Europa debate un rastreo de contactos de la COVID-19 que respete la Privacidad

Este fin de semana, Google y Apple anunciaron una importante colaboración contra el coronavirus. En los próximos meses, implementarán...actualizaciones de sus sistemas operativos Para habilitar el rastreo de contactos, el proceso de identificar a los portadores del coronavirus para aislarlos de la población sana. El sistema rastreará con quién entras en contacto registrando cuándo tu Bluetooth se conecta con otros dispositivos NEAR .

El rastreo de contactos precede a Google y Apple, por supuesto. Durante la crisis del ébola de 2014-2016 en África Occidental, la Organización Mundial de la Salud realizó extensas entrevistas sobre el terreno con personas sobre sus lugares de residencia y con quiénes entraron en contacto. Se les indicó que estuvieran atentos a los síntomas y que se pusieran en cuarentena según fuera necesario.

Todos los países afectados por el coronavirus están adoptando su propia versión de rastreo de contactos y casi todos se están digitalizando, aprovechando los teléfonos inteligentes que llevan las personas en el bolsillo mediante Bluetooth o datos de geolocalización. La forma en que lo hacen refleja las leyes y normas locales sobre el uso de datos personales y el derecho a la Privacidad de las personas. Por ejemplo, el rastreo de contactos en la Unión Europea debe cumplir con la ley de Privacidad de la UE, el RGPD, que otorga a los europeos un mayor control sobre sus datos del que disfrutan actualmente los estadounidenses.

Ver también:Zoom tiene problemas de Privacidad : aquí hay algunas alternativas

El Rastreo de proximidad paneuropeo para la preservación de la privacidad (PEPP-PT)https://www.pepp-pt.org/, un consorcio de más de 130 organizaciones de investigación de ocho países, está elaborando una variedad de propuestas diferentes para el rastreo de contactos, incluidas las siguientes:Rastreo de proximidad descentralizado que preserva la privacidad (DP-3T) Iniciativa respaldada por 25 investigadores académicos. El PEPP-PT podría ofrecer un modelo para proteger la Privacidad mientras se lleva a cabo la vigilancia necesaria de las enfermedades, argumentan.

“Este sistema es muy bueno porque no tiene fugas”, dice Claudia Díaz, profesora asociada e investigadora de la Katholieke Universiteit Leuven y científica jefa de Nym, una Protocolo de código abierto, descentralizado y sin permisos.“Es muy difícil extraer información significativa de lo visible, porque solo hay unas claves aleatorias y nadie puede entenderlas a menos que interactúe con esa persona”.

El debate en Europa sobre cómo llevar a cabo el rastreo de contactos define las preguntas que Estados Unidos deberá responder con su propio sistema de rastreo de contactos. Estas incluyen cómo KEEP el anonimato absoluto de las identificaciones de Bluetooth de los usuarios, cómo asegurar la carga de datos de Bluetooth a los servidores y cómo podría ser un enfoque descentralizado y abierto.

La propuesta DP-3T

DP-3T es como el de Singapuraplicación nacional TraceTogether, que monitorea el intercambio de señales Bluetooth con otros usuarios de la aplicación. Si se diagnostica coronavirus a una persona, esta puede optar por permitir que el gobierno acceda a su aplicación y ver qué otros teléfonos estaban NEAR o con los que se cruzaron, para alertarla. El sistema crea un ID aleatorio para los números de teléfono de las personas, que se intercambian entre teléfonos, en lugar del número de teléfono real.

DP-3T procesa los datos de rastreo de contactos localmente en el dispositivo del usuario. Luego, cuando una persona recibe un diagnóstico oficial de coronavirus, una agencia sanitaria autoriza la carga de un registro de contactos Bluetooth, cada uno con un ID aleatorio que cambia periódicamente. Posteriormente, envía esos ID Bluetooth de la persona infectada a otros dispositivos para verificar si se ha producido una coincidencia dentro de su propio registro de contactos Bluetooth y, en caso de contacto, alerta al usuario del dispositivo.

Gracias a este diseño, las identificaciones aleatorias no necesitan centralizarse de ninguna manera, lo que limita los riesgos Privacidad , así como la posible reapropiación de datos para otros fines, como la vigilancia estatal, según los investigadores. El diseño fomentaría la confianza en las aplicaciones desarrolladas con el protocolo, aumentando su probabilidad de descarga y, por lo tanto, su eficacia, argumentan.

Un enfoque centralizado aumenta el riesgo de abuso por parte de un actor malintencionado.

“Con el enfoque que nuestro equipo está explorando, no se cargarían todos los códigos observados en una base de datos central, sino que la clave para generar los códigos se colocaría en una base de datos que se enviará a todos los teléfonos”, dijo Bart Preneel, profesor de criptografía en la Universidad Católica de Lovaina, que trabaja en el proyecto DP-PPT y es asesor de Nym.

Los códigos aleatorios que recopila tu teléfono no proporcionan información de ubicación ni ninguna otra información, salvo los códigos cercanos a los que te encontrabas. "Las claves de las personas infectadas se enviarían a todos los teléfonos, y con esta clave, cada smartphone podría tener un algoritmo para detectar si un código con el que han entrado en contacto coincide con esta clave. Y creemos que esto garantiza la máxima privacidad", afirma Preneel.

Según Díaz, las redes centralizadas presentan vulnerabilidades inherentes a la Privacidad . Por ejemplo, cuando alguien sube datos, como un ID de Bluetooth, a un servidor backend, esto podría corresponder a una alerta a las autoridades sanitarias sobre su infección. Observar este tráfico de metadatos a nivel de red significa que una persona podría ser identificada, aunque no sería fácil.

Ver también:Los defensores de la Privacidad alertan sobre la vigilancia del coronavirus

“El sistema que recibe esta información podría ver la dirección IP”, dice Díaz. “Por lo tanto, la dirección IP de mi casa es la dirección IP desde la que envío estos mensajes, y estos mensajes corresponden a alguien que dio positivo. Así, podrían inferir que soy positivo o que las personas que viven en mi casa también lo son”.

Un enfoque centralizado aumenta el riesgo de abuso por parte de un actor nefasto o un adversario a nivel estatal. La Privacidad de estos datos no es trivial. Se han producido numerosos ataques racistas debido al coronavirus y muchas personas temen ser... desalojado por pérdida de ingresoso incluso por haber sido diagnosticado con coronavirus.

Preneel afirma que la propuesta DP-3T, en parte, ideó una solución alternativa. Incluso si no estás infectado, tu teléfono enviaría una cadena ficticia, y no la clave, a un servidor. De esta forma, tu teléfono envía mensajes regularmente al servidor, lo que significa que nadie T identificar qué comunicación podría indicar que estás infectado. Pero ese trabajo aún está en desarrollo.

Díaz explicó que el tráfico ficticio oculta si alguien ha dado positivo, pero el servidor backend puede distinguir si el mensaje recibido es un informe positivo que debe publicarse o simplemente un mensaje ficticio que debe descartarse. De esta forma, el servidor backend puede asociar la dirección IP observada con el informe positivo.

Ver también:En la lucha contra el coronavirus, los gobiernos se enfrentan a disyuntivas sobre la Privacidad

Harry Halpin, director ejecutivo de Nym, una startup de Privacidad , cuenta con una herramienta adicional que puede abordar este problema. Ofrece la red mixta de Nym como una alternativa para desarrollar aplicaciones de rastreo de contactos.

Una red mixta (que toma su nombre de los servidores proxy que emplea, llamados "mixes") oculta los metadatos que quedan cuando los datos pasan por una red. Para ello, toma mensajes, o paquetes de datos, de un lugar, los almacena y espera a que lleguen algunos más. Después, los baraja o mezcla, como si fueran una baraja de cartas. Después, los entrega al siguiente servidor proxy, que espera más paquetes, los baraja, y así sucesivamente. Si no hay suficientes paquetes, crean paquetes falsos, que es tráfico ficticio. Si bien esto ralentiza la red, es mucho más anónima y dificulta la observación de metadatos.

Con Nym, puedes comunicarte libremente sin que tu tráfico de internet revele tus metadatos. Esto es aún más importante ahora, dada la mayor vigilancia debido al coronavirus. La red mixta de Nym resiste a un adversario pasivo global como la NSA, que puede registrar todo el tráfico que entra y sale de una red, dijo Halpin.

Nym ha solicitado unirse al PEPP-PT y actualmente está construyendo una coalición con iniciativas relacionadas, como las llevadas a cabo por Henry de Valence de la Fundación Zcash y Carmela Troncoso, profesora del Instituto Federal Suizo de Tecnología, Lausana, quien es el contacto principal para el rastreo de contactos de corona privado en Europa.

Después de revisar la propuesta estadounidense que involucra a Google y Apple, Halpin dice que algo como DP3T no es ideal, pero podría ser la mejor de las opciones subóptimas si la velocidad es esencial.

“Pero los efectos sociales y técnicos a largo plazo de esta Tecnología siguen siendo peligrosos, por lo que el rastreo de contactos DP3T y Bluetooth en general no es la panacea”, afirmó Halpin. “A largo plazo, las aplicaciones basadas en una red mixta ofrecen ONE solución potencial para realizar el rastreo de contactos de forma más privada”.