Una investigación de Amnistía Internacional revela que Bahréin, Kuwait yNoruega han implantado algunas de las aplicaciones de rastreo de contactoscontra la COVID-19 más invasivas del mundo, que ponenel peligro la privacidad y la seguridad de centenares de miles de personas.
El proyecto Security Lab deAmnistía ha examinado aplicaciones de rastreo de contactos de Europa,Oriente Medio y el Norte de África, realizando en concreto un detalladoanálisis técnico de 11 aplicaciones de Argelia, Bahréin, Emiratos ÁrabesUnidos, Francia, Islandia, Israel, Kuwait, Líbano, Noruega, Qatar y Túnez,algunas de las cuales son desde malas hasta peligrosas para los derechoshumanos.
Las aplicaciones “BeAwareBahrain”, “Shlonik” y “Smittestopp”, de Bahréin, Kuwait y Noruega,respectivamente, figuran entre las herramientas de vigilancia masiva másalarmantes evaluadas por Amnistía, porque las tres realizan rastreosdirectos o casi directos de ubicaciones de usuarios, subiendo las coordinadasGPS a un servidor central a intervalos frecuentes.
El lunes, el Gobiernonoruego anunció que frenaría el uso de su aplicación de rastreo. La decisiónse produjo pocas horas antes de que Amnistía Internacional publicara suanálisis y después de que la organización compartiera sus conclusiones conlas autoridades noruegas y la agencia de protección de datos del país el pasado2 de junio. Amnistía Internacional también se reunió con el jefe de desarrollode la aplicación "Smittestopp" el 10 de junio.
“Bahréin, Kuwait y Noruegaviolan la privacidad de las personas con invasivas herramientas devigilancia que superan los límites justificados para hacer frente a laCOVID-19. Estos gobiernos deben poner fin de inmediato al uso que se estáhaciendo en la actualidad de estas aplicaciones intrusivas”, ha afirmado ClaudioGuarnieri, director del proyecto Security Lab de Amnistía Internacional.
“Laaplicación noruega es muy invasiva y la decisión de frenar su utilización esla correcta. Instamos a los gobiernos de Bahréin y Kuwait a que tambiéndetengan inmediatamente el uso de aplicaciones intrusivas como las queestán usando ahora. Básicamente, transmiten lasubicaciones de los usuarios a una base de datos gubernamental en tiempo real,lo que es poco probable que resulte necesario y proporcionado en el contexto deuna respuesta de salud pública. La tecnología puede desempeñar una función derastreo de contactos de gran utilidad para contener la COVID-19, pero laprivacidad no puede ser una víctima más como consecuencia de las prisas de losgobiernos por implantar aplicaciones”.
Herramientas de vigilancia masiva
Las aplicaciones de rastreo de contactos de Bahréin, Kuwait y Noruega aplican un enfoque centralizado invasivo, que representa una grave amenaza para la privacidad. Estos sistemas captan los datos de ubicación por medio del GPS y los suben a una base de datos central, rastreando los movimientos de los usuarios en tiempo real. La aplicación “EHTERAZ” de Qatar ofrece la opción de activar el rastreo directo de contactos de todos los usuarios o de personas concretas (en el momento de redactar estas líneas está desactivado).
“Noruega: Suspender la aplicación de rastreo de contactos para la COVID-19, un gran logro para el derecho a la privacidad”
Las autoridades de todos estospaíses pueden vincular fácilmente esta información personal sensible con unapersona, pues Qatar, Bahréin y Kuwait exigen a los usuarios registrase conun número de documento nacional de identidad, mientras que Noruegaimpone el registro con un número de teléfono válido.
Otras aplicaciones analizadas porSecurity Lab, como la “E7mi” de Túnez, también siguen un modelocentralizado, pero en lugar de registrar las coordinadas GPS, utilizan elescaneo de proximidad de Bluetooth para seguir los contactos entre usuariosen tiempo real. La aplicación “EHTERAZ” de Qatar registra y sube el contactode Bluetooth entre los dispositivos de los usuarios, junto con lascoordinadas GPS del encuentro.
En la aplicación qataríse identificó una gravevulnerabilidad de seguridad que dejaba expuestos datos personales sensibles de más de unmillón de personas. Esta vulnerabilidad era especialmente preocupante, pues eluso de la aplicación era obligatorio a partir del 22 de mayo. Se subsanó trasalertar Amnistía de ella a las autoridades al final de mayo. El fallo deseguridad habría permitido a ciberatacantes acceder a información personalaltamente sensible, incluidos el nombre, documento nacional de identidad,estado de salud y ubicación de confinamiento asignada de los usuarios.
Las aplicaciones de rastreo depaíses como Emiratos Árabes Unidos, Francia e Islandiautilizan un modelo centralizado, pero la información sobre el contacto entrelos dispositivos de los usuarios se sube solo si éstos decidenvoluntariamente informar de que son sintomáticos o las autoridades de saludla solicitan. Estas subidas voluntarias y consentidas reducen al menos elriesgo de vigilancia masiva, ya que los datos no se suben automáticamente. Elmodelo centralizado de la aplicación de rastreo de contactos de Francia, sumadoa la falta de transparencia sobre el modo de almacenar los datos, suscita lasospecha de que la información de los usuarios pueda dejar de ser anónima.
“Es necesario que, en todo elmundo, los gobiernos no se apresuren a implantar aplicaciones defectuosas yexcesivamente intrusivas de rastreo de contactos, que no protejan los derechoshumanos. Para que las aplicaciones de rastreo de contactos desempeñen unafunción efectiva en la lucha contra la COVID-19, las personas tienen que estarseguras de que se protegerá su privacidad”, ha afirmado Claudio Guarnieri.
Nuevas formas devigilancia
La aplicación deBahréin incluso estaba vinculada a un programa detelevisión de ámbito nacional llamado “¿Estás en Casa?”, en el que seconcedían premios por quedarse en casa durante el Ramadán. Con los datos decontacto recopilados por medio de la aplicación, se elegían cada día 10 númerosde teléfono al azar mediante un programa informático y se llamaba a ellos en directopara comprobar si los usuarios de la aplicación estaban en su casa. Si estaban,ganaban un premio. La inclusión en el sorteo del programa de televisión eraobligatoria al principio, pero luego la Administración Electrónica y deInformación de Bahréin añadió a la aplicación “BeAware Bahrain”una opción que permitía a los usuarios elegir no participar en el concursotelevisivo. Las autoridades bahreiníes han publicado también en Internet informaciónpersonal sensible de presuntos casos de COVID-19, incluidos el estado de salud,nacionalidad, edad, género e historial de viajes de una persona.
Las aplicaciones bahreiní y kuwaitípueden combinarse con una pulsera con Bluetooth que sirve para asegurarse deque el usuario está cerca del teléfono y hacer cumplir así las medidas decuarentena. La kuwaití comprueba periódicamente la distancia entre lapulsera y el dispositivo y cada 10 minutos sube la ubicación a un servidorcentral.
Los datos de ubicación y la información adicional de diagnóstico de la pulsera con Bluetooth vinculada a la aplicación “BeAware Bahrain” se envían a un servidor central a intervalos frecuentes. Es obligatorio que todas las personas incluidas en los registros de cuarentena domiciliaria lleven la pulsera, y si no la llevan pueden ser sancionadas con arreglo a la Ley de Salud Pública Núm. 34 (2018), que permite imponer penas de hasta tres meses de prisión, multas de entre 1.000 y 10.000 dinares bahreiníes (alrededor de 2.700 y 27.000 dólares estadounidenses) o ambas cosas.
“Realizan rastreos directos o casi directos de ubicaciones de usuarios”
Privacidad y derechos humanos en eldiseño
El rastreo de contactos es uncomponente importante de una respuesta eficaz a la pandemia, y las aplicacionesde rastreo de contactos pueden ser de utilidad con tal fin. Pero, para que seancompatibles con los derechos humanos, las aplicaciones de rastreo de contactosdeben, entre otrascosas, incorporaren su diseño la protección de los datos y la privacidad, lo que significa quelos datos recopilados deben ser los mínimos necesarios y almacenarse de formasegura. Toda recopilación de datos debe limitarse al control de la propagaciónde la COVID-19 y no tener ningún otro fin, como hacer cumplir la ley, velar porla seguridad nacional o controlar la inmigración. Tampoco debe ponerse adisposición de terceros ni destinarse a fines comerciales. La decisiónindividual de descargar y usar aplicaciones de rastreo de contactos debe sercompletamente voluntaria. Debe protegerse la confidencialidad de todos losdatos recopilados, incluso si se combinan con otros conjuntos de datos.
“Los gobiernos que implantanaplicaciones de rastreo de contacto con rastreo de ubicación en tiempo realtienen que replantearse su uso. Hay opciones mejores, que atienden la necesidadde rastrear la propagación de la enfermedad sin recopilar información personalsensible de millones de personas”, ha manifestado Claudio Guarnieri.
Resumen de lasaplicaciones de rastreo de contactos analizadas por el Security Lab de Amnistía
La investigación deAmnistía Internacional sobre las aplicaciones de rastreo de la COVID-19 hadeterminado que tienden a clasificarse en tres categorías. En primer lugar,están las que no hacen en realidad rastreo digital de contactos, sino quepermiten que los usuarios registren y comprueben voluntariamente sus síntomas(p. ej., las de El Líbano y Vietnam).
En segundo lugar, estánlas que utilizan un modelo descentralizado y menos invasivo de rastreo decontactos por Bluetooth, como las desarrolladas por Google y Apple. En las deeste modelo, los datos se almacenan en el teléfono particular, no en una basede datos centralizada. Son las que se utilizan en países como Alemania,Austria, Irlanda y Suiza. Amnistía Internacional no llevó a cabo un examentécnico de las aplicaciones de este modelo, pues tienden a ser menospreocupantes desde el punto de vista de la privacidad y están todavía enproceso de implantación.
En tercer lugar, estánlas aplicaciones de rastreo de contactos, que son las más peligrosos para losderechos humanos, pues están centralizadas, lo que supone que registran losdatos captados por medio del sensor Bluetooth del teléfono, del GPS o de ambosy los suben a una base de datos gubernamental centralizada, y en algunos casosson de uso obligatorio.
Aplicacionesproblemáticas de rastreo de contactos de otras partes del mundo
Amnistía Internacionalse centró concretamente en las aplicaciones de Europa, Oriente Medio y el Nortede África. Las investigaciones realizadas por ONG y organizaciones de medios decomunicación muestran que hay otras aplicaciones y plataformas digitales queplantean graves riesgos para los derechos humanos, entre ellas las de China, Etiopía y Guatemala.