Desde hace más o menos un mes, el Gobierno Nacional y el Ministerio TIC lanzaron CoronApp, la aplicación oficial que ayuda al seguimiento de la pandemia de COVID-19 en Colombia.

La herramienta tiene dos funciones principales: la primera, dar información a los ciudadanos como medidas de prevención fuera y dentro de la casa, las 35 excepciones para salir y números de emergencia, entre otras cosas. En segundo lugar, se usa para facilitar el seguimiento de casos confirmados y sospechosos. De esta manera, si los síntomas de una persona corresponden a los del COVID-19 o tienen una evolución que corresponde al patrón de la enfermedad, se pueden generar alertas y obtener información para completar los mapas de la enfermedad que realiza el Instituto Nacional de Salud. Para que esto suceda es indispensable, por supuesto, que los usuarios actualicen su información de manera regular.

Por todo lo anterior, el hecho de tener una aplicación oficial ofrece varias ventajas para los usuarios y para las instituciones de salud durante y después del aislamiento. Sin embargo, muchos ciudadanos, fundaciones y grupos de defensa a la privacidad también han mencionado problemas, preocupaciones y dudas relacionadas con la aplicación. En Impacto TIC la descargamos, la usamos e hicimos el siguiente análisis.

La primera versión de CoronApp estuvo lista para descargar desde principios de marzo, según los registros de Apple. La versión de Android estuvo disponible al mismo tiempo, con funcionalidades similares, pero con una interfaz ligeramente distinta.

Examinando la aplicación

Empecemos mirando la aplicación como tal, es decir el código y las funciones que realiza en nuestros teléfonos. En su Play Store, Google detalla bien los permisos que pide la aplicación, dentro de los que se destaca el acceso a la ubicación precisa del usuario (del teléfono), la habilidad para hacer llamadas y el permiso para usar Bluetooth.

Podemos ver esto más específicamente usando la página Exodus, que muestra con mucho más detalle los permisos y los trackers en la aplicación. En la versión del 14 de abril vemos 2 trackers relacionados con analítica y seguimiento de problemas inesperados de la herramienta.

Sin embargo, la Fundación Karisma entregó un reporte muy completo desde la versión 1.2.29 hasta la 1.2.32 que contiene algunos de los reparos. En primer lugar, se corrobora la información de que versiones anteriores contenían permisos no necesarios. El acceso a los contactos era uno de ellos, así como contar con las API de Facebook y Google para registro (aunque esta opción nunca se ofreció a los usuarios). Para la versión 1.2.36 estos permisos ya no existen, y las únicas autorizaciones críticas que pide son las ya mencionadas al GPS, llamadas y Bluetooth.  

El acceso a la información del GPS es una de las mayores preocupaciones de los usuarios, que sienten amenazada su privacidad al darle la información precisa de su ubicación al gobierno. En nuestro uso de la aplicación, los permisos de llamadas y GPS son obligatorios durante la instalación, pero el GPS no es estrictamente necesario para su funcionamiento. Sin embargo, es útil para los usuario que quieren conocer la ubicación de los centros de salud más cercanos al lugar en el que se encuentran, una de las funciones de la herramienta. 

Las llamadas están programadas para conectarse con los números nacionales relacionados con la pandemia, como la línea de atención 192. Es ciertamente un añadido conveniente y resulta más fácil que memorizarlos en caso de una emergencia. Como no se ha implementado la función de proximidad prometida, el permiso necesario para Bluetooth es –al menos por ahora– enteramente innecesario. 

En cuanto al GPS, tiene ciertos usos adecuados, pero si tienen dudas, simplemente puede apagar esta característica antes de utilizar la aplicación. De la misma forma, se puede tener el Bluetooth desactivado, ya que no se utiliza en ningún momento.

Registro y uso general

Cuando se lanza por primera vez, la aplicación muestra un tutorial corto y luego nos lleva a la página de registro. El formulario pide el número de identificación y también un número de celular del usuario para confirmar el proceso. Sin embargo, este registro no es obligatorio y se puede saltar oprimiendo la opción que sale al final de la pantalla.

En caso de no registrarse, las funciones generales de la aplicaciones son las mismas. Pero el registro funciona como una herramienta de seguimiento del virus, de manera que se pueda hacer un seguimiento de los síntomas que usted o sus familiares tengan, para que esta información llegue más rápidamente a las entidades de salud.

Se presentaron ocasiones en las que la plataforma pedía una actualización de los síntomas cada vez que se abría la aplicación, pero esta situación no fue una constante para todos los usuarios. Para las personas a las que les sucedió resultaba al menos engorroso hacerlo cuando solamente necesitaban revisar alguna información. La app está diseñada para preguntar por síntomas diariamente, pero es especialmente importante que los usuarios sean juiciosos y responsables con la información que brindan, para que esta sea realmente relevante.

El apartado de cifras sobre el nuevo coronavirus tiene los datos actualizados constantemente, aunque el mapa virtual y otras gráficas muestran información muy general, que podrían perder relevancia para los usuarios que quieran información sobre zonas muy específicas (como una localidad en su ciudad, por ejemplo). 

La pestaña de cuidados, aunque bien organizada, pide a los usuarios descargar un archivo en PDF, mientras que en la pantalla después de registrar síntomas muestra la información directamente. ¿Por qué no unificar la forma de presentarla? Para el usuario promedio, seguramente resultará mejor si puede acceder a la información que requiere directamente desde la app, sin tener que pasarse a un lector de PDF.

¿Vulnerabilidades?

El grupo de seguridad ZeroFOX publicó un informe en el que decía que la información ingresada en el registro estaba viajando de forma insegura a los servidores en Estados Unidos. Que la información no se quede en Colombia no es un riesgo per se, pero sí requiere atención en cuanto a la forma como se transmite, para evitar problemas relacionados con el tratamiento de los datos. 

El reparo específico es que estos datos estaban viajando como texto plano, es decir que cualquier persona que pudiera interceptar el tráfico de la aplicación (tal y como lo hicieron Karisma y ZeroFOX) podría tener acceso fácil a información personal de los usuarios. Precisamente por esto es que se deben implementar protocolos de encriptación o cifrado para que no puedan ser robados. 

La vulnerabilidad fue debidamente reportada por ZeroFOX al Instituto Nacional de Salud (INS), y este ordenó una actualización para arreglar el problema en la versión del 29 de marzo. Esto significa que las descargas desde esa fecha deberían no tener vulnerabilidades aparentes y cumplir con lo que el mismo Ministerio TIC publicó; pero el análisis de Karisma de la versión 1.2.30 mostraba esta brecha todavía presente.

Vale la pena mencionar, sin embargo, que la aplicación está en actualización constante y que se han publicado hasta 14 versiones en menos de un mes. Los cambios van desde elementos puramente estéticos hasta funciones más vitales, pero esta dinámica sirve para mostrar que el desarrollo es bastante ágil.

Transparencia y control, las piedras en el camino

Carolina Botero, directora de Fundación Karisma, recordó durante la emisión del programa Mañanas Blu, del viernes 17 de abril, que es obligación del Gobierno ofrecer información oportuna y de manera transparente, por lo que cuestionó fallas en este proceso relacionados con la CoronApp.

Aunque destaca que la iniciativa de tener una aplicación que apoye el seguimiento de la pandemia es buena, es necesario tener claros los mecanismos de control y auditoría, tanto externos como internos, y no debe ser la ciudadanía quien esté haciendo veeduría de estos temas. En este sentido, se recordó el caso de Ingreso Solidario y el mal manejo de bases datos. ¿Cómo asegurar que no pasará lo mismo?

El gobierno debe hacer exámenes más exhaustivos, esa no es una tarea de la población civil. Es grave que se encuentren fallos.

Carolina Botero, directora de la Fundación Karisma.

Si bien nos hablan de casos exitosos de aplicaciones similares en Corea del Sur y China, cada uno es diferente, y se usaron dinámicas y tecnologías diferentes. Además, cada contexto es un universo distinto y China no es precisamente un ejemplo de libertad y privacidad; por el contrario, brilla por el control y la vigilancia.

¿Se usará todo lo que se usó en esos países?, ¿los datos quedan guardados en el teléfono o son compartidos? Aún falta claridad, aunque la intención detrás de esta aplicación sea buena.

Dice el reporte de la Fundación Karisma que, a la fecha, la Agencia Nacional Digital solo ha respondido lo siguiente:

“La solicitud de los permisos de geolocalización, redes WiFi y Bluetooth, así como el tratamiento de dichos datos, son necesarios para identificar la localización de los usuarios y el contacto cercano que éstos puedan tener con personas a su alrededor, toda vez que permitirá localizar a los ciudadanos con potenciales síntomas, posibles focos y cadenas de contagio del COVID-19, permitiendo al Instituto Nacional de Salud recopilar la información necesaria y oportuna para actuar con diligencia ante los grandes riesgos de propagación identificados en la población.”

Germán Rueda, viceministro de Economía Digital, dijo en el mismo espacio radial de Blu que los datos van directamente al INS y a las respectivas secretarías de salud del país, precisamente para que puedan hacer mapas, identificar cómo se propaga el virus, hacer cálculos y tomar decisiones.

Adicionalmente, el funcionario recalcó que los datos son “anonimizados“. Esto último quiere decir que, si bien hay un registro en la aplicación (y se parte de la buena fe al proveer esa información), al tratarse de datos anonimizados se desvinculan los datos personales para evitar la identificación del sujeto. Si bien el parte es tranquilizador para quienes se preocupan por la privacidad, ¿esta condición de anonimato permite realmente hacer un seguimiento de los casos más allá de la pura estadística?

El funcionario explicó que, si bien la aplicación es nueva, partió de experiencias previas que había realizado el INS y el equipo que está detrás del desarrollo es el de la Agencia Nacional Digital.

“No estamos obligando a nadie para compartir. En la medida en la que hemos visto problemas los hemos ido cerrando porque es un tema que nos tomamos muy seriamente”

Germán Rueda, viceministro de Economía Digital.

La inquietud, sin embargo, persiste. Si bien hay quienes piensan que ya se perdió la privacidad de la información y que empresas como Google o Facebook ya saben absolutamente todo de sus usuarios, lo cierto, en derecho, es que los datos pertenecen a cada persona y precisamente debe existir información clara y transparente sobre qué información se toma, para qué se utiliza, dónde se aloja y más variables.

¿Es de uso obligatorio?

Además de los ya citados reparos de seguridad, aparecieron titulares asegurando que el uso de la aplicación sería obligatorio, lo que causó molestia y preocupación en algunos sectores. ¿Cómo va a ser obligatorio el uso de una herramienta digital en un país donde siguen existiendo brechas de conectividad y acceso a dispositivos móviles?

Se conocieron publicaciones en las qu se menciona el eventual uso obligatorio de la aplición, a partir del 27 de abril. Sin embargo, hasta el momento no hay una referencia explícita que hable de obligatoriedad.

Víctor Muñoz, Alto Consejero para Asuntos Económicos y Transformación Digital, se refirió a la aplicación y su utilidad luego del 27 de abril como “un pasaporte de movilidad”, que servirá precisamente para especificar la excepción a la que se acoja el usuario, en caso de ser abordado por las autoridades y agregó que se parte el principio de la buena fe en el uso de la app. Hasta el momento, no hay una voz oficial que señale su uso como obligatorio.

¿Usarla o no?

Para que la aplicación sirva en el cuidado, diagnóstico y análisis, es necesario que la use la mayor cantidad de personas posible. Hasta el viernes 17 de abril, se sumaban 1,2 millones de instalaciones (lo cual no necesariamente se traduce en igual número de personas activas). Por eso se han creado incentivos para la descarga, como ofrecer navegación gratuita fuera de la aplicación (CoronApp no consume datos del plan del usuario).

De acuerdo con las estimaciones de investigadores de Oxford, este tipo de aplicaciones móviles deberían ser usadas por el 80% de la población en ciudades de 1 millón de habitantes. Para Mauricio Jaramillo, director de Impacto TIC, en zonas con baja densidad poblacional será útil para informar a los ciudadanos. “Pero la utilidad ‘novedosa’ de la aplicación, la geolocalización y el contact tracing por proximidad, creo que generaría impacto sobre todo en las grandes ciudades“.

Recordemos que, según el censo de población más reciente realizado por el Dane, Colombia tiene 48.258.494  habitantes. El 71,1 % está en las cabeceras municipales; el 7,1 % en centros poblados y 15,8 % zonas rurales.

Cada caso es diferente y existen varias posturas resguardadas en refranes populares como “el que nada debe nada teme” o que “de buenas intenciones está lleno el infierno”. Al final, las organizaciones que protegen la privacidad velan por el uso correcto de los datos y cumplen su labor a cabalidad, pero resulta al menos curioso que los usuarios comunes y corrientes no tengan reparos para compartir sus datos con las apps que los solicitan en las redes sociales sin tanta prevención.

Lo cierto es que la utilidad varía dependiendo de la zona y de la cantidad de personas que la use. El punto no es desestimular su uso, sino que se generen las garantías y la confianza suficiente para el uso responsable y seguro.

Foto de portada: Freepik