O debate xerado en Europa sobre a existencia de dous modelos de protocolos, o centralizado e o descentralizado, para implantar aplicacións de rastrexo dixital de contactos, como unha ferramenta para frear a expansión do Covid-19 e tamén utilizable no proceso de desescalada, levou a un grupo de investigadores da Universidade de Vigo, encabezados polo catedrático Fernando Pérez González, a iniciar un estudo, que transcorridas dúas semanas “de traballo bastante intenso”, arroxan conclusións claras. “Canto máis estudabamos un e outro, máis nos percatabamos de que, unha vez, eliminada a hipótese dun estado que actuase como ‘Gran Irmán’, modelo de ameaza do que parte o protocolo descentralizado, ambos arrastraban graves problemas que ían moito máis alá do debate orixinal, ata o punto de chegar á conclusión de que, na súa concepción actual, a súa utilidade é moi limitada”, explica Fernando Pérez, investigador do centro Atlanttic da Universidade de Vigo.
Máis aló do debate e das críticas cruzadas entre os defensores e detractores dos dous modelos, os investigadores da UVigo inciden no feito de que boa parte dos defectos de ambos son consustanciais á combinación dunhas esixencias de privacidade moi esixentes cun estándar de comunicacións (Bluetooth) que nunca foi pensado para ese fin. “Na raíz destas carencias atópanse uns requirimentos de privacidade que non son acadables cunha tecnoloxía que, como é o caso de Bluetooth Low Energy (BLE), nunca foi concibida para ese fin”, sinala o catedrático vigués, que lembra que xa hai países como Bélxica ou os Países Baixos que xa confirmaron que non as van utilizar, mentres que outros como Suíza apostaron claramente polo modelo descentralizado e Australia tamén puxo a aplicación en marcha, atopándose en plena campaña para acadar a súa descarga masiva.
Neste sentido, Fernando Pérez lamenta que mentres Alemaña, Francia, Italia ou Reino Unido nos que se apostara por un modelo centralizado, xa están a reformulalo, “é desalentador que en España as administracións non promovesen o máis mínimo debate sobre esta cuestión. Desde aquí achegaríase unha perspectiva diferente, porque a privacidade, que é un concepto subxectivo, non é igualmente valorada no norte que no sur de Europa e esta diferente percepción, podería axudar a concibir solucións aceptables para a cidadanía”, explica.
No estudo elaborado polos investigadores da UVigo achéganse argumentos que xustifican que tal como foron propostas, as aplicacións de seguimento de contactos non ofrecen unha garantía total de privacidade aos usuarios, nin son 100% robustas fronte a ataques maliciosos, algúns deles relativamente sinxelos de implantar, escalables, con capacidade de se converter en masivos e con potenciais consecuencias moi negativas. Así mesmo, xustifícase que a tecnoloxía BLE está inherentemente limitada na fiabilidade dos datos que pode proporcionar, cuestionando a súa validez como mecanismo de detección de contactos de risco.
“O problema é que a estimación da distancia á que están dúas persoas é moi imprecisa e faise en base á potencia recibida, que depende de moitos factores como a orientación relativa dos teléfonos móbiles, se hai obstáculos e de que tipo e outros fenómenos relacionados coa propagación”, explica o catedrático da EE de Telecomunicación, que exemplifica o caso con dúas persoas cos seus móbiles nos petos dianteiros sentadas de costas a un metro de distancia (unha situación de claro risco). Estas dúas persoas recibirían a mesma potencia que sentadas de fronte a 10 metros de distancia (unha situación de risco nulo, cos estándares manexados actualmente). “O erro na medida está causado pola atenuación que os corpos humanos producen sobre os sinais transmisibles”, aclara Fernando Pérez.
O investigador tamén sinala que o grao de adopción necesario para que o rastrexo sexa efectivo debe ser, segundo fonte solventes, maior do 80%. “Para ver o difícil que é que o 80% das persoas teñan a app descargada, instalada, activada e co Bluetooth activado permanentemente , débese ter en conta que en Singapur, un país tecnoloxicamente moi avanzado, o grao de adopción chegou ao 20%. De feito, o exceso de confianza nunha tecnoloxía non suficientemente adoptada, foi sinalado como unha das causas do rebrote recentemente ocorrido”, explica o catedrático.
Uso desaconsellado ata que se solucionen os problemas
Ao carecer de tecnoloxías de base suficientemente fiables, robustas e estendidas como para acadar as taxas desexables de detección de contactos, o estudo conclúe que adopción destas aplicacións, sen consciencia das súas limitacións, poder conducir a una falsa seguridade que, unha vez refutada, se converta nun elemento desincentivador para o seu uso. “Desde unha perspectiva meramente técnica, desaconsellamos firmemente a adopción inmediata de aplicacións de rastrexo de contactos en tanto non se solucionen satisfactoriamente os problemas identificados”, afirma con rotundidade Fernando Pérez.
Os investigadores sinalan que, mentres o aspecto da seguridade está moi ben resolto nestas aplicacións, as vulnerabilidades veñen polo feito de que poñendo a privacidade como criterio de deseño máis importante, a comunicación entre terminais debe ser anónima, “polo que, ao non estar autenticados, é posible facer ‘trampas ‘que poñan en dúbida a veracidade da información captada polo sistema”, explica o catedrático, que tamén lamenta a ocasión perdida por Europa, entregando a Apple e Google a implantación da infraestrutura operativa sobre a que deben funcionar as aplicacións.
“Isto pode axudar a que o grao de adopción aumente, pero farémolo a costa de perder soberanía tecnolóxica en Europa. É enormemente paradoxal , que tratando de evitar que os estados tivesen excesiva información sobre os nosos contactos, vaiamos acabar en mans de Google, que xa sabe máis de nós que nós mesmos”, lamenta Fernando Pérez ,que se amosa convencido de que se seguisen outros criterios, o rastrexo manual podería ser plenamente complementario e compatible co rastrexo dixital. “Desgraciadamente, este non é o caso coas aplicacións actuais”, conclúe o docente e investigador da Universidade de Vigo.