Movilidad

Por qué las aplicaciones de rastreo de contactos de coronavirus enfrentan desafíos de privacidad y seguridad

Según Check Point Research, estas aplicaciones deben lograr un equilibrio entre mejorar la precisión y respetar la privacidad del usuario.

contact tracing
Imagen: Getty Images/iStockphoto

Varios países han utilizado aplicaciones de rastreo de contactos como una forma de detener la propagación de COVID-19. Dichas aplicaciones funcionan al identificar a los usuarios que dan positivo por el virus, instándolos a compartir esa información, ubicando a las personas con las que han estado en contacto cercano y luego notificando a esas personas.

Mirar: Coronavirus: estrategias y herramientas clave de TI que toda empresa necesita (República Tecnológica Premium)

Pero este tipo de aplicaciones se enfrentan a un equilibrio. Para funcionar completamente, necesitan rastrear y monitorear la ubicación del usuario. Pero tal vigilancia puede amenazar la privacidad de una persona, especialmente cuando los datos caen en manos equivocadas o se usan con fines maliciosos. Una publicación de blog publicada el jueves por el proveedor de inteligencia de amenazas cibernéticas Check Point Research describe los desafíos y las trampas de las aplicaciones de seguimiento y ofrece consejos para usuarios potenciales.

Informes de seguridad de lectura obligada

Las aplicaciones de rastreo de contactos funcionan al detectar qué tan cerca está un usuario de otro. Para monitorear la ubicación de una persona, dichas aplicaciones usan GPS o Bluetooth, específicamente Bluetooth Low Energy (BLE). Con BLE, el teléfono del usuario transmite periódicamente información con una identificación única. Usando GPS, la ubicación exacta del usuario se registra continuamente.

Mirar: Cómo las empresas tecnológicas utilizan la IA, los datos y el ingenio para luchar contra el COVID-19 (República tecnológica)

Aunque las distintas aplicaciones funcionan de manera diferente, el proceso de rastreo de contactos sigue los mismos pasos generales:

Cuando las personas que usan la misma aplicación de seguimiento de contactos están muy cerca, la información se registra en la aplicación.

contact tracing check point 1
Imagen: Investigación de puntos de control

Si uno de los usuarios da positivo por COVID-19, se le pide a esa persona que comparta el diagnóstico a través de la aplicación o, en algunos casos, la aplicación comparte automáticamente la información sin el conocimiento del usuario.

contact tracing check point 2
Imagen: Investigación de puntos de control

Luego, la aplicación notifica a otros usuarios que se encuentran cerca de la persona infectada.

contact tracing check point 3
Imagen: Investigación de puntos de control

Sobre el papel, estos pasos suenan factibles y factibles. Pero en el mundo real, las cosas no son tan simples. Para que el rastreo de contactos funcione de manera más efectiva, estas aplicaciones deben ser adoptadas por una gran cantidad de personas. Para muchas aplicaciones, cualquier persona que dé positivo por COVID-19 debe compartir voluntariamente su estado, o la cadena se romperá y el proceso se detendrá. Sin embargo, el hecho mismo de ser monitoreado y compartido sobre su estado genera dudas sobre la privacidad y el posible abuso.

Check Point hace varias preguntas sobre este tipo de aplicación:

  1. ¿Qué datos se recopilan, cómo y dónde se almacenan y cómo se comparten?
  2. ¿Los datos están encriptados?
  3. ¿Se utilizan métodos de autorización y autenticación para prevenir el abuso?
  4. ¿La identidad del usuario permanece anónima dada la recopilación de datos como números de teléfono, nombres e identificaciones?
  5. ¿Los usuarios comparten voluntariamente la información de diagnóstico del coronavirus o se filtró la información sin el conocimiento de la persona?

Los métodos utilizados por las aplicaciones de rastreo de contactos también juegan un papel en términos de efectividad y privacidad.

Las aplicaciones que utilizan el rastreo de ubicación GPS pueden guardar y almacenar un registro de la ubicación actual y la marca de tiempo del usuario. Esta información puede ayudar a rastrear la propagación del virus dentro de un área geográfica específica. Pero el seguimiento por GPS también puede invadir la privacidad de las personas al revelar su paradero y viajes durante largos períodos de tiempo. Los ejemplos de aplicaciones que utilizan GPS incluyen SafePaths de MIT, CovTracer de Chipre, Hamagen de Israel y Aarogya Setu de India.

Las aplicaciones que usan BLE se consideran más conscientes de la privacidad porque transmiten una identificación anónima segura y en constante cambio que no revela identidades personales. Sin embargo, estas aplicaciones no son tan efectivas como las que usan GPS porque no pueden rastrear las infecciones geográficamente. Los ejemplos incluyen NHS COVID-19 en el Reino Unido, TraceTogether en Singapur y COVIDSafe en Australia.

La ubicación donde se almacenan los datos de seguimiento es otro componente clave.

En un enfoque centralizado, los registros se cargan en un servidor central, donde las autoridades de salud pública pueden analizar la información para rastrear la propagación de la enfermedad. Pero este proceso viola la privacidad de los usuarios al almacenar datos sobre su ubicación y la identidad de aquellos con los que han estado en contacto. Las aplicaciones que utilizan este enfoque incluyen NHS COVID-19 en el Reino Unido, TraceTogether en Singapur y COVIDSafe en Australia.

En un enfoque descentralizado, los registros se mantienen en el dispositivo móvil y solo se carga una cantidad mínima de información en el servidor. La aplicación descarga las identificaciones anónimas de los usuarios que dan positivo por el virus y las compara con los registros almacenados en el dispositivo. Las aplicaciones que utilizan este enfoque incluyen PrivateTracer de Holland y programas que pronto adoptarán las plataformas de «notificación de exposición» de Google y Apple.

Específicamente, Check Point describe cuatro problemas relacionados con la privacidad y la seguridad de las aplicaciones de rastreo de contactos:

  • Trazabilidad de equiposCon las aplicaciones que dependen de BLE, los dispositivos móviles pueden transmitir paquetes que ayudan a identificar las conexiones con otros dispositivos. Si este proceso no se configura correctamente, los piratas informáticos podrían rastrear el dispositivo de una persona al correlacionar los diversos dispositivos involucrados y sus respectivos paquetes de identificación.
  • Los datos personales pueden verse comprometidosLas aplicaciones de rastreo de contactos almacenan registros de contactos, claves de cifrado y otra información confidencial en dispositivos móviles. Dichos datos deben cifrarse y almacenarse en la zona de pruebas de la aplicación, no en una ubicación compartida. Incluso con el enfoque de sandbox, cualquier pirata informático con privilegios de root o acceso físico al dispositivo puede acceder a los datos.
  • Interceptar el tráfico de aplicacionesSi todas las comunicaciones con los servidores back-end de la aplicación no están encriptadas correctamente, el usuario puede ser el objetivo de un ataque de «intermediario» que intercepta el tráfico.
  • Los informes de salud falsos podrían proliferarLa aplicación Contactos debe realizar la autenticación cuando se envía información a sus servidores, como cuando los usuarios publican diagnósticos y registros de contactos. Sin la autorización adecuada, los servidores pueden inundarse con informes de estado falsos, lo que socava la confiabilidad del sistema.

«El jurado aún está deliberando sobre la seguridad de las aplicaciones de rastreo de contactos”, dijo Jonathan Shimonovich, gerente de investigación móvil de Check Point, en un comunicado. “Después de una revisión inicial, tenemos algunas preocupaciones serias. Las aplicaciones de rastreo de contactos deben Hay un delicado equilibrio entre seguridad y seguridad, ya que la aplicación deficiente de los estándares de seguridad puede poner en riesgo los datos de los usuarios. Todo se reduce a qué datos se recopilan, cómo se almacenan y, en última instancia, cómo se distribuyen».

Check Point tiene dos consejos para cualquiera que planee usar una aplicación de seguimiento de coronavirus:

  1. Solo se puede descargar desde la tienda oficial. Como se han detectado varias aplicaciones falsas de coronavirus durante la pandemia, los usuarios deben instalar aplicaciones de seguimiento de contactos de COVID-19 de las tiendas de aplicaciones oficiales, ya que solo permiten que las agencias gubernamentales autorizadas publiquen dichas aplicaciones.
  2. Utilice soluciones de seguridad móvil. Descargue e instale una solución de seguridad móvil para escanear aplicaciones y proteger su dispositivo contra malware y verificar que su dispositivo no esté comprometido.

LEER  Obtenga todas las herramientas de IA que necesita con una suscripción de por vida de $50

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba