Ciberseguridad y derecho: Visión crítica del uso de aplicaciones móviles en el contexto de la pandemia por el Covid-19
En primer lugar, ciberseguridad y derecho de la población: Tras la llegada de la cuarentena, la población se ha visto abocada al confinamiento. Encerrada en sus casas para evitar que el virus se propague a una mayor velocidad, colapsando hospitales (y corriendo el riesgo de sufrir ciberataques a hospitales), elevando el número de muertes y trayendo consigo una crisis, tanto económica, como humanitaria.
Tras el paso del tiempo, concretamente en la Unión Europea (en adelante UE) se han desarrollado una serie de aplicaciones móviles – apps – con el objetivo principal de mantener a la población europea a salvo. Las cuales han estado siendo observadas por diferentes organismos, entre ellos la Organización Mundial de la Salud1, las empresas Google y Apple2, e incluso ENISA3, para su correcta evolución, concretamente la seguridad de la información que dichas aplicaciones gestionan.
Uno de los problemas, de los que se discutirá a continuación, es que no existe una única app, sino que conviven incluso más de una por cada estado miembro. Esto se traduce en una mayor superficie de vulnerabilidad y por tanto en crecimiento del riesgo.
Ciberseguridad y Derecho de los ciudadanos
Hay que ser consciente, y aceptar que trabajar con datos sensibles (como recoge el Reglamento General de Protección de Datos, “[…] datos relativos a la salud, […]”4 ) requieren una enorme responsabilidad, en las propias palabras del mismo Reglamento, “[…] serán tratados de manera lícita, leal y transparente […]”. Lo que significa, que estas apps necesitan un diseño previo en el que se haya tenido en cuenta la seguridad de esos datos; como van a ser gestionados y enviados a lugares seguros; que seguridad van a tener dichas comunicaciones; cómo van a ser los datos anonimizados; que posibles vulnerabilidades pueden tener y como se van a solventar… Incontables preguntas, las cuales han de ser tenidas en cuenta mediante un proceso conocido como Security by Design (en adelante SbD), estudiado y desarrollado por numerosas empresas en ciberseguridad – se pude ver un ejemplo en el trabajo de la empresa CSA de Singapur en su Security-by-Design Framework5.
Continuando con el desarrollo del trabajo, hay que remarcar la estructura que adopta la UE para la creación de estas aplicaciones para los smartphones. Ha conseguido esquivar el problema de que la coexistencia de diferentes aplicaciones adoptando un sistema de comunicación entre las apps al encontrarse los usuarios a menos de 1.5 metros mediante la tecnología bluetooth low energy (gracias a las aportaciones de Google y Apple), aunque se pueden encontrar un gran número vulnerabilidades registradas6 que tratan sobre esta tecnología. Sin embargo, si están la mayoría solventadas en dispositivos actualizados.
Interoperabilidad y anonimización
Se ha anticipado al dilema de la interoperabilidad entre las diferentes aplicaciones, obteniendo la anonimización de los datos y usuarios; y securizado las comunicaciones que realizan dichas apps con los servidores donde guardan la información, de manera que se crea un ID aleatorio cada cierto tiempo asignado a cada usuario. De modo que si las comunicaciones son interferidas por un tercero únicamente obtendrá el ID de un usuario el cual cambiará de forma aleatoria en cuestión de minutos, quedando invalidado.
1 (Salud, 2020)
2 (CNET, 2020)
3 (ENISA, 2020)
4 (Europeo, 2016)
5 (Singapore, 2017)
6 (MITRE, 2020)
Todo el grueso del estudio puede ser consultado en el paper eHealth Network en su versión 1.0 de 2020.7
Implicaciones de las aplicaciones móviles
Como futuro experto en ciberseguridad, me veo obligado a buscar las implicaciones que una aplicación puede traer consigo. Como bien decía Thomas Reid, filosofo escocés del siglo XVIII,
<< tan fuerte como el eslabón más débil>>.
En otras palabras, es cierto que el uso de estas aplicaciones, lejos de todo intento de maldad, resulta atractivo en el mundo donde vivimos y más, tratándose de una pandemia mundial. El hecho de tener un móvil que nos diga si otra persona está contagiada puede ayudar a erradicar el virus más rápido. Pero también podría tener un efecto adverso.
Con el uso de estas apps podría crearse una brecha entre aquellas personas contagiadas y las asintomáticas o sanas. Conduciendo esto a un terreno que, más que aprender del sentido de la vida, su efímera naturaleza, y de que ahora más que nunca debemos ayudarnos unos a otros, fuese todo lo contrario. Y ya ni hablemos de si esta información llegase a manos equivocadas, simplemente hay que recordar que en entre 1933 y 1945, en la Alemania nazi, se usó el historial clínico de la sociedad para buscar a los judíos8. E incluso, se podría llegar a tener un control total de la población, parecido a lo que Orwell nos contaba en 1984, el Gran Hermano.
¿Qué ocurre con la gente que no dispone de Smartphones?
Por otro lado, ¿Qué ocurre con ese sector que no dispone de smartphones para poder descargarse la app? Hablo ni más ni menos de que las personas de la tercera edad, o de las niñas y niños pequeños.
La población no tiene en cuenta que los dispositivos móviles son los más usados por el usuario, mucho más que los ordenadores y, sin embargo, los más desprotegidos y los que mayor número de vulnerabilidades contienen.
A modo de conclusión, aunque haya parecido que al final de mi discurso este dando a entender que es una mala idea, o muy peligrosa. He de decir que confío plenamente en los mecanismos de seguridad, de los cuales disponemos en la actualidad. La existencia de los ataques 0-days son inevitables. Pero de ellos se aprende, por eso este marco creado alrededor de estas apps, trae consigo la certificación a nivel europeo para su uso (exhaustivos estudios y pruebas antes de lanzar la aplicación). Manteniendo las garantías de los derechos fundamentales en ellas, consiguiendo un correcto desarrollo de la tecnología y manteniendo la seguridad tanto tecnológica como humana en un mismo punto.
Porque de si algo estoy claro, es que no hay problema creado por un humano que otro humano no pueda resolver y la ciberseguridad, trata de esto.
7 (Europeo, eHealth Network, 2020)
8 (González-López, 2011)
Jose Manuel Nieto Campos
Criminólogo.