La app Covid Puebla, que buscaba dar un prediagnóstico de covid-19 cuentan con algunos errores de seguridad digital, dijeron expertos en tecnología y seguridad digital; también refieren que dichas herramientas no solucionan el problema que implica detectar los casos de infección

Texto: Fernando Merino Noriega / Lado B

Fotos: Olga Valeria Hernández / Lado B

Con el primer caso de covid-19 en México, algunos gobiernos estatales —entre ellos Puebla— lanzaron aplicaciones móviles que permitían una autoevaluación para detectar un posible contagio, sin embargo, los datos personales de al menos 69 mil personas fueron puestos en riesgo, según informó la empresa de ciberseguridad Seekurity tras analizar las aplicaciones de las entidades de Sonora, Chihuahua y Puebla. 

Seekurity señaló que la aplicación Covid Puebla puso en riesgo los datos personales de al menos 10 mil personas que descargaron la plataforma, ya que su código fuente permite autenticarse al servicio que da soporte; de esta forma la empresa de seguridad digital logró obtener los registros de 266 personas que la utilizaron, según declaró en una entrevista para MVS Radio el cofundador de Seekurity, Hiram Camarillo.

Además, Seekurity advierte que al iniciar la aplicación en Android, es posible interceptar la información que la herramienta envia a los servidodores que almacenan la información, lo que evidencia que “la aplicación no cuenta con las medidas de seguridad para proteger la información enviada y recibida”; esto puede provocar que se utilice la brecha para solicitar información sobre las y los usuarios.

La aplicación Covid Puebla funcionaba con base en tres cuestionarios: el primero solicitaba nombre, sexo, edad y fecha de nacimiento de la o el usuario. El segundo era sobre factores de riesgo estandarizados con la Secretaría de Salud Federal; y el último sobre los síntomas que pudieran indicar un contagio de covid-19.

De acuerdo con Seekurity, la aplicación además pedía número telefónico, estatus de seguridad social, municipio, código postal y geolocalización.  

La aplicación ya fue retirada de la tienda digital de Android, sistema para el cual fue diseñada, sin que hasta el momento exista una explicación por parte del Gobierno de Puebla para el equipo de Seekurity, ya que sólo se dio vista de recibido al reporte. El equipo de LADO B también intentó contactar vía telefónica a la Secretaría de Administración sin obtener respuesta. 

Con la premura en contra

Paul Aguilar, del equipo de seguridad digital de la asociación civil Social Tic, explicó en entrevista con LADO B que los gobiernos de México crean aplicaciones sin darles continuidad, lo que ha provocado que queden en el olvido porque desde el inicio no se tiene claro qué necesidad van a resolver. 

“Las aplicaciones salen con demasiada premura: no salen con un objetivo claro (…) es bastante complicado entender el porqué de una tecnología si no se entiende para qué, y en el tema de seguridad y manejo de datos tampoco hay demasiada transparencia”, destacó.

Hizo hincapié en la necesidad de resolver las fallas, ya que en el caso de Covid Puebla, el gobierno en vez de solucionar las vulnerabilidades prefirió retirar la aplicación de la tienda de Android. 

“La tecnología requiere mantenerse. (…) De nada sirve tener herramientas que están en el olvido o que solamente tuvieron una primera fase de desarrollo y que no se van seguir actualizando. Estas aplicaciones que salen en el reporte de Seekurity bien pueden tener errores, pero si el gobierno o los desarrolladores deciden corregirlos sin duda pueden mejorar”, señaló.

La falacia del “solucionismo tecnológico”

José Flores, de la Red en Defensa de los Derechos Digitales (R3D), mencionó en entrevista para LADO B que la creación de aplicaciones para atender todos los problemas públicos, en general, es algo que se conoce como “solucionismo tecnológico” (la tendencia a creer que la tecnología es la solución a todos los problemas). 

“Los gobiernos han tratado de recurrir a estas herramientas muchas veces sin los conocimientos técnicos precisos y sin las previsiones adecuadas en términos de privacidad y seguridad (…). No se trata de oponerse al uso de tecnologías para la contención de este tipo de problemas, especialmente en la salud pública, pero se necesita un trabajo mucho más minucioso, no una reacción intempestiva”.

En este sentido, Paul Aguilar comenta que un problema no se puede resolver de forma directa con una herramienta, lo que se requiere es plantear el problema y determinar objetivos, “y en función de esos objetivos alguna herramienta ayudará a cumplirlos”.

Asimismo, otro factor en contra de este tipo de herramientas es que solicitan datos personales que no son necesarios para poder usarlas, por lo que José Flores indica que “el estado no debe solicitar más datos personales de los que le son mínimamente indispensables para su funcionamiento”. 

En el caso particular de Covid Puebla el requisito de la geolocalización era innecesaria, y pone en evidencia la vulnerabilidad para obtener los registros; en caso que un atacante los obtenga se pondría en riesgo la vida del usuario, advierte José Flores.

La responsabilidad de la vulnerabilidad de datos

En estos casos es muy difícil fincar responsabilidades, pues, como Seekurity refiere en su informe, un problema para solucionar los errores es notificar a los gobiernos, ya que aunque no son ellos quienes desarrollan la tecnología, tampoco se aseguran de que haya transparencia sobre quién y cómo la crea. 

Paul Aguilar subrayó que la responsabilidad es compartida entre institución y desarrollador, pero no queda claro qué porcentaje le corresponde a cada uno. 

“[Al no ser] desarrolladores de tecnología por sí mismos, en la mayoría de los casos [las instituciones gubernamentales] tienen que contratar a un tercero (…) al cual le delegan la responsabilidad, [porque] confían que van a hacer el desarrollo adecuadamente, puesto que en teoría son expertos o especialistas”.

Si el gobierno tuviera políticas más transparentes o claras respecto a sus desarrollos tecnológicos, se podría precisar qué tanta responsabilidad recae en la dependencia y en el proveedor, agrega. 

Sobre los castigos que pudieran imponerse a los gobiernos, tampoco hay mucha claridad. Si se tratara de una entidad privada “estaríamos hablando de multas multimillonarias, dijo Hirám Camarillo en la entrevista radiofónica [con MVS Radio], por el incumplimiento a la Ley Federal de Protección de Datos Personales, pero aquí al gobierno no le van a dar una multa económica porque es él mismo quien las impone”.  

Al respecto, José Flores dijo que el gobierno tiene la obligación de notificar a los usuarios sobre la vulnerabilidad a la que estuvieron expuestos sus datos, algo que no ha ocurrido. Incluso, refirió, los afectados podrían iniciar un juicio de protección de datos ante el Instituto Nacional de Acceso a la Información, aunque eso lo determinarán los usuarios. 

El aprendizaje para los gobiernos

Aun después de evidenciar los fallos en las aplicaciones de Sonora, Chihuahua y Puebla, los gobiernos de estos dos primeros estados no han retirado de la tienda virtual sus aplicaciones, ni han hecho actualizaciones para solucionar los problemas. De acuerdo con el informe de Seekurity, se ha tratado de informar a la dependencias sobre la vulnerabilidad sin que hasta el momento hayan recibido una respuesta. 

Al respecto, José Flores destaca que las dependencias no deben presumir de implementar tecnologías, porque hasta el momento no la han hecho bien, y la forma de hacerlo debe obedecer “a los principios de necesidad y de proporcionalidad al uso de datos personales, ya que al final del día (…) son las personas las que quedan comprometidas, porque al ser información sensible podría representar un riesgo para su integridad”. 

Este trabajo fue publicado originalmente en LADO B que forma parte de la Alianza de Medios de la Red de Periodistas de a Pie. Aquí puedes consultar la publicación original

App COVID Puebla puso en riesgo datos personales de quienes la usaron