Las aplicaciones contra la pandemia, o jugando al gato y al ratón
Con una visión muy romántica de los poderes de la tecnología, nuestras autoridades creen que su uso les da soluciones infalibles para enfrentar la pandemia. Lo hacen sin explicaciones, sin decir siquiera cuáles son las probabilidades de éxito que le atribuyen. Así apareció CoronApp-Colombia en medio de la emergencia, como la solución tecnológica que respalda el Gobierno nacional, mientras a nivel local, se despliegan otras como Medellín Me Cuida y CaliValle Corona.
En Colombia nos estamos copiando de lo que hacen los gobiernos alrededor del mundo. También estamos explorando iniciativas diferentes a las del campo de la medicina y a las intervenciones clínicas, precisamente porque estas últimas no admiten experimentos a la carrera y decisiones sin rigor técnico y científico.
CoronApp Colombia, por ejemplo, fue presentada por el consejero presidencial para la transformación digital, Víctor Muñoz, como la síntesis de los aprendizajes de países como Singapur, España, Corea del Sur y Estados Unidos. Pero esos aprendizajes fueron incompletos: Singapur tiene un sitio web dedicado a toda la información oficial sobre su solución —que puede gustarnos o no—, incluido el código fuente de la misma para quien quiera mirarlo. CoronApp Colombia, en cambio, nos ofrece la foto de un tablero donde las autoridades de tecnología del país despliegan la estrategia de la aplicación nacional.
Ninguna de las tres herramientas está construida con transparencia. Carecemos de información oficial asociada a estas tecnologías donde se explique el modelo técnico, epidemiológico y de diseño de privacidad y seguridad donde indiquen para qué se usarán, durante cuánto tiempo existirán, qué hacen y cómo lo hacen. ¡Es sorprendente! Ni siquiera cumple con los mínimos legales de protección de datos. La ausencia de información contrasta con los anuncios públicos aspiracionales de las maravillas que las aplicaciones y la recolección desmedida de datos podrá hacer.
Con tan poca información es imposible entender cómo se articula la aplicación con el resto de la estrategia para contener la epidemia. ¿Cómo evaluarán su éxito, más allá del número de descargas?, ¿Cómo se incluye en la estrategia a la mitad de la población que está desconectada?, ¿Cómo garantizarán la calidad de los datos?, ¿Cómo evitaremos las diferentes formas de discriminación que pueden surgir de aplicar estas herramientas? o ¿Cómo se controlará este poder que adquiere el Ejecutivo?
El primer ejercicio que hicimos desde el Laboratorio de Seguridad Digital K+Lab de Fundación Karisma, fue un análisis técnico para evaluar estas herramientas. CoronApp-Col, Medellín Me Cuida y CaliValle Corona salieron mal paradas en materia de seguridad digital. Lo que encontramos se parece más a un experimento masivo de vigilancia de personas que a una herramienta para seguir al COVID-19. Vimos tácticas de recolección masiva de datos que más parece una estrategia para vigilar a las personas que para vigilar y contener el virus.
Encontramos vulnerabilidades importantes en todas las aplicaciones que fueron reparadas pero que pusieron en riesgo los datos de cientos de miles de personas usuarias, y eso que nuestra evaluación se limitó a análisis desde el exterior y no intrusivas ¿Qué se podría descubrir usando metodologías más profundas y sofisticadas?
La falta de transparencia que evidenciamos también se refleja en el hecho de que una cosa es lo que los gobiernos dicen que las aplicaciones hacen (la mayoría se limitan a mencionar que sirven para dar información y hacer seguimiento a síntomas), otra lo que pueden hacer (incluyen capacidades para localizar los dispositivos de las personas y otros a su alrededor), y otra lo que las autoridades quieren que hagan (usarlas a futuro como pase de movilidad). Todo esto afecta la confianza que estas aplicaciones deben crear.
Mientras nadie tiene claras las diferencias entre estas tres cosas, la aplicación sigue liberando funciones a toda velocidad. La actualización más reciente ya tiene algunas capacidades para servir de pasaporte de movilidad, como la compatibilidad con códigos QR… Como me dijo uno de los técnicos de Karisma, “esa aplicación ya es otra” y el gobierno no dijo nada.
Es normal que ante un problema global miremos cuáles medidas tecnológicas se están implementando en otros países. Esa búsqueda de opciones no debería hacerse sin hacer antes un análisis crítico de las razones específicas que en cada contexto particular justifican la adopción de tecnología y cómo se está haciendo. No deberíamos dejarnos llevar por promesas y declaraciones de éxito y buenas intenciones que no estén basadas en evidencias para atender la crisis sanitaria que estamos viviendo.
En todo caso, es comprensible que veamos qué soluciones tecnológicas pueden jugar un rol importante para contener la acelerada transmisión del COVID-19. Sin embargo, la máxima debería ser siempre que la tecnología no reemplaza la política pública, sino que entra a formar parte de ella. Y esto no está pasando en Colombia.
Video: ¿Quién tiene la vacuna contra el coronavirus?
Con una visión muy romántica de los poderes de la tecnología, nuestras autoridades creen que su uso les da soluciones infalibles para enfrentar la pandemia. Lo hacen sin explicaciones, sin decir siquiera cuáles son las probabilidades de éxito que le atribuyen. Así apareció CoronApp-Colombia en medio de la emergencia, como la solución tecnológica que respalda el Gobierno nacional, mientras a nivel local, se despliegan otras como Medellín Me Cuida y CaliValle Corona.
En Colombia nos estamos copiando de lo que hacen los gobiernos alrededor del mundo. También estamos explorando iniciativas diferentes a las del campo de la medicina y a las intervenciones clínicas, precisamente porque estas últimas no admiten experimentos a la carrera y decisiones sin rigor técnico y científico.
CoronApp Colombia, por ejemplo, fue presentada por el consejero presidencial para la transformación digital, Víctor Muñoz, como la síntesis de los aprendizajes de países como Singapur, España, Corea del Sur y Estados Unidos. Pero esos aprendizajes fueron incompletos: Singapur tiene un sitio web dedicado a toda la información oficial sobre su solución —que puede gustarnos o no—, incluido el código fuente de la misma para quien quiera mirarlo. CoronApp Colombia, en cambio, nos ofrece la foto de un tablero donde las autoridades de tecnología del país despliegan la estrategia de la aplicación nacional.
Ninguna de las tres herramientas está construida con transparencia. Carecemos de información oficial asociada a estas tecnologías donde se explique el modelo técnico, epidemiológico y de diseño de privacidad y seguridad donde indiquen para qué se usarán, durante cuánto tiempo existirán, qué hacen y cómo lo hacen. ¡Es sorprendente! Ni siquiera cumple con los mínimos legales de protección de datos. La ausencia de información contrasta con los anuncios públicos aspiracionales de las maravillas que las aplicaciones y la recolección desmedida de datos podrá hacer.
Con tan poca información es imposible entender cómo se articula la aplicación con el resto de la estrategia para contener la epidemia. ¿Cómo evaluarán su éxito, más allá del número de descargas?, ¿Cómo se incluye en la estrategia a la mitad de la población que está desconectada?, ¿Cómo garantizarán la calidad de los datos?, ¿Cómo evitaremos las diferentes formas de discriminación que pueden surgir de aplicar estas herramientas? o ¿Cómo se controlará este poder que adquiere el Ejecutivo?
El primer ejercicio que hicimos desde el Laboratorio de Seguridad Digital K+Lab de Fundación Karisma, fue un análisis técnico para evaluar estas herramientas. CoronApp-Col, Medellín Me Cuida y CaliValle Corona salieron mal paradas en materia de seguridad digital. Lo que encontramos se parece más a un experimento masivo de vigilancia de personas que a una herramienta para seguir al COVID-19. Vimos tácticas de recolección masiva de datos que más parece una estrategia para vigilar a las personas que para vigilar y contener el virus.
Encontramos vulnerabilidades importantes en todas las aplicaciones que fueron reparadas pero que pusieron en riesgo los datos de cientos de miles de personas usuarias, y eso que nuestra evaluación se limitó a análisis desde el exterior y no intrusivas ¿Qué se podría descubrir usando metodologías más profundas y sofisticadas?
La falta de transparencia que evidenciamos también se refleja en el hecho de que una cosa es lo que los gobiernos dicen que las aplicaciones hacen (la mayoría se limitan a mencionar que sirven para dar información y hacer seguimiento a síntomas), otra lo que pueden hacer (incluyen capacidades para localizar los dispositivos de las personas y otros a su alrededor), y otra lo que las autoridades quieren que hagan (usarlas a futuro como pase de movilidad). Todo esto afecta la confianza que estas aplicaciones deben crear.
Mientras nadie tiene claras las diferencias entre estas tres cosas, la aplicación sigue liberando funciones a toda velocidad. La actualización más reciente ya tiene algunas capacidades para servir de pasaporte de movilidad, como la compatibilidad con códigos QR… Como me dijo uno de los técnicos de Karisma, “esa aplicación ya es otra” y el gobierno no dijo nada.
Es normal que ante un problema global miremos cuáles medidas tecnológicas se están implementando en otros países. Esa búsqueda de opciones no debería hacerse sin hacer antes un análisis crítico de las razones específicas que en cada contexto particular justifican la adopción de tecnología y cómo se está haciendo. No deberíamos dejarnos llevar por promesas y declaraciones de éxito y buenas intenciones que no estén basadas en evidencias para atender la crisis sanitaria que estamos viviendo.
En todo caso, es comprensible que veamos qué soluciones tecnológicas pueden jugar un rol importante para contener la acelerada transmisión del COVID-19. Sin embargo, la máxima debería ser siempre que la tecnología no reemplaza la política pública, sino que entra a formar parte de ella. Y esto no está pasando en Colombia.
Video: ¿Quién tiene la vacuna contra el coronavirus?