El funcionamiento esencial de la aplicación oficial para ayudar a evitar la propagación del coronavirus, Radar COVID, es el siguiente: un usuario resulta positivo, recibe un código por parte de las autoridades sanitarias y lo introduce en el servicio.

A continuación, ese dato sirve a la aplicación para enviar al servidor la información que permite poner en marcha la maquinaria que explica la utilidad de la aplicación. Es decir, los avisos que de forma anónima reciben los posibles contactos estrechos que la persona contagiada ha tenido en los últimos 14 días.

Cualquiera con acceso al tráfico podría identificar qué dispositivos comunicaban un positivo

Todo ello con la promesa de que estos procesos se realizan de forma anónima. Algo que no habría sido del todo así durante algún tiempo, según publica El País y se puede desprender de la actualización de la aplicación del 9 de octubre.

Un tráfico revelador

Radar COVID

El proceso para informar de un positivo, el que hemos explicado al inicio, es prácticamente idéntico en la mayoría de aplicaciones de rastreo de este tipo. El punto diferencial del caso español frente a otros, explica el rotativo del grupo Prisa, es que el tráfico que se produce cuando se introduce el código que demuestra que el usuario se ha contagiado es absolutamente revelador.

Mientras otras aplicaciones de rastreo europeas simulan tráfico falso desde dispositivos móviles aleatorios con el objetivo de que la presencia de tráfico no sea sinónima necesariamente de un positivo real, Radar COVID no empezó a hacer esto hasta el 9 de octubre. Esto supone que cualquiera con acceso al tráfico podría identificar qué dispositivos habían comunicado un positivo porque desde ellos se habría producido ese envío de información al servidor.

Al no producirse un tráfico ficticio, cualquier tráfico producido por un positivo podría ser utilizado para identificar el dispositivo emisor

Amazon podría haberlo comprobado porque la subida al servidor se hace con un programa de la compañía, dice El País, así como cualquier otro agente que en redes de internet de diferente tipo hubiese podido estar escuchando ese tráfico en particular. Tráfico que, por otro lado, está cifrado y no identifica a la persona positiva que lo ha comunicado. Con la vulnerabilidad, en el caso de que se hubiese explotado, se identificaría el dispositivo.

El problema fue revelado el 28 de septiembre y confirmado en las últimas horas como «posible vulnerabilidad» por parte de fuentes de la Secretaría de Estado de Inteligencia Artificial, responsables de Radar COVID, al rotativo.

No se ha hecho público el problema ya solucionado, según han explicado fuentes gubernamentales a ‘El País’, porque no hay constancia de una violación de dichos datos

También han comunicado a la Agencia Española de Protección de Datos de acuerdo con la información publica, en cumplimiento del Reglamento General de Protección de Datos de la Unión Europea. Al no haber constancia de una violación de la seguridad de los datos personales, explican fuentes gubernamentales al periódico, no procede hacer pública la vulnerabilidad como establece el artículo 33 del reglamento que busca evitar la ocultación de ciberataques obligando a comunicarlos en 72 horas.

Hemos contactado con la Secretaría de Estado de Inteligencia Artificial para obtener comentarios sobre este problemas de Radar COVID y actualizaremos el artículo cuando obtengamos una respuesta.