Director del Máster Universitario en Seguridad Informática de UNIR

Juan José Nombela: “Poco riesgo puede haber en la nueva app de rastreo cuando todo está encriptado y codificado”

61
Juan José Nombela UNIR
Juan José Nombela, director del Máster Universitario en Seguridad Informática de UNIR.

La Gomera ha sido la isla canaria elegida para desarrollar la primera aplicación piloto de rastreo de coronavirus y apoyo al sistema sanitario para luego hacerlo extensible a todo el territorio nacional. Esta misma semana se dará el pistoletazo de salida al ensayo, cuya realización está prevista entre el 29 de junio y el 13 de julio. Quince días para reproducir un brote simulado que permitirá comprobar si la app funciona bien. Si la prueba resulta exitosa, el despliegue definitivo estaría a punto para septiembre u octubre, tal y como prevén en la Secretaría de Estado de Digitalización e Inteligencia Artificial.

La aspiración es lograr 3.000 descargas entre los 22.000 habitantes de La Gomera. Una vez que tales ciudadanos tengan la app en el móvil, se generarán 300 positivos falsos. Y a partir de ahí comenzarán los cruces de datos para la detección de los supuestos contagiados; una información siempre descentralizada y cifrada para garantizar la privacidad, como no cesan de repetir las autoridades para despejar cualquier tipo de duda o temor. Precisamente, para poner los puntos sobre las íes en este tema, Juan José Nombela, director del máster en Seguridad Informática de la Universidad Internacional de la Rioja, UNIR, avanza sus opiniones sobre la eficacia y futuro de estas aplicaciones de rastreo que intentan frenar al virus.

¿De nuevo España algo rezagada para lanzar su app de rastreo, en comparación con otros países europeos? ¿El motivo ha sido la adjudicación, finalmente a Indra?

Bueno…, la verdad es que sí considero que volvemos a ir con retraso. Es un tema sanitario y de urgencia, pero al final los plazos burocráticos son los que son y se imponen. Hasta que se ha sabido que Indra sería la encargada, mediante un contrato suscrito de 330.00 euros, se ha tardado; sin embargo, el procedimiento aplicado ha sido el de emergencia. El tiempo es oro cuando se trata de la salud. Confiemos en que tras estas dos semanas que durará la prueba se acelere luego la implementación masiva, aunque parece que no se tiene esto previsto hasta después de verano, algo que me resulta chocante pues daba por hecho que sucedería antes.

O confiemos en que ese supuesto retardo que llevamos redunde en una mayor seguridad de la app..

Sería interesante, pero no tiene relación con los tiempos. La seguridad es máxima y para todos igual, al margen de los plazos, son las librerías de Apple y Google, las tecnológicas implicadas las que la proporcionan. En definitiva, esto consiste en la creación de una interfaz y cuenta con plenas garantías. Somos el cuarto país del mundo en lanzar un piloto con API (Interfaz de Programación de Aplicaciones de ambas compañías).

“La gente tiene miedo o desconfianza por pura desinformación o falta de conocimiento al respecto”

¿Entonces, por qué se habla ya del fiasco de la app de rastreo de Covid-19 en Francia, donde gran parte de la población no la ha activado y parece que, de los que sí lo hicieron, casi medio millón ha desinstalado?

Cierto que el país vecino no ha tenido la mejor experiencia, quizás por no haber existido demasiada preocupación por la privacidad y por preferir apostar por un desarrollo propio, al margen de grandes tecnológicas. Además, ha sido una prueba muy minoritaria, inferior al 3% de la población lo que tampoco ha conseguido la implicación, a mi parecer necesaria para que resulte efectivo. Al revés, se va empeorando por días y cerca de 25.000 personas parece haber desactivado StopCovid, por más que el gobierno francés dice que todo va bien.

Por suerte, en la otra cara, como caso de éxito tenemos a Alemania, con Corona-Warn-App, lanzada hace ya un par de semanas de la mano de la compañía de software SAP y Deutsche Telekom. Solo en las 24 primeras horas la acogida no pudo ser mejor: más de 6 millones de descargas. También incluye los sistemas de Apple y Google. Y España se basa en este mismo modelo.

Al final, la reacción de los ciudadanos depende mucho de la información que se dé sobre el tema. Es fundamental que sepan y conozcan los detalles. Por eso creo importante que, desde organismos e instituciones ajenas a estos proyectos, como es el caso de UNIR, hagamos un esfuerzo por difundir la necesidad de estas soluciones antiCovid y resaltemos sus garantías. La comunicación desde posiciones neutrales, creo que siempre cala mejor. Y a veces, la gente tiene miedo o desconfianza por pura desinformación o falta de conocimiento al respecto. Por desgracia, bulos al respecto ha habido unos cuantos.

¿Podría explicar de forma sencilla cómo funciona la app a través de bluetooth y cómo se protege al usuario?

Hablamos de una aplicación de código abierto y de un modelo descentralizado, ya interesante de cara tanto a estándares seguros como al funcionamiento más allá de fronteras. Esto no tiene nada que ver con lo que hizo Corea del Sur, como avanzadilla, para proteger del virus mediante tecnologías. Parece que su experiencia ha marcado, cuando aquí la protección de datos es mucho más rigurosa, no hablamos de una app obligatoria, tampoco se trata de geolocalización ni de vigilancia.

Esta propuesta nada tiene que ver con la de Corea.No hablamos de una app obligatoria ni se trata de geolocalizacion ni de vigilancia.

En la simulación de La Gomera se utilizará esa conexión bluetooth del terminal, que permite a los móviles emitir y observar identificadores anónimos de otros teléfonos. Si los dispositivos han estado próximos durante determinado periodo de tiempo – en concreto más de quince minutos y a una distancia menor a dos metros -, esta información queda guardada en el móvil (y solo en este). En caso de que uno de los usuarios fuera diagnosticado de Covid-19 empezaría el cotejo de todos esos datos guardados, siempre en forma de códigos aleatorios – nunca hay identificación de personas -, para buscar y aislar a otros posibles infectados. Es un procedimiento absolutamente anónimo, pues los datos nunca viajan a ningún servidor.

En Alemania, por ejemplo, ese código de barras que corresponde a cada usuario se da en el centro de salud directamente para acreditar esa probable ubicación del riesgo.

Habla de ‘ubicación’, ¿no puede ser ese el tema confuso, pues la instalación de la app de rastreo hace activar esta?

Es verdad que los sistemas operativos así lo requieren. La ubicación debe estar en activo, pero esto no es trascendente, es cuestión operativa. El cifrado de información está absolutamente garantizado, y creo que en UNIR de esto algo sabemos como expertos en criptografía, incluso creo poder decir que somos un referente.

Poco riesgo puede haber en la nueva app cuando en su rastreo todo va encriptado, codificado y con claves. Pero por supuesto, aún así hay que respetar su carácter voluntario.

“Cada persona pasa a ser un código, aquí no hay ni nombres ni precisiones de tiempo, ningún dato concreto”

Como experto en seguridad informática, ¿qué tecnologías destacaría en este desarrollo? ¿cómo se consigue ese protocolo descentralizado que avala?

Bueno, pues lógicamente se combina lo último en big data –pero con datos codificados, que nadie se alarme-, inteligencia artificial y también avances de ciberseguridad.

Y ya que mencionas lo de los avales, quisiera aprovechar para comentar que ha sido la propia Agencia de Protección de Datos la que ha dado el visto bueno a este piloto, aparte de otros organismos y entidades evaluadoras. No es una iniciativa de Gobierno, aunque las autoridades autonómicas entren en juego. Y es un sistema totalmente auditado y sin puertas traseras.

¿Cree que avisarán cuando se pueda activar?, porque sorpresivamente, una de las últimas actualizaciones de sistema operativo de Google y Apple ya ha dejado instalado el API hace semanas y casi nadie lo sabe

Sí que ha sido una sorpresa. Muchos la tenemos instalada sin haberlo descubierto hasta que no se juguetea con la configuración del móvil y te topas con ella entre las notificaciones.

Pero esto tiene también mucho que ver con nuestra inercia a la hora de aceptar los mensajes de actualizar sin leer casi nunca la letra pequeña. De todas formas, hasta que la app no se ejecute y sea llamada para trabajarla por encima, no sirve de nada tenerla.

¿Entonces pecamos de confiados, pero luego no nos fiamos de las apps de rastreo?

Más bien de inconscientes. Y de tener la falta de información que comentábamos antes. Es muy chocante que se sienta recelo hacia una aplicación de apoyo al sistema sanitario ante una pandemia de la envergadura de la actual, pero que, por el contrario, no nos preocupemos por otras que son puro divertimento – para poner nuestra cara más guapa o más joven o más mayor – que encima requieren dar permiso a la cámara y geolocalización, y que, por tanto, entrañan más riesgo.

Es muy chocante que se sienta recelo hacia una aplicacion  de apoyo al sistema sanitario y no nos preocupemos por otras que son puro divertimento y encima entrañan más riesgos

Será cuestión de ir comprobando eficacia sobre la marcha y ganando confianza conforme se avance.

¿Y todos esos códigos e informaciones que se van generando con el rastreo tecnológico, se van acumulando hasta el infinito?

No. La aplicación cuenta con una autolimpieza, que cada 14 días anula lo acumulado por defecto. Tampoco pasaría nada, pero por sentido práctico. Insisto, cada persona pasa a ser un código, aquí no hay ni nombres ni precisiones de tiempo, ningún dato concreto. La app solo sirve para saber si hay o no exposición y riesgo para un círculo de gente que ha estado próxima a una persona ‘x’ que se confirma infectada de coronavirus por PCR. ¿Hay posibilidad de contagio? Sí ó no; a estas dos opciones se reduce su planteamiento. Algo muy básico para la complejidad que hay detrás.

¿Y ese Sí/No, no puede ser tentador para hacer juegos o gastar bromas pesadas? ¿Hay blindaje a estos comportamientos?

Nada. ¡Ningún riesgo! También se ha hecho prevención en este sentido. Es que se ha pensado en todo, por eso nos gusta tanto la propuesta. Es imposible que haya falsas alarmas porque la aplicación no hace el rastreo sin una constatación firme de un organismo sanitario.

Sería peligroso, y aquí hay mucho en juego. La imagen de La Gomera, de cara al turismo; es decir de las Canarias y de todo un país, que ahora tiene la oportunidad de decir: quizás hemos hecho algunas cosas regular pero ahora demostramos que también podemos hacerlas bien y erradicar riesgos. Para la economía generar esta confianza es esencial.

Carme Artigas, secretaria de Estado para la Digitalización, decía esta misma semana que “si esto sale bien, será muy trascendente en materia de innovación”?

Totalmente de acuerdo. Es un proyecto de completa transcendencia en innovación, economía, salud…, en todo. Mitigar el Covid-19 en un 100% será imposible, pero es que, en esta situación, todo porcentaje es bienvenido. Aunque los resultados no vayan a ser la panacea, porque eso solo lo podrá ser la vacuna, sí va a ayudar muchísimo. Estoy convencido.

¿Cuánto va a tardar en descargársela una vez que den la salida?

En cuanto pueda, no lo dudes. Por el bien de mis conciudadanos y de mi familia; de todos. Ójala que el ejemplo de todos los que nos vayamos sumando y animando sea más contagioso que el propio virus. Soy optimista y un convencido 100% de su fiabilidad.