Por qué las aplicaciones de rastreo de contactos de coronavirus enfrentan desafíos de privacidad y seguridad


Según Test Place Investigate, las aplicaciones tienen que equilibrar el objetivo de una mayor precisión frente a respetar la privacidad de sus usuarios.

Aplicación de seguimiento de coronavirus o de contacto para reducir la propagación de coronavirus después de la cuarentena detectando personas infectadas.

Imagen: Getty Visuals / iStockphoto

Las aplicaciones de rastreo de contactos se han empleado en varios países como una forma de tratar de detener la propagación de COVID-19. Dichas aplicaciones funcionan identificando a los usuarios que dieron positivo en el análisis del virus, lo que los llevó a compartir esa información, localizar a las personas con las que han estado en contacto cercano y luego notificar a esas personas.

VER: Coronavirus: políticas y herramientas críticas de TI que toda empresa necesita (TechRepublic Premium)

Pero este tipo de aplicaciones se enfrentan a un acto de equilibrio. Para ser completamente efectivos, necesitan rastrear y monitorear las ubicaciones de sus usuarios. Pero tal monitoreo puede amenazar la privacidad de una persona, especialmente si los datos caen en manos equivocadas o se usan con fines maliciosos. UNA publicación de blog site publicada el jueves por el proveedor de inteligencia de cyberthreat, Check Stage Investigation describe los desafíos y las dificultades que enfrentan las aplicaciones de rastreo y ofrece consejos para usuarios potenciales.

Las aplicaciones de rastreo de contactos funcionan detectando la proximidad de un usuario con otro. Para monitorear la ubicación de una persona, tales aplicaciones emplean GPS o Bluetooth, específicamente Bluetooth de baja energía (BLE) Con BLE, el teléfono móvil del usuario transmite información periódicamente con una identificación única. Con GPS, la ubicación exacta del usuario se registra continuamente.

VER: Cómo las compañías tecnológicas están luchando contra COVID-19 con inteligencia artificial, datos e ingenio (TechRepublic)

Aunque varias aplicaciones funcionan de manera algo diferente, el proceso de seguimiento de contactos sigue los mismos pasos generales:

Cuando las personas que usan la misma aplicación de seguimiento de contactos están muy cerca, esa información se registra en la aplicación.

contact-tracing-check-point-1.jpg "src =" https://tr2.cbsistatic.com/hub/i/r/2020/06/11/01e9f935-9798-40de-8c3a-5d65dcc8e98e/resize/770x /20aa6cac64ce264f2dc0bdb263671b46/contact-tracing-check-point-1.jpg

Imagen: Test Issue Exploration

Si uno de los usuarios da positivo por COVID-19, se le solicita a esa persona que comparta ese diagnóstico a través de la aplicación o, en algunos casos, la aplicación comparte automáticamente la información sin el conocimiento del usuario.

contact-tracing-check-point-2.jpg "src =" https://tr1.cbsistatic.com/hub/i/r/2020/06/11/8bf900cc-a542-43f1-b12c-728063f4383f/resize/770x /7079eb2d3c7707af4cc4722ae3a80a81/contact-tracing-check-point-2.jpg

Imagen: Look at Stage Research

La aplicación luego notifica a otros usuarios que estaban cerca de la persona infectada.

contact-tracing-check-point-3.jpg "src =" https://tr2.cbsistatic.com/hub/i/r/2020/06/11/4b743349-2b8c-4aae-a0ed-e623953692d7/resize/770x /30a856fbd0e91a3bd79c72bf971a7e57/contact-tracing-check-point-3.jpg

Imagen: Examine Point Study

En el papel, esos pasos pueden parecer factibles y factibles. Pero en el mundo real, no es tan easy. Para que el seguimiento de contactos funcione de manera más efectiva, una gran cantidad de personas deben adoptar las aplicaciones. Con muchas aplicaciones, cualquiera que resulte positivo para COVID-19 tiene que compartir voluntariamente su estado, de lo contrario la cadena se rompe y el proceso se detiene en seco. Pero el solo hecho de ser monitoreado y compartir su condición plantea dudas sobre la privacidad y el posible abuso.

Examine Position planteó varias preguntas dirigidas a tales aplicaciones:

  1. ¿Qué datos se recopilan, cómo y dónde se almacenan y cómo se comparten?
  2. ¿Los datos están encriptados?
  3. ¿Se utilizan métodos de autorización y verificación para proteger contra el abuso?
  4. ¿La identidad del usuario se mantiene anónima dada la recopilación de datos como número de teléfono, nombre e identificación?
  5. ¿El usuario comparte el diagnóstico de coronavirus voluntariamente, o se revela esa información sin el conocimiento de la persona?

Los métodos utilizados por las aplicaciones de rastreo de contactos también juegan un papel en la cuestión de la efectividad compared to la privacidad.

Las aplicaciones que utilizan el seguimiento de ubicación GPS pueden guardar y almacenar un registro de las ubicaciones y marcas de tiempo en curso del usuario. Esa información puede ayudar a rastrear la propagación del virus dentro de una geografía específica. Pero el rastreo por GPS también puede invadir la privacidad de la persona al revelar su paradero y sus viajes durante un período prolongado de tiempo. Ejemplos de aplicaciones que usan GPS son SafePaths del MIT, CovTracer de Chipre, Hamagen de Israel y Aarogya Setu de la India.

Las aplicaciones que usan BLE se consideran más preocupadas por la privacidad, ya que transmiten una identificación anónima segura y cambiante que no expone la identidad de la persona. Sin embargo, estas aplicaciones son menos efectivas que las que usan GPS ya que no pueden rastrear la infección geográficamente. Los ejemplos incluyen el NHS COVID-19 del Reino Unido, TraceTogether de Singapur y COVIDSafe de Australia.

Donde se almacenan los datos de rastreo es otro componente clave.

En un enfoque centralizado, el registro se carga en un servidor central donde las autoridades de salud pública pueden analizar la información para rastrear la propagación de la enfermedad. Pero este proceso invade la privacidad de un usuario al almacenar datos en sus ubicaciones y las identidades de las personas con las que han entrado en contacto. Las aplicaciones que utilizan este enfoque incluyen el NHS COVID-19 del Reino Unido, TraceTogether de Singapur y COVIDSafe de Australia.

En un enfoque descentralizado, el registro permanece en el dispositivo móvil con solo una mínima cantidad de información cargada en el servidor. La aplicación descarga las identificaciones anónimas de los usuarios que dieron positivo para el virus y las compara con los registros almacenados en el dispositivo. Las aplicaciones con este enfoque incluyen el PrivateTracer de Holland y los próximos programas que adoptarán la plataforma «Notificación de exposición» de Google y Apple.

Específicamente, Verify Point describió cuatro preocupaciones relacionadas con la privacidad y seguridad de las aplicaciones de rastreo de contactos:

  • Los dispositivos pueden ser rastreados. Con aplicaciones que dependen de BLE, los dispositivos móviles transmiten paquetes de datos que ayudan a identificar el contacto con otros dispositivos. Si este proceso no se configura correctamente, los piratas informáticos pueden rastrear el dispositivo de una persona al correlacionar los diversos dispositivos involucrados y sus respectivos paquetes de identificación.
  • Los datos personales pueden verse comprometidos. Las aplicaciones de rastreo de contactos almacenan registros de contactos, claves de cifrado y otra información confidencial en el dispositivo móvil. Dichos datos deben cifrarse y almacenarse en el entorno limitado de la aplicación y no en ubicaciones compartidas. Incluso con el enfoque sandbox, cualquier hacker que obtenga privilegios de root o acceso físico al dispositivo podría acceder a los datos.
  • Intercepción del tráfico de una aplicación.. Si todas las comunicaciones con el servidor backend de la aplicación no están encriptadas correctamente, los usuarios pueden ser atacados con ataques «intermedios» que interceptan el tráfico.
  • Inundación de informes de salud falsos posibles. Las aplicaciones de contacto deben realizar la autenticación cuando se envía información a sus servidores, como cuando un usuario publica diagnósticos y registros de contactos. Sin la autorización adecuada, los servidores podrían verse inundados de informes de estado falsos, lo que socava la fiabilidad del sistema.

«El jurado aún no sabe qué tan seguras son las aplicaciones de rastreo de contactos», dijo Jonathan Shimonovich, gerente de investigación móvil de Check out Place, en un comunicado de prensa. «Después de la revisión inicial, tenemos algunas preocupaciones serias. Las aplicaciones de rastreo de contactos deben mantener un delicado equilibrio entre privacidad y seguridad, ya que una implementación deficiente de los estándares de seguridad puede poner en riesgo los datos de los usuarios. Esto se reduce a preguntas sobre qué datos se recopilan, cómo se almacena y, en última instancia, cómo se distribuye «.

Para cualquiera que planee usar una aplicación de rastreo de coronavirus, Check Issue ofrece los siguientes dos consejos:

  1. Descargar solo de tiendas oficiales. Como varias aplicaciones falsas de coronavirus ya han sido detectado Durante la pandemia, los usuarios deben instalar aplicaciones COVID-19 de rastreo de contactos desde tiendas de aplicaciones oficiales, ya que solo permiten que las agencias gubernamentales autorizadas publiquen dichas aplicaciones.
  2. Use soluciones de seguridad móvil. Descargue e instale una solución de seguridad móvil para escanear aplicaciones y proteger el dispositivo contra malware, así como verificar que el dispositivo no haya sido comprometido.

Ver también



Enlace a la noticia unique