La ‘app’ Radar Covid ha tenido una brecha de seguridad desde su lanzamiento | Tecnología

La ‘app’ Radar Covid ha tenido una brecha de seguridad desde su lanzamiento | Tecnología


Cuando un usuario de Radar Covid recibe la confirmación de su positivo, las autoridades de su comunidad autónoma deben darle un código. Si decide introducirlo en la app, su móvil mandará a un servidor las claves que ha compartido en los últimos días al estar cerca de otros usuarios. Esas claves son las que permitirán al resto de usuarios comprobar si han estado cerca del nuevo positivo. Así, solo hay un momento en que los usuarios suben claves al servidor de Radar Covid: cuando son positivos. Aunque ese tráfico esté cifrado y el contenido de la comunicación sea anónimo, si hay subida al servidor implica que el usuario es positivo. Quien tenga acceso al tráfico, por tanto, sabe quién lo es.

La opción de acceso a esa información no está al alcance de cualquier usuario, pero su explotación va más allá de las operadoras telefónicas y de Internet. La empresa Amazon también tiene acceso a esa información: la subida al servidor se hace con un software de la compañía estadounidense, con lo que también puede comprobar qué móviles mandaban positivos. Además de grandes empresas, también tendría acceso cualquier individuo o empresa con la opción de entrar a la misma red wifi desde la que se envían las claves.

Otras apps de rastreo de contactos europeas solucionaban este problema de una manera fácil de entender: simulan tráfico falso desde móviles aleatorios para que desde fuera no pueda concluirse quién sube un positivo real y quién manda un paquete de datos falsos que el servidor sabe que lo son. La app española Radar Covid no lo hace. El problema, cuya existencia ya publicó EL PAÍS, fue subsanada, según el Gobierno, el pasado 9 de octubre. “No se ha comunicado al público en general, porque esa posible vulnerabilidad tiene un alcance muy limitado, dado que solo podría ser explotada por el operador de comunicaciones”, han explicado a EL PAÍS fuentes de la Secretaria de Estado de Inteligencia Artificial, encargada de impulsar la app.

La posibilidad de acceso no implica que se haya explotado, aunque en realidad no se sabe. No hay pruebas de que la brecha haya sido aprovechada, pero existía y, como tal, debía ser reparada. También las empresas con posibilidad de acceso tenían que querer hacerlo: es como dejar una puerta cerrada sin llave; para ver qué hay al otro lado hay que hacer el ejercicio de abrirla. Es un esfuerzo anodino, pero hay que ejecutarlo y no es algo banal con este tipo de datos. Tampoco es algo que pueda hacerse después. Debe ser en directo, a no ser que se registrara. El Gobierno ha dejado pasar varias semanas desde que tuvo la confirmación de esta vulnerabilidad. La Secretaría de Estado anunció en su cuenta oficial que este problema ya había sido solucionado con la última actualización.

La legislación europea y española obliga al Gobierno a comunicar a la Agencia Española de Protección de Datos (AEPD) y al público la existencia de una brecha. La información a la AEPD se hizo, según fuentes de Secretaría de Estado, “la semana del 5 de octubre”. Esa comunicación no se realizó según un procedimiento establecido por la ley para casos graves, pero la AEPD confirma por su lado que esa comunicación se produjo de algún modo. El nivel de notificación, según fuentes de la AEPD, es algo que debe valorar cada responsable del tratamiento según lo que dice el Reglamento de Protección de Datos. Así lo hizo la Secretaría de Estado: “La vulnerabilidad no se hizo pública porque no ha habido constancia de una violación de la seguridad de los datos personales, tal como recoge el artículo 33 del Reglamento”, dicen fuentes oficiales del Gobierno. Según su criterio, habría actuado correctamente.

La AEPD, por su parte, tiene un procedimiento abierto y no hace ningún comentario sobre la gravedad de la brecha. En cualquier caso, su resolución no es inminente. Cuando llegue, es probable que Radar Covid haya dejado de ser una herramienta importante para la pandemia, aunque quizá el rastreo de contactos es algo que tiene algún tipo de vigencia. Este problema muestra que el desarrollo de una app que trata datos sensibles tiene más retos de privacidad de lo que puede parecer. Más aún si es el Gobierno quien la crea.

Las consecuencias jurídicas de la brecha pueden ir sin embargo más allá de lo que diga la Secretaría de Estado. “Desde el punto de vista jurídico hay un problema de protección de datos”, dice Miquel Peguera, profesor de Derecho de la Universitat Oberta de Catalunya. “Hay una vulneración del principio de transparencia porque el interesado no tiene un conocimiento claro de qué pasa con estos datos y de si eso podrá ser identificable por alguien. Hay una brecha de seguridad porque los datos no están protegidos para que terceros no tengan acceso”.

La triste suerte del Gobierno es que el escaso éxito provisional de Radar Covid ha provocado que el escándalo o el peligro por esta vulnerabilidad no sea mayor. Las comunidades autónomas siguen repartiendo códigos a positivos de un modo desigual. Madrid acaba de empezar y Cataluña sigue al margen de la app, sin fecha de despliegue. Otras comunidades avanzan también a ritmos distintos. La incorporación de Madrid permitió vislumbrar que algo iba a mejorar, pero sigue rondando el 1% de positivos reportados en toda España: por cada 10.000 positivos, algo más de 100 se introducen en Radar Covid. “Cuando se empezaron a dar los códigos en la Comunidad de Madrid pasamos de estar por debajo del 0,8% a sobre el 1,2%, pero ahora está bastante estable sobre esos rangos entre el 1% y el 1,4%”, dice el ingeniero Pedro José Pereira, creador de la cuenta de Twitter @radarcovidstats, que analiza precisamente el tráfico al servidor.

Puedes seguir a EL PAÍS TECNOLOGÍA RETINA en Facebook, Twitter, Instagram o suscribirte aquí a nuestra Newsletter.

Lo más vendido de tecnología informática

Bestseller No. 1
Hp Elite 8300 SFF - Ordenador de sobremesa (Intel Core i5-3470, 3.2 GHz, 8GB de RAM, Disco SSD de 240GB + 500GB HDD, Lector, Windows 10 Pro ES 64) (Reacondicionado)
  • Procesador Intel Core i5-3470 caché de 6M, hasta 3,60 GHz
  • Memoria RAM de 8 GB, de tipo DDR3
  • Almacenamiento de SSD 240GB + 500GB HDD
  • Sistema operativo Windows 10 Professional
Bestseller No. 2
Hp Elite 8300 - Ordenador de sobremesa (Intel Core i5-3470, 8GB de RAM, Disco HDD de 500GB, Lector DVD, Windows 10 PRO ES 64) - Negro (Reacondicionado)
  • Ordenador de sobremesa HP 8300 SFF (Intel Core i5-3470 @ 3,2GHz (Quad Core), Memoria 8GB, Disco Duro de 500HDD DVD, WINDOWS 10 PRO ES 64)
  • Tarjeta grafica Intel Graphics HD, Sonido High DEF Audio, Tarjeta de RED - LAN: Gigabit Ethernet, Expansion: (1) PCI; (1) PCIe x1; (1) PCIe x4; (1) PCIe x16, Puertos: (4) USB 3.0 (6) USB 2.0 (1) RJ45 (1) PUERTO SERIE (1) Displayport (1) VGA
  • Contenido de la caja : El articulo + Adaptador de corriente/cable de corriente; factura
  • Dimensiones: 10.0 x 33.8 x 37.9 cm (4.0 x 13.3 x 14.9 in), Peso 7.6 kg (16.7 lb)
Bestseller No. 3
Lenovo IdeaPad 3 - Portátil 15.6" FullHD (Intel Core i5-1035G1, 8GB RAM, 512GB SSD, Intel UHD Graphics, Windows 10 Home), Color gris - Teclado QWERTY Español
  • Pantalla de 15.6" FullHD 1920x1080 píxeles, TN, 220nits
  • Procesador Intel Core i5-1035G1 (4C / 8T, 1.0 / 3.6GHz, 6MB)
  • Memoria RAM de 8GB (4GB Soldered DDR4-2666 + 4GB SO-DIMM DDR4-2666)
  • Almacenamiento de 512GB SSD M.2 2242 PCIe NVMe 3.0x2
  • Tarjeta gráfica Integrada Intel UHD Graphics
Bestseller No. 4
Hp Elite 8300 - Ordenador de sobremesa (Intel Core i5-3470, 8GB de RAM, Disco SSD de 240GB, Lector DVD, Windows 10 PRO ES 64) - Negro (Reacondicionado)
  • Ordenador de sobremesa HP 8300 SFF (Intel Core i5-3470 @ 3,2GHz (Quad Core), Memoria 8GB, Disco SSD de 240GB, DVD, WINDOWS 10 PRO ES 64)
  • Tarjeta grafica Intel Graphics HD, Sonido High DEF Audio, Tarjeta de RED - LAN: Gigabit Ethernet, Expansion: (1) PCI; (1) PCIe x1; (1) PCIe x4; (1) PCIe x16, Puertos: (4) USB 3.0 (6) USB 2.0 (1) RJ45 (1) PUERTO SERIE (1) Displayport (1) VGA
  • Contenido de la caja : El articulo + Adaptador de corriente/cable de corriente; factura
  • Dimensiones: 10.0 x 33.8 x 37.9 cm (4.0 x 13.3 x 14.9 in), Peso 7.6 kg (16.7 lb)
Bestseller No. 5
ASUS Chromebook Z1500CN-EJ0165 - Ordenador portátil de 15.6" FullHD (Intel Pentium N4200, 8GB RAM, 64GB EMMC, Intel HD Graphics 505, Chrome OS) Plata - Teclado QWERTY Español
  • Pantalla de 15.6" FullHD (1920x1080)
  • Procesador Intel Pentium N4200 (4 nucleos, 2 MB Cache, 1.1 GHz hasta 2.5 GHz)
  • Memoria RAM de 8 GB LPDDR4, 2400 MHz
  • Almacenamiento de 64GB EMMC
  • Tarjeta gráfica integrada Intel HD Graphics 505

Fuente original