El Consorcio Europeo de Rastreo de Contactos se enfrenta a una ola de deserciones por preocupaciones sobre la centralización

Investigadores europeos están generando alarmas sobre la dirección del rastreo de contactos en la UE en medio de preocupaciones de que países como Francia y Alemania podrían elegir un sistema centralizado que ponga en riesgo la Privacidad personal.

El grupo de académicos, organizaciones y empresas que ayudan a desarrollar la Tecnología subyacente para varias naciones de la UE, conocido como el consorcio European Privacy-Preserving Proximity Tracing (PEPP-PT), enfrentó una ola de críticas durante el fin de semana por parte de los investigadores.

Prestigiosas universidades de investigación como la ETH de Zúrich, la Escuela Tecnología Federal de Lausana (EPFL) y la Universidad Católica de Lovaina, entre otras, que habían formado la Rastreo de proximidad descentralizado que preserva la privacidad (DP3T)iniciativa – se retiró del consorcio debido a lo que llamaron una falta de transparencia y compromiso a la hora de ofrecer una solución descentralizada de rastreo de contactos.

Ver también:Protocolo descentralizado eliminado del sitio web de rastreo de contactos de la UE sin previo aviso

“Nos fuimos porque no podemos ser parte de una organización que no es transparente en cómo se toman las decisiones, en su diseño y en su código”, dijo Carmela Troncoso, profesora adjunta con permanencia en el Instituto Federal Suizo de Tecnología de Lausana y quien estaba ayudando a dirigir las negociaciones en torno a la DP3T propuesta dentro del consorcio, dijo a CoinDesk en un mensaje directo.

El rastreo de contactos es el proceso mediante el cual las autoridades sanitarias rastrean la propagación del virus, identificando quiénes han estado en contacto con personas infectadas y, por lo tanto, deben permanecer en cuarentena. Los países implementan este proceso mediante el rastreo de ubicación de teléfonos celulares, reconocimiento facial, pases sanitarios digitales que restringen el movimiento y rastreo de proximidad por Bluetooth.

Google y Apple han anunciadoun plan para actualizar sus sistemas operativos móviles para permitir el rastreo de Bluetooth. Ese proyecto ha sido criticado por motivos de Privacidad por dejar fuera a muchas personas que no tienen el tipo correcto de teléfonos inteligentesy por serinviable si no se realizan pruebas generalizadas.La falta de pruebas dificultaría cualquier método de rastreo de contactos, ya que sería difícil determinar quién estaba realmente enfermo, dado que muchos portadores de COVID-19 son asintomáticos. En ese caso, se reduce el rastreo de contactos al rastreo puro.

No nos centramos en la descentralización solo porque, en principio, pensemos que sería mejor tener esta aplicación que preserva la Privacidad . En realidad, necesitamos convencer al público en general.

El PEPP-PT se convocó para ofrecer propuestas respetuosas de la privacidad que se alinearían con el recientemente instituido Reglamento General de Protección de Datos (GDPR), que garantiza una mayor Privacidad y protección de datos para los ciudadanos de la UE que la que se aplica actualmente en los EE. UU.

Las salidas se producen después de que el PEPP-PT eliminara cualquier mención a la propuesta de protocolo descentralizado.DP3Tdesde su sitio web el jueves, incitando confusión y frustración en el equipo de DP3T, a quien no se le informó de antemano.

En respuesta a una Request de comentarios, el PEPP-PT dijo que se trató de una mala comunicación de su parte y que lamentaba profundamente cualquier ofensa.

En un correo electrónico enviado el viernes por la tarde a Hans-Christian Boos, ONE de los directores de PEPP-PT, Kenneth Paterson, profesor del Grupo de Criptografía Aplicada del Departamento de Informática de la ETH de Zúrich y que trabaja en DP3T, le pidió que "eliminara de inmediato toda mención a la ETH de Zúrich y su logotipo del sitio web de ETH -PT y de todos los demás materiales asociados con PEPP-PT".

Ver también:Para que el rastreo de contactos funcione, los estadounidenses tendrán que confiar en Google y Apple

En el mismo correo electrónico, Paterson dijo que los objetivos de ETH Zurich parecen estar mejor alineados con la iniciativa DP3T.

La secuencia de Eventos de hoy dejó mi confianza en PEPP-PT muy afectada. PEPP-PT prometió publicar documentos hoy. Publicaron ONE solo, durante cinco minutos. Esto ha pasado de ser una broma a una farsa, declaró Paterson a CoinDesk en un correo electrónico el viernes por la noche.

Paterson hace referencia a un PDF corto que se cargó brevemente en GitHub de PEPP-PT pero luego se eliminó.

Varios criptógrafos que revisaron el PDF dijeron que no podían hacer comentarios sobre las protecciones de Privacidad o seguridad porque el documento era muy vago, y ONE lo comparó con el primer borrador del ensayo de un estudiante universitario de primer año escrito poco antes de la fecha límite.

Al día siguiente, PEPP-PT publicó unlista completa de documentosy una versión más detallada de su protocolo.

“Los países y sus desarrolladores de aplicaciones deberían poder elegir la opción que mejor se adapte a sus necesidades de gestión de la pandemia. Todos los modelos ofrecidos o en debate por PEPP-PT garantizan la Privacidad ”, declaró un responsable de relaciones públicas de PEPP-PT cuando CoinDesk preguntó si se había decidido una alternativa al método descentralizado.

Un enfoque descentralizado significa que una agencia gubernamental no podría abusar de esa confianza incluso si quisiera.

El funcionario dijo que el sistema PEPP-PT tiene muchos componentes y que los países tendrán modelos de transferencia de datos descentralizados y centralizados para que los desarrolladores de sus aplicaciones puedan elegir.

Los críticos han dicho durante mucho tiempo que un enfoque centralizado podría ser objeto de abuso, incluso cuando varios países han dicho que planean crear aplicaciones basadas en el protocolo PEPP-PT.

“Ahora tenemos muchos gobiernos interactuando”, dijo Boos de PEPP-PT a los periodistas en una llamada el viernes,según TechCrunchAlgunos gobiernos están declarando públicamente que sus aplicaciones locales se basarán en los principios del PEPP-PT y en los diversos protocolos incluidos en esta iniciativa.

En el rastreo de contactos por Bluetooth, los dispositivos que se acercan comparten identificadores seudonimizados. La diferencia entre un enfoque centralizado y uno descentralizado radica en dónde se almacenan esos datos: en el servidor confiable de una organización sanitaria gubernamental o estatal, o localmente en el dispositivo de una persona, donde un servidor solo transmite la información cuando es necesario.

En un escenario centralizado, se espera que los usuarios confíen en que ningún estado ni agencia de seguridad abusará de la información almacenada en un servidor. Para los defensores de la Privacidad , leyes como el RGPD no son suficientes para un sistema nacional sensible. Buscan la Privacidad desde el diseño. Un enfoque descentralizado significa que una agencia gubernamental no podría abusar de esa confianza, incluso si quisiera, porque no existiría un repositorio centralizado de datos.

Ver también:Europa debate un rastreo de contactos de la COVID-19 que respete la Privacidad

“El servidor genera los seudónimos en la fase de configuración, los envía al cliente a través de la seguridad de la capa de transporte y los almacena permanentemente en el servidor en una base de datos relacional vinculada a la información del usuario”, dijo un criptógrafo, Nadim Kobeissi, que dirige la firma de consultoría de criptografía aplicada Symbolic Software, después de revisar la documentación del protocolo PEPP-PT.

¿Cómo es posible que eso preserve la Privacidad ? Es decir, ¿para qué molestarse en crear un conjunto de medidas si así es como se empieza? ¿Para qué empezar con semejante desventaja?

INRIA, el instituto nacional francés de investigación en ciencias digitales y miembro fundador de PEPP-PT, está trabajando en un enfoque centralizado, que publicó enGitHubDurante el fin de semana, argumenta que el debate entre centralización y descentralización es engañoso y que un enfoque totalmente descentralizado no es realista para el rastreo de proximidad.

Los defensores de un enfoque centralizado afirman que con ese modelo se puede proteger la Privacidad y que los datos se pueden analizar mejor y conducir a mejores modelos epidemiológicos.

Pero el lunes por la mañana, un grupo de más de 300 académicos de más de 25 paísespublicó una declaración conjuntaRecomendar que se adopten enfoques descentralizados cuando se trata de aplicaciones de rastreo de contactos.

James Larus, decano de la Escuela de Ciencias de la Computación y las Comunicaciones del Instituto Federal Suizo de Tecnología de Lausana, quien ayudó a redactar la declaración, dijo que claramente se refiere a la propuesta PEPP-PT y la ligera variante emitida por INRIA (ROBERT), "ambas son propuestas centralizadas que requieren un alto grado de confianza en el servidor centralizado, con el claro potencial de 'expansión de la misión' donde el sistema se reutiliza para vigilancia".

Estos sistemas pueden “obstaculizar catastróficamente la confianza y la aceptación de dicha aplicación por parte de la sociedad en general” y, por lo tanto, perjudicar la eficacia de cualquier aplicación contra la COVID-19, que depende de cuántas personas la utilicen.

“La gente tiene que creer que no va a perder su Privacidad”, dijo Larus. “Usar estas aplicaciones es voluntario. No nos centramos en la descentralización solo porque, por principio, pensemos que sería mejor tener esta aplicación que preserva la privacidad. En realidad, necesitamos convencer al público en general”.