La app
Ni contact ni tracing
por Marcelo Fiori
1 de junioSe ha anunciado recientemente que Uruguay lanzará una aplicación para ayudar a evitar futuros contagios, utilizando un desarrollo reciente de Apple y Google.
Las palabras que se repiten son contact tracing (rastreo de contactos). Sin embargo, esta app no nos rastrea, ni se mete con nuestros contactos.
¿Qué es? ¿Por qué es importante? ¿Implica sacrificar nuestra privacidad?
Uno de los problemas para contener la epidemia es el siguiente: una persona con COVID-19 puede estar contagiando dos días antes de presentar algún síntoma. Eso es obviamente peligroso, porque esa persona va contagiando sin saber que está infectada.
Cuando una persona se hace el test y le da positivo, se queda en cuarentena. El problema es que las personas con las que tuvo contacto los días anteriores pueden haberse infectado también. Entonces, lo ideal sería poder alertar a todas esas personas para que tomen los cuidados correspondientes como, por ejemplo, testearse o quedarse en cuarentena.
En Uruguay esto se viene haciendo de forma manual, en la medida de las posibilidades. En la práctica, el seguimiento manual de contactos funciona así: cada vez que una persona da positivo al test de COVID-19, se le pregunta con qué personas tuvo contacto en los últimos días, y se intenta entrar en contacto con todas estas personas para informarles del caso positivo en cuestión y solicitarles que se queden en su casa y, eventualmente, realizarles un test. Esta es parte de la explicación de por qué el número de infectados permanece en niveles bajos.
El problema es que esta forma de hacer seguimiento no es practicable cuando la cantidad de casos es muy grande*. Si empezamos a tener más casos, es probable que no se pueda contactar a todas las personas potencialmente expuestas, y esto llevaría a tener más casos aún.
Aquí es que entran en juego las apps para ayudar a alertar a aquellas personas que pueden haber estado cerca de un infectado, y con ellas surgen (¡por suerte!) las preocupaciones por la privacidad.
Mucha gente tiende a pensar que una aplicación que nos diga que estuvimos cerca de un infectado tiene que necesariamente tener acceso a nuestra ubicación, o a nuestra agenda de contactos, o algo -cualquier cosa- que no necesariamente queremos compartir **.
El nombre contact tracing tampoco ayuda: las aplicaciones que se están desarrollando no hacen el rastreo (tracing) ni de nuestra ubicación ni de las personas con las que estuvimos en contacto. Un nombre más afortunado es exposure notification (notificación de exposición), o proximity tracing (rastreo de proximidad).
Como decíamos, la idea no es utilizar geolocalización sino Bluetooth (más precisamente, una funcionalidad de Bluetooth que consume poca batería), para ayudar a detectar la proximidad entre dispositivos.
Hay dos grandes familias de estas aplicaciones: las llamadas centralizadas, donde hay una entidad central que hace algunas comparaciones para detectar proximidades con infectados, y las descentralizadas, donde las comparaciones se hacen de forma local, es decir, en el propio teléfono celular, minimizando la cantidad de información que se envía desde él. La mayoría de los países están siguiendo este segundo paradigma.
** De hecho, en unos pocos países existen aplicaciones que sí utilizan geolocalización. En Corea del Sur se utiliza hasta la información de compras con tarjetas de crédito.
Bueno, pero ¿cómo funciona la app?
Supongamos que Alicia se instala la app (llamémosle “UyPasasteCerca”) y se asegura de tener el Bluetooth de su celular siempre prendido. Esta aplicación, cada ciertos minutos, envía por Bluetooth algunas "palabras" aleatorias (es decir, secuencias de letras elegidas al azar, como, por ejemplo, 6tr3k9). Estas palabras son inventadas por el teléfono en el momento y no contienen ninguna información del usuario*.
La aplicación también escucha estas "palabras" que envían los teléfonos que están cerca del de Alicia. Por ejemplo, si Braulio también tiene la app UyPasasteCerca instalada, tiene el Bluetooth activado, y está en el ómnibus sentado cerca de Alicia, entonces sus teléfonos están intercambiando palabras aleatorias.
La aplicación guarda tanto las palabras que envió como las que recibió en los últimos 14 días. Lo importante es que estas palabras no contienen nada de información, ni del teléfono de Alicia ni del de Braulio, ni del lugar donde intercambiaron palabras: nada. Son realmente un montoń de letras "sin sentido".
Al día siguiente Alicia comienza a tener síntomas, se hace un test de COVID-19 y, lamentablemente para Alicia, le da positivo. Ahora Alicia puede decidir indicarle a la app que suba las "palabras" aleatorias que envió en los últimos días, a una base de datos del sistema de salud. Recordemos que estas palabras no tienen nada de información sobre dónde o con quién estuvo Alicia, por lo que esta base de datos central no podrá inferir nada sobre lo que ella hizo o dejó de hacer.
Esto que hace Alicia es muy importante para Braulio, porque su teléfono, cada tanto, chequea la base de datos del sistema de salud donde se guardan las "palabras" enviadas por los celulares de todas las personas que dieron positivo al test de COVID-19.
En otras palabras, esta base de datos dice: "tenemos estas palabras enviadas por celulares pertenecientes a personas que han sido identificadas como infectadas con COVID-19. Si usted recibió alguna de estas palabras en los últimos días, entonces estuvo cerca de una persona que está infectada". Así, el celular de Braulio se da cuenta de que Braulio se puede haber contagiado, y la aplicación se lo notifica. Ahora Braulio puede decidir quedarse en cuarentena, solicitar que se le realice un test, etc, y, principalmente, evitar contagiar a otras personas. Es importante entender que el chequeo de palabras se hace en el celular de Braulio, con lo cual nadie más que él se entera de que, potencialmente, tiene Coronavirus.
Un punto importante es que este tipo de iniciativas tienen que coexistir con otros esfuerzos, como el procedimiento de rastreo manual de contactos que se está realizando, porque son complementarias. Con el procedimiento manual nunca se le podría haber avisado a Braulio que estuvo cerca de alguien que resultó estar infectado con COVID-19, ya que Alicia y él coincidieron en un ómnibus y no se conocían, con lo cual Alicia no tiene forma de avisarle. Por otro lado, el procedimiento manual puede llegar a personas que no tengan la app instalada, o que directamente no tengan teléfono celular.
Vale la pena aclarar que para que esta apps ayude a controlar la epidemia es necesario que un porcentaje alto de la población la use (se estima un 60%)**. Simplemente como para tener una referencia, la aplicación CoronavirusUY tiene alrededor de 300.000 descargas *** (esto es un poco menos de un 10% de la población), pero esta aplicación fue dada a conocer con un propósito distinto por lo que, en principio, no se sabe cómo reaccionará la población ante la posibilidad de una aplicación con notificación de exposición.
* En realidad se generan a partir de una clave del teléfono, pero en la práctica es imposible saber cuál es la clave y, mucho menos, a qué teléfono pertenecía. Se basa en los mismos principios que el encriptado de contraseñas, por ejemplo.
** https://science.sciencemag.org/content/368/6491/eabb6936
*** Jodal, Nicolás “La app oficial alcanzó 250.000 descargas” en Oceano.uy. https://oceano.uy/todopasa/escuchame-una-cosa/21372-la-app-oficial-coronavirus-uy-alcanzo-las-25000, acceso 14 de mayo 2020.
Todavía queda una pregunta legítima: ¿cómo puedo tener la certeza de que la aplicación está haciendo lo que dice estar haciendo?
La respuesta tiene al menos dos partes.
Por un lado, hay una iniciativa europea llamada D3-PT*, que tiene una propuesta y descripción técnica de protocolo (que es en el que se basa el funcionamiento explicado más arriba). Esta iniciativa tiene en cuenta explícitamente la privacidad y seguridad. Todo el contenido es libre, y también está disponible el código de un ejemplo de implementación.
Los diferentes gobiernos decidirán qué solución implementarán, y cómo lo harán, pero un ingrediente fundamental para generar confianza en el producto es que sea de código abierto (es decir, que cualquiera puede acceder al código fuente, por ejemplo para revisarlo). De esa forma podemos asegurarnos de que la app hace lo que dicen que hace. Este es el camino que están siguiendo los países que se inclinan por el protocolo descentralizado basado en D3-PT, como Suiza, Austria, Alemania y España, entre otros.
Por otro lado, está el desarrollo que las empresas Apple y Google lanzaron recientemente. Esta implementación no es una aplicación completa de las mencionadas arriba, sino que es un protocolo de intercambio de información, como una extensión de sus sistemas operativos para celulares iOS y Android, respectivamente. Este protocolo es muy similar al D3-PT, y la idea es que cada gobierno pueda desarrollar una aplicación que utilice esta API ya implementada, como solución para el intercambio de estas “palabras” por Bluetooth. Esta API es auditable, y todos los ojos del mundo (en particular aquellos analizando la privacidad y seguridad) están mirando su funcionamiento. Si bien esto no la hace segura de por sí (la seguridad completa no existe), es un punto importante.
Hay un tercer punto: las empresas como Google no necesitan esta aplicación para tener nuestros datos. De hecho, cada vez que usamos Google Maps (y aún sin tener la aplicación abierta), estamos compartiendo nuestra ubicación con Google (a menos que elijamos explícitamente no compartir estos datos). Es más: la API de Apple y Google está diseñada para que la aplicación que cada gobierno desarrolle tenga acceso solamente a la mínima cantidad de información indispensable. Se podría decir que Apple y Google no confían en que todos los gobiernos hagan un buen trabajo desde la transparencia, privacidad y uso de datos (no siempre por malas intenciones, sino que muchas veces se introducen errores involuntarios en la programación), y por lo tanto no brinda información sensible a la aplicación que la esté usando. Es responsabilidad de cada gobierno, de cada desarrollo local de la aplicación, garantizar los elementos de transparencia necesarios, como, por ejemplo, hacer la aplicación de código abierto.
* DP‑3T Project. 2020. “Decentralized Privacy-Preserving Proximity Tracing: Whitepaper.” https://github.com/DP-3T/documents/blob/master/DP3T%20White%20Paper.pdf.
¿Y cómo se decide si dos dispositivos que intercambiaron mensajes estaban suficientemente cerca como para que exista probabilidad de contagio?
El criterio aplicado se conoce como too close for too long (demasiado cerca durante demasiado tiempo). Si bien todavía hay incertidumbre sobre los valores exactos, los conceptos son claros: cuanto más tiempo, y cuanto más cerca, mayor es la probabilidad de contagio. Por ejemplo, estar a menos de dos metros de distancia por más de 15 minutos, aunque es sabido que también depende de otros factores, como estar en ambientes cerrados o al aire libre. Cada país, en base a la evidencia científica, debe configurar cuánto es demasiado cerca y cuánto es demasiado tiempo.
La potencia de la señal recibida por Bluetooth permite estimar la distancia a la que se encuentran los dispositivos, pero la precisión varía mucho con las condiciones. Por ejemplo, tener el teléfono en el bolsillo de adelante o en el bolsillo de atrás, ya introduce variaciones grandes en la distancia estimada.
¿Esto quiere decir que no se puede utilizar? No, para nada. Simplemente hay que tener en cuenta que las estimaciones de distancia tienen variaciones grandes, y elegir por ejemplo confiar más en el tiempo (que sí se puede medir de forma mucho más precisa), poniendo un umbral relativamente bajo en la potencia de la señal (para asegurarse de no perder eventos de proximidad). Todo esto será parte del testeo de cada aplicación en cada país, antes de ponerla en funcionamiento.
En resumen, las aplicaciones de notificación de exposición, o rastreo de proximidad, pueden ayudar a combatir la epidemia, complementando el trabajo de vigilancia epidemiológica que realiza el MSP, para advertir a posibles personas contagiadas, de forma que tomen precauciones y eviten futuros contagios.
La utilidad dependerá del porcentaje de la población que efectivamente descargue y ponga en funcionamiento la aplicación. Esto estará influido fuertemente por la confianza general que se tenga sobre ella, particularmente en relación a la transparencia y los criterios de privacidad utilizados. En este sentido, contar con una aplicación de código abierto que pueda ser revisada por académicos, profesionales, o cualquier persona con curiosidad, es una señal en la dirección correcta.