarios en tiempo real. La aplicación “EHTERAZ” de Qatar ofrece la opción de activar el rastreo directo de contactos de todos los usuarios o de personas concretas (en el momento de redactar estas líneas está desactivado).

Las autoridades de todos estos países pueden vincular fácilmente esta información personal sensible con una persona, pues Qatar, Bahréin y Kuwait exigen a los usuarios registrase con un número de documento nacional de identidad, mientras que Noruega impone el registro con un número de teléfono válido.

Otras aplicaciones analizadas por Security Lab, como la “E7mi” de Túnez, también siguen un modelo centralizado, pero en lugar de registrar las coordinadas GPS, utilizan el escaneo de proximidad de Bluetooth para seguir los contactos entre usuarios en tiempo real. La aplicación “EHTERAZ” de Qatar registra y sube el contacto de Bluetooth entre los dispositivos de los usuarios, junto con las coordinadas GPS del encuentro.

En la aplicación qatarí se identificó una grave vulnerabilidad de seguridad que dejaba expuestos datos personales sensibles de más de un millón de personas. Esta vulnerabilidad era especialmente preocupante, pues el uso de la aplicación era obligatorio a partir del 22 de mayo. Se subsanó tras alertar Amnistía de ella a las autoridades al final de mayo. El fallo de seguridad habría permitido a ciberatacantes acceder a información personal altamente sensible, incluidos el nombre, documento nacional de identidad, estado de salud y ubicación de confinamiento asignada de los usuarios.

Las aplicaciones de rastreo de países como Emiratos Árabes Unidos, Francia e Islandia utilizan un modelo centralizado, pero la información sobre el contacto entre los dispositivos de los usuarios se sube solo si éstos deciden voluntariamente informar de que son sintomáticos o las autoridades de salud la solicitan. Estas subidas voluntarias y consentidas reducen al menos el riesgo de vigilancia masiva, ya que los datos no se suben automáticamente. El modelo centralizado de la aplicación de rastreo de contactos de Francia, sumado a la falta de transparencia sobre el modo de almacenar los datos, suscita la sospecha de que la información de los usuarios pueda dejar de ser anónima.

“Es necesario que, en todo el mundo, los gobiernos no se apresuren a implantar aplicaciones defectuosas y excesivamente intrusivas de rastreo de contactos, que no protejan los derechos humanos. Para que las aplicaciones de rastreo de contactos desempeñen una función efectiva en la lucha contra la COVID-19, las personas tienen que estar seguras de que se protegerá su privacidad”, ha afirmado Claudio Guarnieri.

Nuevas formas de vigilancia
La aplicación de Bahréin incluso estaba vinculada a un programa de televisión de ámbito nacional llamado “¿Estás en Casa?”, en el que se concedían premios por quedarse en casa durante el Ramadán. Con los datos de contacto recopilados por medio de la aplicación, se elegían cada día 10 números de teléfono al azar mediante un programa informático y se llamaba a ellos en directo para comprobar si los usuarios de la aplicación estaban en su casa. Si estaban, ganaban un premio. La inclusión en el sorteo del programa de televisión era obligatoria al principio, pero luego la Administración Electrónica y de Información de Bahréin añadió a la aplicación “BeAware Bahrain” una opción que permitía a los usuarios elegir no participar en el concurso televisivo. Las autoridades bahreiníes han publicado también en Internet información personal sensible de presuntos casos de COVID-19, incluidos el estado de salud, nacionalidad, edad, género e historial de viajes de una persona.

Las aplicaciones bahreiní y kuwaití pueden combinarse con una pulsera con Bluetooth que sirve para asegurarse de que el usuario está cerca del teléfono y hacer cumplir así las medidas de cuarentena. La kuwaití comprueba periódicamente la distancia entre la pulsera y el dispositivo y cada 10 minutos sube la ubicación a un servidor central.

Los datos de ubicación y la información adicional de diagnóstico de la pulsera con Bluetooth vinculada a la aplicación “BeAware Bahrain” se envían a un servidor central a intervalos frecuentes. Es obligatorio que todas las personas incluidas en los registros de cuarentena domiciliaria lleven la pulsera, y si no la llevan pueden ser sancionadas con arreglo a la Ley de Salud Pública Núm. 34 (2018), que permite imponer penas de hasta tres meses de prisión, multas de entre 1.000 y 10.000 dinares bahreiníes (alrededor de 2.700 y 27.000 dólares estadounidenses) o ambas cosas.

Privacidad y derechos humanos en el diseño
El rastreo de contactos es un componente importante de una respuesta eficaz a la pandemia, y las aplicaciones de rastreo de contactos pueden ser de utilidad con tal fin. Pero, para que sean compatibles con los derechos humanos, las aplicaciones de rastreo de contactos deben, entre otras cosas, incorporar en su diseño la protección de los datos y la privacidad, lo que significa que los datos recopilados deben ser los mínimos necesarios y almacenarse de forma segura. Toda recopilación de datos debe limitarse al control de la propagación de la COVID-19 y no tener ningún otro fin, como hacer cumplir la ley, velar por la seguridad nacional o controlar la inmigración. Tampoco debe ponerse a disposición de terceros ni destinarse a fines comerciales. La decisión individual de descargar y usar aplicaciones de rastreo de contactos debe ser completamente voluntaria. Debe protegerse la confidencialidad de todos los datos recopilados, incluso si se combinan con otros conjuntos de datos.

“Los gobiernos que implantan aplicaciones de rastreo de contacto con rastreo de ubicación en tiempo real tienen que replantearse su uso. Hay opciones mejores, que atienden la necesidad de rastrear la propagación de la enfermedad sin recopilar información personal sensible de millones de personas”, ha manifestado Claudio Guarnieri.

Resumen de las aplicaciones de rastreo de contactos analizadas por el Security Lab de Amnistía
La investigación de Amnistía Internacional sobre las aplicaciones de rastreo de la COVID-19 ha determinado que tienden a clasificarse en tres categorías. En primer lugar están las que no hacen en realidad rastreo digital de contactos, sino que permiten que los usuarios registren y comprueben voluntariamente sus síntomas (p. ej., las de Líbano y Vietnam).

En segundo lugar están las que utilizan un modelo descentralizado y menos invasivo de rastreo de contactos por Bluetooth, como las desarrolladas por Google y Apple. En las de este modelo, los datos se almacenan en el teléfono particular, no en una base de datos centralizada. Son las que se utilizan en países como Alemania, Austria, Irlanda y Suiza. Amnistía Internacional no llevó a cabo un examen técnico de las aplicaciones de este modelo, pues tienden a ser menos preocupantes desde el punto de vista de la privacidad y están todavía en proceso de implantación.

En tercer lugar están las aplicaciones de rastreo de contactos, que son las más peligrosos para los derechos humanos, pues están centralizadas, lo que supone que registran los datos captados por medio del sensor Bluetooth del teléfono, del GPS o de ambos y los suben a una base de datos gubernamental centralizada, y en algunos casos son de uso obligatorio. Amnistía Internacional escribió a las autoridades de Bahréin, Kuwait y Noruega antes de publicar los resultados de su investigación para comunicarles las vulnerabilidades de privacidad y seguridad de las aplicaciones. El 2 de junio, Amnistía Internacional compartió sus conclusiones con el Ministerio de Justicia y Seguridad Pública de Noruega, el Instituto Noruego de Salud Pública y la Agencia de Protección de datos del país. Amnistía se reunió con la persona responsable del desarrollo de la aplicación “Smittestopp” noruega el 10 de junio.

Aplicaciones problemáticas de rastreo de contactos de otras partes del mundo
Amnistía Internacional se centró concretamente en las aplicaciones de Europa, Oriente Medio y el Norte de África. Las investigaciones realizadas por ONG y organizaciones de medios de comunicación muestran que hay otras aplicaciones y plataformas digitales que plantean graves riesgos para los derechos humanos, entre ellas las de China, Etiopía y Guatemala.


Amnistía Internacional /  app /  Bahrein /  Noruega /  privacidad /