Las soluciones digitales, como las apps de ubicación de contactos, pueden ayudar a gestionar la pandemia y a ofrecer a la ciudadanía la vuelta a la normalidad. En toda Europa, los gobiernos han invertido millones de euros en apps de ubicación de contactos, con distintos grados de éxito, de acuerdo con nuestra investigación. Es también el caso de Alemania, con su app Corona Warning. Sin embargo, dado que inicialmente esa app no ofrecía funciones de detección de grupos o de registro de eventos, se desarrolló la app Luca. ¿Qué es la app Luca? ¿Cómo funciona y qué problemas da al utilizarla? Este artículo pretende responder a estas y otras preguntas.
¿Qué es la app Luca? ¿Quién la desarrolló y por qué?
La app Luca fue desarrollada en 2020 para ayudar a romper las posibles cadenas de infección por COVID19 mediante la gestión de los datos de los contactos y su ubicación. En la primavera de 2021, cuando a las tiendas, los restaurantes y las sedes de eventos de todo el país se les solicitó que recopilaran los datos de contacto de sus clientes, parecía ofrecer a los propietarios una alternativa buena, eficaz y más respetuosa con la privacidad que el rastreo de contactos con lápiz y papel que se había utilizado hasta entonces.
Los promotores de la app Luca lo aprovecharon para convencer a muchos responsables políticos. Para septiembre de 2021, 13 estados alemanes, a saber, Baden-Württemberg, Baja Sajonia, Baviera, Berlín, Brandeburgo, Bremen, Hamburgo, Hesse, Mecklemburgo-Pomerania Occidental, Renania-Palatinado, Sajonia-Anhalt, Sarre y Schleswig-Holstein, habían adquirido sus licencias de Luca a cambio de contribuciones que ascendían a más de 21 millones de euros. Durante la primavera de 2021, la mayoría de los estados federados había hecho todos los ajustes legislativos en materia de control de infecciones, para poder sustituir el registro manual de datos de contacto por Luca.
Dos empresas
están detrás del proyecto: neXenio GmbH desarrolló la app Luca, y culture4life
GmbH lleva la comercialización. Smudo, miembro del grupo de hip-hop "Die
Fantastischen Vier", aportó la difusión mediática. De acuerdo con el
equipo de Luca, hasta la fecha se han registrado más de 40 millones de
ciudadanos y ha sido utilizada para un total de más de 330 millones de
comprobaciones.
La ubicación de los contactos durante la crisis del Corona: ¿cómo funciona la app Luca?
Para utilizar la app Luca, los usuarios deben registrarse con su nombre y datos de contacto. Al entrar en un restaurante o local, tienen que escanear un código QR generado por el organizador a través de la app. Los datos de los clientes se codifican a la entrada y se guardan en los servidores centrales del sistema Luca.
Los datos de contacto se codifican por duplicado: en el smartphone del usuario mediante una clave proporcionada por la autoridad sanitaria y a la entrada del evento mediante la clave proporcionada por el respectivo organizador del evento. Con ello se evita que tanto el equipo de Luca como los organizadores del evento obtengan unilateralmente datos no codificados. Los usuarios de Luca que han dado positivo en la prueba de COVID pueden proporcionar al departamento de salud una lista de todos los lugares que han visitado en los 14 días anteriores. A continuación, el departamento de salud puede solicitar al organizador del evento los datos de contacto de todos los visitantes que hayan coincidido. Entonces pueden obtener y descodificar la información de contacto solicitada. Hasta ese punto, los datos de contacto siguen codificados con la clave del departamento de salud, por lo que ni el organizador ni el equipo de Luca pueden ver los datos de contacto en forma no codificada. Una vez recibidos, los departamentos de salud podrán descodificar completamente la información.
Corresponde a
la autoridad sanitaria lanzar una alerta centralizada a todos los usuarios
afectados. En esto se diferencia del procedimiento descentralizado de la app
Corona Warning (CWA), en la que los usuarios afectados son advertidos
directamente al recibirse resultados positivos verificados de los tests, sin
necesidad de que intervenga un organismo gubernamental central.
¿Cumplió su promesa la app Luca?
Los departamentos de salud han informado de que Luca les resulta poco útil. En una encuesta realizada por la web de noticias netzpolitik.org, sólo 3 de 137 departamentos de salud afirmaron que utilizan Luca con regularidad. Las razones esgrimidas eran la mala calidad de los datos, la irrelevancia de los datos recibidos, el escaso apoyo al cliente y la sobrecarga general de trabajo. Muchos departamentos de salud informaron de que rara vez trabajaban con las listas de contactos proporcionadas por los restaurantes. La consecuencia fue que la mayoría de los estados dejaron expirar sus contratos con Culture4Life.
Los problemas de la app Luca
Desde su lanzamiento, la app Luca ha estado plagada de problemas técnicos y vulnerabilidades de seguridad. Casi todas las semanas se notificaban nuevas brechas y otros problemas. He aquí algunos ejemplos:
Desanonimización: Los investigadores de la Universidad EPFL de Lausana ya habían detectado fallos de seguridad en la primavera de 2021: Por ejemplo, que los usuarios no sólo envían los datos de contacto codificados al servidor de Luca cuando entran a un local, sino también otra información adjunta, como la dirección IP. En teoría, los piratas informáticos podrían utilizar estos datos para averiguar a qué persona corresponde el ID de usuario y rastrear dónde ha entrado esta persona durante las dos últimas semanas. Los investigadores también criticaron el hecho de que una cantidad tan grande de datos sensibles se almacene en un servidor central, lo que podría ser peligroso en caso de un ataque de hackers.
Falta de transparencia: Cuando los responsables de la app Luca revelaron el código fuente tras una intensa presión de la comunidad en línea, utilizaron una licencia extremadamente restrictiva que prohibía a cualquiera duplicar, compartir o reproducir el código en redes públicas. De este modo, hicieron prácticamente imposible que alguien analizara el código de forma crítica. Además, hasta la fecha no se ha publicado ninguna evaluación del impacto en protección de datos (EIPD) de la app Luca, lo que no habla bien del compromiso de Luca con la transparencia.
Gestión insatisfactoria de las claves: En marzo de 2021, la Conferencia alemana de Protección de Datos (DSK) criticó el concepto de codificación del sistema Luca, en particular el hecho de que todas las oficinas sanitarias tuvieran las mismas claves para descodificar los datos de contacto, ya que suponía el riesgo de que "se pudiera acceder sin autorización a una cantidad significativa de los datos que gestiona el sistema de forma centralizada, mediante el control o el uso indebido de dichas claves. Del mismo modo, a los organizadores de eventos les resulta difícil verificar que una solicitud de descodificación es legítima, por lo que podrían ser engañados y descodificar datos sin una solicitud legítima. Por consiguiente, un ataque exitoso a los sistemas de culture4life GmbH podría poner en riesgo la seguridad del sistema en su conjunto". En consecuencia, DSK solicitó al equipo de Luca que examinara si las funcionalidades de su app podían implementarse en un sistema descentralizado.
Perfiles de
movimiento mediante llaveros físicos: El equipo de Luca ofrece llaveros físicos
con códigos QR impresos. Su objetivo es permitir que las personas que no tienen
teléfonos inteligentes formen parte del rastreo digital de contactos de Luca.
Sin embargo, un grupo de especialistas en IT advirtió que personas no
autorizadas podrían utilizar los llaveros físicos para recuperar los perfiles
de movimiento de determinados usuarios. Dado que, a diferencia de los códigos
QR digitales de Luca, los códigos QR físicos no se modifican, una foto de los
mismos es suficiente para rastrear todo lo registrado en los últimos 30 días.
Inyección de códigos por medio de archivos CSV: En mayo de 2021, se desveló una vulnerabilidad que permitía a los hackers inyectar malware en los sistemas informáticos sanitarios. El equipo de Luca no había desactivado el uso de signos especiales en sus formularios de registro de nombres, lo que permitía a los usuarios programar códigos en los archivos CSV. Al abrir dichos archivos CSV con Microsoft Excel, los departamentos de salud podían eliminar o extraer, del sistema del departamento de salud, información de los contactos, o instalar un ransomware. La Oficina Federal alemana de Seguridad de la Información (BSI) confirmó esta vulnerabilidad en una declaración pública y responsabilizó al equipo de Luca.
Estos y otros muchos problemas de seguridad llevaron a muchos expertos a pronunciarse: más de 70 destacados investigadores alemanes de seguridad informática publicaron una carta abierta en la que criticaban duramente a Luca y advertían encarecidamente contra su adquisición y utilización. En la carta, afirmaban que Luca no cumplía ninguno de los cuatro principios básicos de las apps de rastreo de contactos responsables: limitación de objetivos, transparencia, voluntariedad y evaluación de riesgos. El Chaos Computer Club (CCC) [Club del Caos Informático] solicitó un "freno federal de emergencia" ("Bundesnotbremse") contra Luca.
¿Qué le depara el futuro a la app Luca?
Desde entonces,
las autoridades sanitarias han suspendido el rastreo de contactos, con lo que
la aplicación Luca ha quedado obsoleta. Como respuesta, el equipo de Luca ha
decidido añadir a la app dos nuevas prestaciones. En la nueva versión de la
app, los usuarios podrán guardar su tarjeta de identificación en el smartphone y, al entrar en
un restaurante o local, podrán mostrarla al mismo tiempo que el certificado de
vacunación, lo que debería servir para reducir el tiempo de espera para entrar.
Además, pronto se podrá pagar con la app Luca en restaurantes, cafeterías y
bares.
Photocredits:
Clay Banks/Unsplash.com
Ashkan Forouzani/Unsplash.com
Ashkan Forouzani/Unsplash.com
Mufid Majnun/Unsplash.com