Skip to main content

Situación actual de los sistemas de “trazabilidad anónima” para COVID-19

1 estrella2 estrellas3 estrellas4 estrellas5 estrellas (2 votos, promedio: 5,00 de 5)
Cargando…

Este post es para dar luz sobre la guerra entre protocolos de trazabilidad que se está librando actualmente entre los Estados nacionales basados en un seguimiento centralizado principalmente Alemania (PEPP-PT NTK), Francia (ROBERT) y UK frente un grupo independiente suizo de académicos defensores de la privacidad (y otros ex PEPP-PT de EPFL, EPFL, ETH Zurich, CISCPA…) que aboga por un seguimiento descentralizado llamado DP-3T (que es esencialmente el protocolo propuesto por Google y Apple).

La chispa que encendió mi curiosidad fue el hecho de constatar cómo el poder de Google y Apple imponía su voluntad sobre los ciertos Estados europeos, impidiendo la posibilidad de que una aplicación pudiera correr en segundo plano fuera de los protocolos establecidos por las potencias tecnológicas. ¿Por qué PEPP-PT necesita correr una aplicación en segundo plano y DP-3T no?

Vamos a revisar ambos protocolos para entender sus diferencias y deducir las razones del requerimiento de PEPP-PT de correr en primer plano.

Breve funcionamiento del PEPP-PT (modelo centralizado):

PEPP-PT tiene como cometido avisar a los contactos de un positivo covid-19 de que podrían estar afectados para confinarse (cuarentena), este es el protocolo básico:

  • El usuario se registra con la app en el sistema, momento a partir del cual un servidor central asigna al usuario una clave permanente push (PUID) con el cual distribuye periódicamente a la app de dicho usuario unos seudónimos temporales (EBID) para que pueda realizar las interacciones.
  • En el día a día, los usuarios van emitiendo (tx) y recibiendo (rx) por bluetooth de baja energía (BLE) estos EBIDs. Estas interacciones guardan ciertos metadatos necesarios posteriormente para ser comunicados al servidor central.
  • En el momento que uno de estos usuarios es positivo de COVID-19 la entidad centralizadora le da por otro canal alternativo al usuario positivo una clave TAM de autenticación para que el usuario pueda subir los EBIDs recibidos en las últimas semanas (es importante recalcar que se envían todos los EBIDs recibidos que incluyen los metadatos como el timestamp, tiempo de contacto, RSSI recibida… que corresponden con los de todas las personas con las que ha cruzado).
  • El sistema centralizado con los nuevos EBIDs subidos, aplica sus algoritmos epidemiológicos de riesgo a partir de todas las variables de estos contactos. Como resultado enviaría una notificación push a todos los contactos resultantes para que se aíslen.

Funcionamiento de protocolo centralizado, fuente: https://nadim.computer/res/img/pepppt1.png

 

Breve funcionamiento del DP-3T (modelo descentralizado):

El protocolo DP-3T tiene el mismo objetivo que PEPP-PT de forma descentralizada:

  • Los usuarios se registran, pero son los propios dispositivos los que confeccionan sus propios seudónimos EBIDs, por lo tanto, ningún servidor tiene que enviárselos.
  • Como en DEPP-PT los usuarios van enviando y recibiendo por bluetooth de baja energía (BLE) estos EBIDs. El punto clave aquí es que siguen exclusivamente el protocolo que Google y Apple en “background” y establecen localmente dentro de dicho protocolo la probabilidad de que una interacción recibida de EBIDs sea considerada finalmente una interacción epidemiológica efectiva. Esto se puede ver en el propio diagrama de secuencia de scan (rx) de Apple en el que el framework “Algorithm to assess risk based on exposure duration”.
  • En el momento que uno de estos usuarios es positivo de COVID-19 la entidad centralizadora le dará por otro canal alternativo al usuario positivo una clave TAM para autenticarse y subir todos los EBIDs enviados al servidor central.
  • Cada día los usuarios se bajan los nuevos EBIDs enviados por los positivos y los cruzan con los EBIDs recibidos locales (scan). Si hay coincidencia alerta al usuario para que pase a cuarentena por potencial contagio.

Funcionamiento de protocolo DP-3T, fuente: https://github.com/DP-3T/documents/tree/master/public_engagement/cartoon

 

Los puntos débiles que el grupo de trabajo DP-3T menciona sobre PEPP-PT son:

Privacidad:

  • El algoritmo se basa en un estado/ente centralizador honesto (“honest but curious”), pero este ente centralizador podría no ser tan honesto y podría asignar a ciertos usuarios unos seudónimos distinguibles, es decir, unos pseudónimos que pudieran relacionarse entre ellos para tracear un dispositivo; simplemente mediante un punto de control en un aeropuerto o en un control de tráfico podría asociar dicha persona al traceo que se ha hecho hasta el momento, y sin necesidad de acceder a la base de datos central)
  • Dado que el usuario envía todos los contactos, incluso de usuarios potencialmente no infectados, es más fácil para el estado poder hacer “social graph” es decir identificar a las personas por los contactos que hayan tenido, habida cuenta de lo contagioso que puede ser el COVID-19 estas redes podrían ser enormes dando mucha información al sistema central.

Seguridad:

  • Un usuario positivo covid-19 puede enviar mensajes recibidos falsos robados de otros dispositivos, por ejemplo de personas famosas… simplemente habría que estar cerca de ellas para recogerlos… resultando en falsos negativos.
  • Una última razón, algo artificial, es que ni Google y Apple autorizan en sus protocolos “background” la recolección de datos que PEPP-PT necesita para enviar al servidor, lo que hace necesario que la aplicación esté siempre en primer plano impidiendo el bloqueo del dispositivo, lo que hace en la práctica que el usuario esté desprotegido si alguien roba su dispositivo. Solo en UK se roban casi 500.000 dispositivos cada año.

No hay protocolo 100% seguro

A pesar de las mejoras en privacidad y seguridad mencionadas ni siquiera el protocolo DP-3T está a salvo de cierta picaresca en privacidad que podrá con cualquier algoritmo, supongamos algunos escenarios:

  • Un entrevistador que entrevista a 3 candidatos, instala la aplicación de traceo en 3 dispositivos que enciende únicamente durante la entrevista. Si posteriormente recibe una notificación en alguno de ellos es que este candidato tiene COVID-19.

Fuente: https://risques-tracage.fr/

  • Un militante antisistema coge el COVID-19. Ata el móvil a su perro y lo deja suelto por la calle. Al día siguiente se envía aviso de aislamiento a un gran número de personas.
  • Un estudiante que tiene un examen, contrata a alguien que tiene COVID-19, le deja su móvil y lo pasea por el aula y la sala de profesores. Al día siguiente todos tienen que hacer cuarentena y se cancela el examen.
  • Un ladrón podría utilizar la ausencia de señales de emisión para deducir que no hay nadie en casa y robar.
  • Un centro comercial, para proteger a sus clientes, puede impedir la entrada de aquellos clientes que no usen la aplicación (simplemente detectando que dicho cliente no está emitiendo las señales bluetooth…)
  • Y otras…

Conclusiones:

DP-3T aventaja en la comparativa a PEPP-PT, porque realiza tanto la generación de los EBIDs como al cálculo del riesgo epidemiológico localmente dentro del dispositivo, siguiendo los principio de minimización de datos de GDPR por el que el backend no debe recibir más datos que los que necesita.

Como consecuencia de ello, dado que el protocolo “background” de Google-Apple no almacena la información necesaria para que PEPP-PT pueda operar con el backend, la solución está forzada actualmente a usar un protocolo propio que tiene que tener la aplicación en primer plano. Todavía existen negociaciones que pueden cambiar dicho protocolo que hagan que Google y Apple dispongan de una solución al problema.

Independientemente del protocolo que se utilice habrá que tener en cuenta siempre el factor humano, se deberá controlar el correcto uso de dichas aplicaciones para mitigar en lo posible el uso discriminativo o fraudulento de la misma.

DP-3T: https://github.com/DP-3T/documents

ROBERT: https://github.com/ROBERT-proximity-tracing/documents

PEPP-PT: https://github.com/pepp-pt/pepp-pt-documentation

Protocolos de Apple para tracing de dispositivos: https://www.apple.com/covid19/contacttracing

Análisis de seguridad de PEPP-PT hecho por DP-3T: https://github.com/DP-3T/documents/blob/master/Security%20analysis/PEPP-PT_%20Data%20Protection%20Architechture%20-%20Security%20and%20privacy%20analysis.pdf

Análisis de riesgos en aplicaciones de traceo: https://risques-tracage.fr/docs/risques-tracage.pdf

Martin Alcubierre Arenillas

Martin Alcubierre Arenillas

Ingeniero de Telecomunicaciones, con más de 15 años de Jefe de Proyecto en el sector de Banca-Seguros y Utilities, principalmente en integración de sistemas y proyectos de Business Intelligence. Desde hace 3 años participando en proyectos de desarrollo de soluciones móviles en el ámbito de la Salud (mHealth).

Martin Alcubierre Arenillas ha escrito 4 entradas


Martin Alcubierre Arenillas

Martin Alcubierre Arenillas

Ingeniero de Telecomunicaciones, con más de 15 años de Jefe de Proyecto en el sector de Banca-Seguros y Utilities, principalmente en integración de sistemas y proyectos de Business Intelligence. Desde hace 3 años participando en proyectos de desarrollo de soluciones móviles en el ámbito de la Salud (mHealth).

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.