NHS COVID-19 App – ¿Paternalismo máximo neoliberal o benevolencia nacional?

No cabe duda de que la tecnología ha hecho más llevadera la vida durante una pandemia mundial. En se despliegan drones para repartir medicamentos y artículos de primera necesidad en toda Irlanda, hasta el aumento de las plataformas de videoconferencia, como Zoom, que crea una comunidad más conectada de trabajadores a distancia. Las posibilidades de nuestra época, cada vez más digital, han hecho más tolerable el aislamiento al proporcionar interconectividad y entretenimiento. Sin embargo, hay un lado más oscuro en la rápida adopción de la tecnología durante esta pandemia internacional, que asoma su cabeza bajo el disfraz de la seguridad de los datos personales.

El Reino Unido está siguiendo un nuevo servicio de rastreo de COVID-19 que utiliza los datos de Bluetooth de los teléfonos móviles para avisar a los usuarios del posible contacto con personas infectadas. La aplicación móvil: «NHS COVID-19» se está implantando actualmente en la Isla de Wight, con la perspectiva de una mayor implantación en el territorio continental de Gran Bretaña en las próximas semanas. Sin embargo, a pesar de las connotaciones de seguridad negativas de una aplicación de rastreo, la mayoría de los británicos está a favor de permitir que el gobierno utilice los datos de los teléfonos móviles para rastrear la propagación del coronavirus. Aunque en teoría esto puede resultar beneficioso para el seguimiento de la propagación del virus, conceder al gobierno el acceso a nuestros dispositivos personales es un terreno resbaladizo con varios problemas de seguridad.

Según el Sitio web del NHSEl objetivo de esta aplicación es «reducir la transmisión del virus alertando a las personas que puedan haber estado expuestas a la infección». El NHS afirma que «la aplicación ha sido diseñada teniendo en cuenta la privacidad», y estipula que no recoge datos de identificación personal (PII) de los usuarios. Sin embargo, esto no resuelve varios problemas de seguridad que se han planteado. A pesar de las implicaciones positivas de este servicio que se propone mantener a la población británica al tanto de posibles contagios, hay un lado más oscuro en esta aplicación que tiene sus raíces en la vigilancia del Estado y la seguridad de los datos personales. De hecho, las implicaciones éticas de este servicio sólo se mencionan brevemente en los últimos párrafos de la declaración, lo que sugiere que la ética no está en el primer plano del debate.

Además, Ian Levey, del Centro Nacional de Ciberseguridad, escribió un extenso blog en el que se detallan los parámetros de seguridad de la aplicación. Sin embargo, el tema de la seguridad no surge del todo hasta después de 10 párrafos de discusión general, de los cuales varios se dedican a delinear cómo se ha utilizado el rastreo de contactos hace más de 500 años. El hecho de que la seguridad física no se discuta hasta después de una larga lección de historia sugiere que hay más de lo que parece. Levy afirma en varias ocasiones que los datos recogidos son «anónimos» y sólo pueden utilizarse para proporcionar información sanitaria. Sin embargo, esto no significa que los usuarios no corran riesgos.

De hecho, Levy afirmó que «la supervisión de la ciberseguridad del sistema guarda registros que incluyen la dirección IP, pero están estrictamente controlados y sólo son accesibles para el equipo de ciberseguridad que se ocupa del sistema de la aplicación». Sin embargo, esto no tiene por qué tranquilizar a los usuarios, ya que cualquier información puede ser filtrada, ya sea por ciberdelincuentes expertos, por un punto de acceso inseguro o incluso por un empleado descontento que busque obtener un beneficio rápido vendiendo información valiosa en la web oscura.

Un problema clave en el desarrollo de esta aplicación es la velocidad a la que se está desarrollando. Por lo general, en este tipo de aplicaciones, en las que el tiempo es un factor determinante, suele haber un compromiso entre la velocidad y la funcionalidad. Tim Erlin, vicepresidente de Tripwire, destaca esta preocupación, declarando: «puede ser difícil hacer retroceder la seguridad y la privacidad cuando hay un fuerte sentido de urgencia en torno a cualquier proyecto». Del mismo modo, Hugo van den Toorn, director de seguridad ofensiva en Outpost24, destacó otro motivo de preocupación, señalando: «si una aplicación se desarrolla rápidamente es fácil cometer errores en cuanto a la privacidad de los usuarios y la seguridad de la información». Con información tan delicada en juego, está claro que no debemos apresurarnos a descargar ninguna aplicación que pueda poner en riesgo nuestros datos sensibles hasta que no haya sido debidamente examinada.

De hecho, Joshua Berry, consultor principal de seguridad asociado de Synopsys, explica las posibles implicaciones de entregar detalles tan íntimos a terceros, incluso bajo el velo del anonimato. «Las aplicaciones de rastreo de contactos utilizan anuncios de Bluetooth Low Energy (BLE) para enviar y recopilar mensajes para identificar los contactos realizados con otros usuarios». De hecho, las aplicaciones de rastreo permiten a los atacantes la posibilidad de leer completamente todas las comunicaciones por Bluetooth, desde los coches que conducen hasta la música que escuchan.

Para que los servicios de rastreo de contactos sean ampliamente aceptados, debemos tener la garantía de que la información personal que entregamos es totalmente segura. Esto plantea varias cuestiones sobre dónde se almacenarán los datos sensibles y quién puede tener acceso a ellos. Por ejemplo, la aplicación sólo recogerá información biográfica como la edad, el sexo y el código postal. Por lo tanto, los usuarios deben estar seguros de quién tendrá acceso a estos datos. ¿Serán utilizados por los servicios sanitarios o se venderán a empresas de análisis de datos, o incluso serán utilizados por el Ministerio del Interior para triangular los movimientos de los usuarios mediante apretones de manos Bluetooth?

De hecho, a medida que aumenta el número de personas que respetan el bloqueo y trabajan desde casa, vemos cómo los ciberdelincuentes aprovechan el miedo para seducir a los usuarios y hacerles clic en enlaces maliciosos. De hecho, Securonix ha revelado en un COVID-19 Actualización de Ciberamenazas que el número de dominios maliciosos que utilizan las palabras «corona» o «covid19» han aumentado exponencialmente. Teniendo en cuenta la aplicación COVID-19 del NHS, los usuarios pueden acabar siendo víctimas de más técnicas de ingeniería social de temática pandémica. Esto se basa en la idea de que si se espera una actualización de la aplicación del NHS, es más probable que se abra un correo electrónico o un mensaje de texto que contenga las palabras clave: «Coronavirus» o «COVID-19». Esto es preocupante, ya que Securonix ha demostrado que cada vez más ciberdelincuentes utilizan terminología relacionada con los virus para inducir a los usuarios a descargar material malicioso. Por lo tanto, los usuarios con la aplicación de rastreo móvil pueden ser más propensos a ser víctimas de contenido dañino disfrazado de médico.

De hecho, los expertos en seguridad esperan que la proliferación de esta aplicación traiga consigo un aumento significativo de aplicaciones móviles peligrosamente disfrazadas con nombres similares o con errores tipográficos. Jonathan Martin, socio director de Anomali para la región de Europa, Oriente Medio y África, advirtió que «es de esperar que aparezca toda una serie de aplicaciones falsas que pretendan ser la aplicación oficial COVID-19 del NHS y que la gente se vea tentada a descargar. Tan pronto como la aplicación falsa se instale en el teléfono, se verá comprometida, lo que conducirá al posible robo de toda una serie de información privada y personal, como datos bancarios, etc.». A diferencia de la aplicación oficial, que promete anonimizar la información personal, las falsas aplicaciones en la sombra tratarán de robar información sensible.

Aunque no cabe duda de que hay margen de mejora, es de esperar que el debate en torno a esta aplicación lleve a una población más centrada en la seguridad y escéptica ante cualquier intento de recopilar grandes cantidades de información personal. Una cosa es levantarse en armas contra la aplicación COVID-19 del NHS, pero quizás estoy siendo optimista al pensar que el gobierno tiene nuestro mejor interés en el corazón. Deberíamos aprovechar este momento no sólo para ser cínicos respecto a las intenciones del gobierno con esta cantidad de datos personales, sino también, y quizás más pertinente, respecto a cómo otros servicios utilizan y procesan nuestros datos. Hay que estar de acuerdo con Tom Davison, director técnico de Lookout, que nos dijo «es de vital importancia que el público se tome el tiempo necesario para comprender la información personal que va a compartir y cómo se utilizará, tanto ahora como en el futuro».

Te dejo con esta última pregunta: ¿sabes qué permisos has concedido a las aplicaciones de tu teléfono? Si no es así, investiga un poco. Después de todo, no tiene sentido lamentar el fin de la libertad individual cuando la aplicación de tu linterna está rastreando tu geolocalización. . .