Home »

Radar Covid: lo bueno, lo feo y lo malo de la app de rastreo española

Estos últimos meses, en el mundo tecnológico se ha generado un fuerte debate relacionado con las aplicaciones para el rastreo de contactos. En este post trataré de exponer todo lo que conocemos sobre la app española, además de ofrecer una pequeña introducción a las tecnologías que se esconden tras esta clase de aplicaciones.

Empecemos desde el principio. La finalidad de las aplicaciones de rastreo de contactos es tratar de complementar el trabajo que realizan los rastreadores, de los que tanto hemos oído hablar últimamente, para frenar la cadena de transmisión del virus. Esta clase de tecnología puede resultar útil ante las cuatro limitaciones principales que presenta el rastreo manual:

  • Depende de la memoria de las personas contagiadas.
  • Las personas no son capaces de identificar a quienes no pertenezcan al círculo de conocidos.
  • Las complicaciones por los movimientos entre fronteras (comunidades autónomas o países).
  • El elevado coste que conlleva este rastreo, tanto de tiempo como de personal.

Sin entrar todavía en mucho detalle, esta aplicación va intercambiando información (como “tarjetas de visita”) con todos aquellos dispositivos que han estado cerca y posean la app. Cuando una persona detecta que es positivo, es libre de publicar en el servidor central su “tarjeta de visita” marcada como positivo en COVID-19. De esta forma, cualquier persona podrá consultar si alguna de esas “tarjeta de visita” coinciden con las que tiene en su dispositivo.

Aunque en España la cosa viene de lejos (ya el 13 de marzo Carme Artigas, Secretaria de Estado de Digitalización e Inteligencia Artificial, comentó en twitter que comenzaban a trabajar en ello) no ha sido hasta el 3 de agosto cuando se han conocido todos los detalles de la aplicación española. Carme Artigas ofreció una rueda de prensa en la que, además de presentar la aplicación, habló de los resultados obtenidos tras la prueba piloto que se realizó en la isla de la Gomera. Artigas también comentó que para el 15 de Septiembre se espera que esté funcionando en todo el territorio nacional.

Retrasos para que la app realmente funcione

UPDATE (02/09/2020):

Actualmente la aplicación está integrada en 10 CCAA según informa Nadia Calviño: Madrid, Navarra, Cantabria, Aragón, Extremadura, Canarias, Castilla y León, Islas Baleares y Murcia.

UPDATE (26/08/2020):

La Secretaría de Estado para la Digitalización y la Inteligencia Artificial acaba de publicar un tweet en el que informan de que ya está completamente integrada con los sistemas sanitarios de Andalucía, Cantabria, Aragón y Extremadura. En este otro tuit ha anunciado la integración de Baleares. La comunidad de Murcia también está integrada.

Además, el Ministerio de Sanidad ha anunciado en este tuit que Canarias y Castilla y León también están integradas.

Artigas también mencionó que sería necesario desarrollar una serie de integraciones con los diferentes sistemas de cada uno de los servicios sanitarios que existen en cada comunidad. Por lo tanto, serán las comunidades las que manejen los tiempos para que la app esté activa en cada una de ellas y sea 100% operativa.

Estas integraciones están relacionadas con los procedimientos de alta de nuevos contagios y la información sobre los pasos a seguir para las personas que reciban notificaciones ya que en cada comunidad puede variar el flujo o las entidades implicadas en el mismo (laboratorios, hospitales, atención primaria, rastreadores…)

En la fecha que escribo este post, a pesar de que la aplicación se encuentre en el Store de Apple y Google, no sirve para nada: aunque la app es capaz de registrar y almacenar los contactos de los últimos 7 días, no se pueden dar de alta casos de contagio ni se pueden recibir notificaciones. Esto irá cambiando a medida que las comunidades la integren en sus sistemas.

A 19 de agosto, ninguna comunidad había realizado todavía las integraciones necesarias: en Canarias y Baleares todavía no había arrancado a pesar de que parecían estar a punto y Aragón anunciaba que pronto arrancaría un piloto.

Y es que muchas comunidades ya estaban trabajando en su propia aplicación. Una de las más avanzadas es la de Galicia, PassCovid, sobre la que se está realizando un piloto en este mes de agosto y espera estar operativa a principios de septiembre. Como sucede con la app nacional tampoco se ha compartido el código. Parece ser menos respetuosa con la privacidad de los usuarios ya que tiene un modo en el que el usuario deja de ser anónimo e incluso envía su geolocalización. En esta noticia se comenta que en una futura versión “podría” integrarse con la aplicación desarrollada por el gobierno central.

Una noticia de El Español recoge que desde los organismos de diferentes comunidades ya comentan que será casi imposible cumplir los plazos marcados por el gobierno. Prevén que, como mínimo, no será hasta octubre cuando la aplicación esté operativa en todo el territorio. Esto es una mala noticia y una oportunidad perdida, teniendo en cuenta que en septiembre nos tendremos que enfrentar a la vuelta al trabajo y a la reapertura de colegios.

Lejos queda la integración de nuestra app con las que existen fuera de nuestras fronteras.

La mala prensa que esta situación está provocando podría acarrear consecuencias: generará desconfianza entre los usuario que valorarán negativamente una aplicación que no funciona a pesar de estar instalada en sus dispositivos. Esperemos que cuando las integraciones estén listas aún no sea demasiado tarde.

Falta de transparencia sobre la adjudicación del contrato

La Secretaría de Estado para la Digitalización y la Inteligencia Artificial ha sido la responsable de liderar el proyecto que fue encargado a Indra por 330.537,52€. Fue aprobado por el consejo de ministro a finales de junio por el procedimiento de emergencia, sin un proceso de licitación pública.

Desde Newtral informaban de que la publicación del contrato y el resto de documentación se hacía de rogar, y es que no ha sido hasta el 11 de agosto cuando ha aparecido en la plataforma de contratos del sector público el anuncio de adjudicación. Seguimos a la espera de que se publiquen los pliegos del contrato, la metodología del piloto de La Gomera y el resto de documentación que detallen los requisitos de la aplicaión y su desarrollo.

Me sigue resultando sorprendente cómo Indra, que debería estar vetada por formar parte del cartel de las consultoras tecnológicas o del no tan reciente cartel del tren de alta velocidad, no solo siga participando en concursos públicos, sino que se le adjudique el desarrollo de esta clase de aplicaciones.

Problemas de accesibilidad

Desde el punto de vista de la usabilidad, esta clase de aplicaciones no deberían ser complejas. El usuario debe poder activar o desactivar el sistema de rastreo de contactos, debe ser capaz de notificar un positivo por contagio y debe poder consultar su grado de exposición. Se pueden ver unos ejemplos de uso en este artículo de Xataka o consultar los screenshots de la app suiza.

Capturas de pantalla de la aplicación de rastreo suiza

Desde el punto de vista de la accesibilidad sí que existen más problemas:

¿Qué sucede con las personas que no dispongan de un dispositivo móvil (niños, ancianos, personas con pocos recursos económicos, inmigrantes, sin techo…)? Evidentemente quedarán fuera.

¿Estas aplicaciones serán compatibles con todas las versiones de Android y iOS? Pues parece que no, la tecnología desarrollada por Google y Apple correrá en dispositivos que dispongan de Android 6.0 y iOS 13.5 o versiones superiores, respectivamente. El resto de dispositivos quedarán fuera. También parece que en algunos dispositivos modernos de marcas chinas tampoco funciona.

¿Son las aplicaciones accesibles para personas con discapacidad? ¿Están traducidas a los idiomas del país o región? Pues por ley deberían serlo.

El caso de España

En la app española el tema de la accesibilidad no se tuvo en cuenta. Esto no es nuevo, se suelen incumplir de forma sistemática los requisitos de accesibilidad, a pesar de existir leyes y sanciones para quienes no los respeten. Al final, aunque aparezcan en el pliego de condiciones para las licitaciones, todo acaba en el listado de buenas intenciones que no llegan a llevarse a cabo.

Tanto en la Directiva Europea 2016/2102 como en el real decreto 1112/2018 (para humanos) que llegó después vienen recogidas las obligaciones en temas de accesibilidad que cualquier página web o aplicación móvil de la administración pública debe cumplir. Y aunque para aplicaciones móviles no sea obligatorio hasta el 23 de junio de 2021 (algo que me sigue sorprendiendo), dada la naturaleza de esta aplicación creo que debería haberse tenido en cuenta desde el principio. Tendría que haber sido testeado en la primera prueba piloto.

En estas primeras versiones resulta imposible avanzar más allá de la primera pantalla de confirmación, Tanto Juanjo (@katswey) en este tweet como muchos otros usuarios se quejaron al respecto. Más tarde, como de costumbre, vino la denuncia desde el Comité Español de Representantes de Personas con Discapacidad (CERNI). Desde la secretaría se ha twiteado un vídeo en el que indican que trabajarán en ello para las próximas versiones.

Respecto a los idiomas, a 19 de agosto la aplicación española está actualmente en español y en inglés (desde la versión 1.0.3) pero desde la asociación A Mesa pola Normalización denuncian que hasta la fecha han dejado fuera a todas las lenguas cooficiales del estado.

UPDATE (25/08/2020):

La Secretaría de Estado para la Digitalización y la Inteligencia Artificial acaba de publicar un tweet en el que informan de que la aplicación ya está disponible en catalán.

Software de código abierto: privacidad y transparencia en el proceso de desarrollo

La iniciativa Public Money, Public Code!, promovida por la Free Software Foundation Europe aboga por “una legislación que permita que el software desarrollado para el sector público y financiado con recursos públicos esté disponible públicamente bajo una licencia de Software Libre y Código Abierto”.

Entre las principales ventajas se encuentran:

  • El ahorro de costes, ya que muchas aplicaciones se podrían reutilizar con leves modificaciones y adaptaciones
  • La colaboración entre organismos para poder llevar a cabo grandes proyectos subvencionados de manera conjunta
  • Mejorar la transparencia, facilitando la auditoría y el estudio del código
  • Incentivar la innovación, propuesta de mejoras, favorecer y acelerar la corrección de errores

Muchos países han publicado sus aplicaciones con licencias de código abierto: Covid Traker de Irlanda, SwizeCovid de Suiza, CoronaWarnApp de Alemania, Stopp Corona de Austria entre otros. Muchos expertos así lo recomiendan ya que una mayor transparencia puede incentivar su utilización entre la población, algo que resulta clave para que sea realmente útil. Aunque lamentan la falta de coordinación entre países para crear un consorcio que facilitase el desarrollo de una app común, modular y de código abierto que cada país o región pudiese adaptar a sus necesidades. Esto habría abaratado notablemente los costes, reducido los tiempos de desarrollo y facilitado la compatibilidad entre las diferentes aplicaciones de cada país; ya que, aunque Google y Apple garantizan que su protocolo permite esta compatibilidad, esto no será posible si cada aplicación desarrollada no lo ha tenido en cuenta.

En lo que respecta a la tecnología desarrollada por Google y Apple, desde organizaciones y grupos de hackers se les está recriminando el hecho de que esta no sea completamente abierta. Nos tenemos que fiar de su palabras y los documentos que han publicado, ya que no se puede estudiar el código para comprobar que realmente cumple las especificaciones publicadas, hace un uso adecuado de nuestros datos y no posee puertas traseras.

Otro de los problemas que presenta para dispositivos Android es que para que el sistema de rastreo funcione, además de tener activado el Bluetooth, también es necesario activar la Geolocalización. Google explica que la tecnología de rastreo no lo necesita, es algo que viene sucediendo desde la versión Android 6.0 y que afecta a muchas otras aplicaciones que utilizan Bluetooth. Están trabajando para tratar de corregirlo en futuras actualizaciones del sistema.

En este artículo de la Electronic Frontier Foundation se describen algunos otros problemas relacionados con la seguridad y privacidad que podrían afectar a estas tecnologías de rastreo.

El caso de España

UPDATE (02/09/2020):

La Secretaria de Estado de Digitalización e Inteligencia Artificial ha anunciado en un tuit que el código de la app será liberado el 9 de septiembre.

En España, muchos expertos se preguntan que cómo siendo uno de los países más afectados por la pandemia, se ha optado por el desarrollo de una nueva aplicación en lugar de la adaptación de una de las que ya hay publicadas con licencia abierta. Además, aunque la Secretaría de Estado para la Digitalización y la Inteligencia Artificial ha confirmado que la aplicación sería de código abierto, el código no ha sido publicado aún.

De todos modos, esto no ha impedido que la gente trate de revisar el APK de la aplicación y encuentre posibles agujeros de seguridad (señalado aquí y aquí parece que se corrigió).

Se teme que si su liberación se retrasa demasiado, resolver los posibles errores que se puedan encontrar sea mucho más complicado.

Tampoco se ha podido comprobar si la aplicación se ha desarrollado a partir del trabajo realizado por el equipo de DP-3T (siglas de “Rastreo de proximidad descentralizado para preservar la privacidad”) y su aplicación o ha sido un desarrollo desde cero. A pesar de que desde la Secretaría de Estado para la Digitalización y la Inteligencia Artificial afirman que han mantenido una relación estrecha durante todo el desarrollo, Carmela Troncoso, líder del proyecto, afirma que no ha existido esa colaboración y que ni siquiera han tenido acceso al código fuente de la misma (aquí y aquí).

“Show me the code”, ¿cómo funcionan?

GPS o Bluetooth

Estaba claro que el móvil, por su grado de implantación, iba a ser el dispositivo elegido sobre el que trabajar, lo que no parecía tan obvio es la elección de la tecnología del Bluetooth frente al GPS para desarrollar el sistema de rastreo. El Bluetooth resulta ser más preciso que el GPS que hay instalado en nuestros móviles, funciona mejor en entornos cerrados y tiene un menor consumo de batería. El GPS puede llegar a tener un error a la hora de geolocalización de unos 10 metros y para esta clase de aplicaciones se trabajan con distancias de menos de dos metros, ya que es cuando realmente hay una alta probabilidad de contagio. Las primeras aplicaciones de China y Corea del Sur utilizaban GPS, fue Singapur la primera que propuso el Bluetooth como alternativa.

En Europa esta idea surgió de un consorcio de más de 130 instituciones denominado PEPP-PT (siglas en inglés de Rastreo Paneuropeo de Proximidad para Preservar la Privacidad) al que España se sumó desde la Secretaría de Estado de Digitalización e Inteligencia Artificial del gobierno. Su finalidad es la de utilizar los datos de los teléfonos móviles para maximizar la velocidad y la capacidad en tiempo real de las respuestas nacionales a una pandemia.

Almacenamiento de los datos centralizado o descentralizado

El tema sobre el que se ha centrado la mayor parte del debate es sobre quién debe almacenar los registros de contactos. Hay soluciones que se basan en un sistema de almacenamiento centralizado, propiedad de las autoridades sanitarias de cada país, y otras que abogan por una solución descentralizada en la que cada dispositivo almacena su propio registro de contactos. Solo consultarían a las autoridades sanitarias para saber quiénes son los nuevos positivos, y poder notificar al usuario su grado de exposición al virus actualizado.

En el seno de la PEPP-PT surgieron discrepancias ya que la iniciativa alemana abogaba por una solución más centralizada, con su protocolo NTK, frente a otras alternativas que anteponían una mayor privacidad de los usuarios mediante el uso de soluciones distribuidas. Esto llevó a que más de 300 científicos firmasen un comunicado en el que se advierte de que esta clase de sistemas centralizados pueden servir para generar un “sistemas de vigilancia sin precedentes”. Tanto el organismo que agrupa a las agencias de protección de datos europeas como la Secretaria de Estado de Digitalización e Inteligencia Artificial apostaron también por el modelo descentralizado.

Una de las iniciativas que abandonó el seno de la PEPP-PT es la DP-3T. Este protocolo de código abierto parte de un diseño descentralizado basado en el intercambio de unos números aleatorios o balizas entre dispositivos, de tal forma que será el propio dispositivo el que almacene el registro de contactos y consulte qué balizas están infectadas para notificar al usuario.

Podéis leer más al respecto en la entrevista de El País o en este otro audio de Onda Cero realizadas a Carmela Troncoso (@carmelatroncoso), la científica española que lidera el proyecto desde Suiza o, puesto que es un protocolo abierto, podéis consultar su documentación, sus aplicaciones de ejemplo y la desarrollada para Suiza en GitHub.

Google y Apple entran en acción

Como era de esperar, Google y Apple, que aglutinan más del 98.5% del mercado de móviles europeo, tenían que entrar en juego y lo han hecho conjuntamente implementando un protocolo, compatible con DP-3T, y poniendo a disposición de los gobiernos de todo el mundo una API (Interfaz de Programación de Aplicaciones) sobre la que desarrollar sus propias aplicaciones.

El protocolo funcionaría de la siguiente manera:

Cada teléfono generará una clave privada cada día, conocida como “clave de exposición temporal”, que utilizará para generar números de identificación aleatorios llamados “identificadores de proximidad aleatorios” (por sus siglas en inglés RPID). Los dispositivos emitirán un ping (una señal para que otros dispositivos puedan escucharla) al menos una vez cada cinco minutos (este tiempo puede cambiar) cuando el Bluetooth esté habilitado que contendrá el RPID actual del teléfono. El RPID se regenerará cada 10 a 20 minutos con el fin de reducir el riesgo de que los rastreadores de terceros puedan usar los pings para inferir las ubicaciones de las personas y sus movimientos. El sistema guardará todas sus claves de exposición temporal y registrará todos los RPID con los que entre en contacto durante las últimos 14 días (también puede cambiar si fuese necesario) junto con información de la proximidad a la que se ha captado la señal.

Si un usuario de la aplicación da positivo en un test, puede compartir públicamente sus RPIDs (o parte de ellas) mediante la autoridad sanitaria de su país. Para evitar que el sistema se llene con falsas alarmas, las autoridades sanitarias deberán verificar que el usuario está realmente infectado y generarán una clave de publicación de un solo uso para que el usuario puda publicar sus claves en el sistema.

Una vez que se cargan en el sistema, las RDPIs cargadas de un usuario se conocen como “claves de diagnóstico”. Las claves de diagnóstico contienen toda la información necesaria para volver a generar el conjunto completo de RPIDs que el usuario infectado ha publicado, se almacenan en un registro público y están disponibles para que el resto de usuarios de la aplicación puedan consultarlas.

Por tanto, las aplicaciones de otros usuarios pueden usar el registro para comparar los RPIDs con los que han estado en contacto con los RPID de los portadores confirmados de COVID-19. Si la aplicación encuentra una coincidencia, el usuario recibe una notificación de su riesgo de infección, ya que se almacena el tiempo de exposición y la distancia a la que ha estado expuesto.

Extracto del cómic de @ncasenmare sobre cómo funcionamiento del protocolo PT-3T en el que se basan Google Y apple a grandes rasgos, traducido por @VanesaKershawi. [Fuente]

Parece que esta solución distribuida es la que muchos países están adoptando para implementar sus aplicaciones de rastreo: Alemania (la app desarrollada por SAP SA & Deutsche Telekom), Austria, Ecuador, España, Estonia, Finlandia, Irlanda, Italia, Japón, Letonia, Portugal, Arabia Saudí, Suiza y Uruguay. Pero no son las únicas, muchos otros países han optado por tecnologías que no se basan en el protocolo definido por Google, haciendo uso de una solución centralizada: Australia, Colombia, (aunque ambas están evaluando un cambio), Gran Bretaña, India y Singapur entre otros.

Mapa de países que tienen aplicaciones de rastreo. De Statista.com

Evidentemente no son los únicos protocolos disponibles, BlueTrace, TCN o PACT son algunas de las alternativas que también se están desarrollando.

Qué se sabe sobre su utilidad

Uno de los primeros estudios sobre la utilidad de estas apps, realizado por el equipo del Instituto de Big Data de la Universidad de Oxford, afirma que un brote de coronavirus en una ciudad de un millón de habitantes se detendría si el 56% de la población tuviesen la aplicación en funcionamiento. Esto sin contar a personas mayores de 70 años que ya estarían siguiendo las reglas de aislamiento recomendadas para personas de riesgo. Aun sin llegar a la cifra del 57%, afirman que la aplicación seguiría resultando útil para ralentizar la propagación del virus. El éxito será lineal al porcentaje de la población que la utilice.

En Alemania, considerado como uno de los países donde las aplicaciones de rastreo de contactos han obtenido muy buenos resultados, se estima que alrededor del 13% de la población instaló la aplicación tras la primera semana de su lanzamiento y que actualmente roza el 20% (16,5 millones de personas). No obstante, esa misma semana se denunciaba que la app arrastraba desde hacía 5 semanas problemas para millones de usuarios que impedían la notificación. Y es que está resultando muy complicado obtener métricas que ayuden a medir el éxito de esta clase de aplicaciones distribuidas. Puede que no se consiga.

Pasadas tres semanas de su lanzamiento, en Francia reportaron que después de haber dado de alta 68 casos positivos, sólo 14 personas fueron alertadas. Y es que solo 2 millones de personas se la habían instalado.

En este otro artículo, que menciona muchos de los problemas a los que se enfrenta esta tecnología, también se habla del caso de India. A pesar de que allí se ha llegado a los 127 millones de descargas (décima aplicación más descargada en julio), las posibilidades de que dos personas que la hayan descargado entren en contacto es de alrededor del 1% (en India hay más de 1.300 millones de habitantes).

En un artículo de la Agencia Sinc, se le pregunta su opinión sobre el piloto de la Gomera y estas herramientas a Adrián Hugo Aginagalde, director del Observatorio de Salud Pública de Cantabria. Aginagalde comenta que ”los resultados no son acordes con la realidad, se tendría que haber testado en una comunidad autónoma con transmisión. Las apps pueden servir de apoyo si se integra la información, si no vamos a tener un doble rastreo”. También opina que esta clase de aplicaciones no son capaces de conocer el contexto en el que se da el contacto (ambas personas usan mascarilla, hay una mampara entre ambas, es en interior o exterior…) pudiendo generar falsos positivos.

Y no es el único ya que muchos otros expertos en diferentes materias opinan que, aunque las apps de rastreo tengan muy buenas intenciones, su utilidad a día de hoy sigue siendo incierta.

Entonces, ¿me la instalo?

Antes de entrar ahí, me gustaría reflexionar sobre el proceso de desarrollo de software en la administración pública ya que parece que se siguen cometiendo los mismos errores que hace 20 años: empresas contratadas por inercia, poca transparencia en el proceso de desarrollo, aplicaciones, estándares o tecnologías cerradas que fomentan el vendor lock-in, la accesibilidad sigue siendo un ciudadano de segunda, mala gestión en las integraciones con otros sistemas o adaptaciones para las diferentes comunidades… Entiendo que la situación en la que nos encontramos no es la más favorable, pero me resulta complicado hacerla responsable de todos los errores que se han cometido.

Los servicios digitales que ofrecen y sobre los que se apoya la administración pública deben ser accesibles, transparentes, seguros y confiables sobre la privacidad de nuestros datos. Debemos exigir a nuestros políticos que esto se cumpla.

Respecto a Radar Covid o cualquier otra aplicación de rastreo, a pesar de que no existen aún datos suficientes para evaluar su utilidad, debemos hacernos a la idea de que no son la solución definitiva a todos los problemas del rastreo de contactos manual. Es una herramienta que puede complementarlo y que en ciertas circunstancias (relacionadas con una alta concentración de personas, como puede ser el transporte público) puede ayudarnos a contener rebrotes.

Espero que el gobierno central y las comunidades realicen las integraciones necesarias para que la app que han desarrollado pueda ayudar con la monitorización de rebrotes lo antes posible. Nosotros seguiremos monitorizándola y exigiendo que las futuras aplicaciones se conciban y desarrollen con criterios a la altura de los retos a los que se enfrentan.

Pese a lo malo y lo feo, apuesto por lo bueno y yo me la voy a instalar. Tú puedes hacerlo desde su página de Google Play y en la de la Apple Store.