"Si no metes el código, es como si no estuvieras infectado": lo que Radar COVID no tiene en cuenta
Los expertos en ciberseguridad avisan de los riesgos que entraña la reciente aplicación y algunos usuarios valoran su experiencia tras haberla utilizado
Madrid
Un solo gesto puede ayudar a frenar la transmisión del coronavirus. Tan simple como descargar la aplicación Radar COVID y avisar de si tienes la enfermedad, o esperar a recibir notificaciones de otros usuarios para tomar las precauciones necesarias. Esta aplicación de rastreo lanzada por el Gobierno como una herramienta más a la hora de seguir la pista al Sars-CoV-2 por el territorio nacional, ya funciona en todas las comunidades autónomas, salvo en Cataluña, que perfila los últimos detalles de implantación.
A pesar de haber sido una de las aplicaciones más descargadas en Play Store, apenas un 10% de la población la ha descargado. Y es que son muchos los usuarios que muestran su recelo a una app creada a contrarreloj y que arroja muchas dudas, tales como los datos que almacena la base de la aplicación, el gasto innecesario de la batería o la fiabilidad de los contactos con COVID-19.
¿Cómo funciona 'Radar COVID'?
Una vez descargada, lo primordial para poder empezar a utilizar la app pasa por activar el bluetooth. De esta manera, los dispositivos se conectan entre sí y crean una red de rastreo al detectar las notificaciones de los dispositivos más cercanos. Desde el punto de vista técnico, la aplicación genera diariamente un identificador de usuario y ese a su vez, se utiliza para generar una clave asociada a nuestro usuario.
"Cada 15 minutos se genera una clave que es intercambiada con los dispositivos cercanos que te vas cruzando por la calle cada 5 minutos, y de esta manera, se crea una base de datos con todos los usuarios con los que te has cruzado para que, si alguien es positivo, seas informado", explica el experto en Ciberseguridad de Deloitte, Francisco José Calzado.
Asimismo, el Director Técnico de Check Point para España y Portugal, Eusebio Nieva, explica que la aplicación ha sido creada bajo un protocolo "que garantiza que los datos de trazabilidad de los usuarios estén en el dispositivo y no en un servidor central". De esa manera, el dispositivo genera una serie de claves aleatorias y los demás van recogiendo y acumulando esas señales, que "bajo ningún concepto se pueden asociar a ningún usuario, ni pueden sacar los datos del móvil". "Solo recoge la señal de los usuarios con los que has estado en contacto y si notifican el positivo, te llega el aviso", cuenta Nieva.
¿Es segura?
Aunque somos conscientes de que la mayoría de las aplicaciones que utilizamos pueden acceder a nuestros contactos, datos personales o conocer nuestra ubicación, porque nosotros aceptamos los permisos, la privacidad es un tema que preocupa demasiado a los usuarios. Y en este aspecto, Radar COVID cumple las medidas impuestas por el esquema nacional de seguridad, "lo que la hace desde un primer momento, una aplicación construida sobre una sólida base a nivel de seguridad".
Según explica el experto en Ciberseguridad, "la aplicación no almacena datos personales de los usuarios". Y si nos fijamos en los permisos previos antes de usar la app, no pide la geolocalización del usuario, ni acceso a los contactos o micrófono del móvil.
De la misma manera, el Director Técnico de Check Point asegura que la aplicación "está diseñada para no poder extraer información de los usuarios, ni el número de teléfono, ni los contactos". Además, explica que, en caso de ataque, "como en la base de datos solo se almacenan los datos de personas que han tenido coronavirus, y son ristras de números aleatorios, no se pueden corresponder con los datos personales del usuario".
Riesgos y garantías
Ambos expertos en seguridad informática coinciden en que la mayor garantía de la aplicación es la privacidad y, por ello, se ha desarrollado un servidor descentralizado que no pueda acceder a los datos personales de los usuarios. Sin embargo, aunque para Nieva el uso del bluetooth está más que justificado para el cometido de la aplicación al emplear "un protocolo de cercanía y bajo consumo, que llega a todos los dispositivos", Calzado ve posibles riesgos.
"Tras llevar un estudio previo sobre la seguridad de la aplicación, lo más preocupante es sin duda el uso del bluetooth y sus posibles vectores de ataque", apunta el ingeniero informático, que explica que un vector de ataque es un método que utiliza una amenaza para atacar el sistema. "En este caso, contamos con una 'ventana más de ataque', que es el uso ininterrumpido del bluetooth, lo cual hace que la superficie de ataque sea mayor", explica. En este caso, el tener el bluetooth permanente activado, hace que la aplicación tenga una mayor superficie de exposición y por lo tanto, sea vulnerable a más vectores de ataque.
En este sentido, Calzado especifica que Radar COVID entraña los riesgos propios de una aplicación desarrollada "a contratiempo" y "sin un periodo de maduración adecuado". Además, asegura que es "imposible" conseguir una seguridad plena y el objetivo es reducir la superficie de ataque a la app lo máximo posible. "El uso del bluetooth es una contra en este aspecto, ya que un dispositivo que no cuente con la última versión de bluetooth, tendrá su sistema expuesto a ataques conocidos contra anteriores versiones", cuenta.
Por otro lado, Nieva hace más hincapié en los posibles ataques cibernéticos que podría sufrir la aplicación, como cualquier otra. "Lo que podría ocurrir es que alguien generase un dispositivo que emitiese por bluetooth basura o un montón de claves que dieran lugar a equívocos y afectara a la fiabilidad", señala. Y advierte de que el mayor riesgo, no es contra la aplicación, sino utilizarla como cebo para atacar. "Con una aplicación falsa con la misma imagen, pero que al final es un fraude y aceptas una serie de permisos que permiten al atacante acceder a tus datos personales e incluso espiarte directamente", avisa el responsable de Check Point.
¿Qué dicen los usuarios?
Dejando a un lado la parte técnica de la aplicación, lo que más valoran los usuarios es la privacidad que garantiza Radar COVID, aunque algunos ven inconvenientes y no se animan a descargar y utilizar la app. "Lo que más destaco es que no tiene tus datos, y si estás al lado de una persona no te va a decir fulanito de tal tiene el coronavirus, sino que has estado cerca de alguien contagiado y tú ya tomas las medidas, por lo que te garantiza seguridad", cuenta una usuaria de Radar COVID. Aunque critica que haya gente que no se la descargue "porque pasa de avisar a la gente de si tiene coronavirus o no, y ahí sale la parte más egoísta de las personas".
En cuanto a los inconvenientes, el 90% de los usuarios entrevistados ve como principal desventaja el rendimiento de la batería. Y es que al tener el bluetooth siempre activo, la carga dura menos y hace que muchos usuarios sean más reacios a la hora de utilizar la app. "La tengo descargada, pero a veces no me funciona porque se me olvida encender el bluetooth y, además, es que gasta mucha batería", cuenta otro usuario de Radar COVID.
"Si no metes el código es como si no estuvieras infectado"
Otros denuncian el inconveniente del código de diagnóstico. Lo que en principio se incluyó en la app para comprobar si una persona estaba infectada de verdad a la hora de notificar su positivo, se ha vuelto todo un trámite indeseado. El código de diagnóstico es un número que facilita el médico al paciente cuando da los resultados de la PCR, si es positiva. Ese número es una garantía y requisito para notificar el contagio en la aplicación.
Pero el problema es que no siempre los usuarios reciben el código y, por tanto, a pesar de tener el diagnóstico por PCR, no deja avisar al resto de usuarios de Radar COVID. "Si los médicos no dan el número identificador a las personas infectadas, no van a aparecer en el radar, por lo que si no meten el código es como si no estuvieran infectados", denuncia otro de los usuarios entrevistados.
"¿Qué me garantiza que una persona con COVID-19 tenga la App?"
De la misma manera, también se dan casos de usuarios que no quieren compartir su contagio en la aplicación, quizá por el miedo a ser estigmatizado pese a que la app garantiza la privacidad en cuanto a los datos personales, y los demás usuarios no pueden conocer si han estado en peligro o tienen riesgo de haberse contagiado.
"Yo pienso cuánta gente la está utilizando, porque a mí me sigue poniendo que estoy segura, con el check verde. Y claro, me pregunto si no he estado nunca cerca de nadie con coronavirus, o si he estado no la tiene descargada y no puede avisar", comenta otra usuaria de Radar COVID. "Ese es el problema, aunque yo la tenga, qué me garantiza a mí que una persona que tenga el virus no tenga la app y pueda estar a mi lado", reflexiona.
Tanto los expertos en seguridad informática como los usuarios que ya han probado la aplicación la recomiendan porque alegan que puede beneficiar a nuestra salud al prevenir la cadena de contagios y evitar la transmisión del virus. "Se trata de una acción colaborativa y además garantiza nuestra privacidad", comenta Nieva, que insiste en la importancia de tener cuidado frente a posibles ataques cibernéticos y estafas. "Hay que descargarse la aplicación correcta y en el sitio correcto para minimizar cualquier riesgo de ataque", recuerda.
Sandra Fernández Pérez
Graduada en Periodismo por la Universidad Complutense de Madrid y en Ciencia Política y Gestión de la...