Traducción al español de COVID-19, contact tracing from a security and privacy perspective, by Prof. Aggelos Kiayias por Rodrigo [RODRI].
Publicado en el blog de la Universidad de Edimburgo por el Prof. Aggelos Kiayias.
En las últimas semanas hubo una avalancha de debates y propuestas sobre los sistemas de “rastreo de contactos” relacionados con el COVID-19, centrados en aplicaciones para teléfonos inteligentes. El debate fue muy variado e incluyó una oleada de diseños de sistemas centrados en proporcionar una mejor privacidad, seguido de documentos que criticaban su seguridad e incluso algunos que descartaban el enfoque general (enlaces ofrecidos más abajo).
Esto está bien motivado. El rastreo de contactos puede ser muy útil si queremos levantar las medidas de bloqueo más pronto que tarde. Sin una solución integral de tratamiento y vacunación necesitamos ser capaces de mantener la enfermedad bajo control por otros medios, y el rastreo de contactos es un mecanismo efectivo para hacerlo. El punto clave aquí es que el rastreo manual de contactos podría ser menos efectivo por sí mismo, ya que es un trabajo intensivo y las personas pueden no ser capaces de identificar todos sus contactos o, incluso si lo hacen, pueden no saber cómo notificarlos. Como resultado, la automatización del proceso, incluso como medida complementaria, tiene mucho sentido, especialmente en un país como el Reino Unido, donde la penetración de los teléfonos inteligentes es muy alta, superior al 85%.
A pesar de los ingeniosos esfuerzos colectivos y constructivos de la comunidad de seguridad y privacidad sobre las dimensiones de diseño e ingeniería del desafío, todavía nos faltan piezas del rompecabezas. Es una cuestión que se plantea con bastante frecuencia en el trabajo de resolución de un problema que requiere una experiencia interdisciplinaria. Los expertos de un campo hacen suposiciones y evaluaciones plausibles sobre lo que requiere el otro campo, y proceden de manera independiente. Al final, se produce una desconexión y, aunque todos creen haber resuelto el problema, resulta que las propuestas no son adecuadas para el propósito.
Esto no significa que se desestime el enfoque automatizado del rastreo de contactos. Por el contrario, creo que la ingeniería de seguridad adecuada, y la criptografía en particular, tienen un papel clave que desempeñar en el problema del flujo de información que parece ser el tema central en cuestión, aunque encontrar la criptografía correcta es sólo una pieza del rompecabezas. El elefante en la sala en esta discusión es que para llegar a la mejor realización posible para un determinado problema de comunicación, uno necesita definir exactamente cuál es el problema a resolver. Y en este caso en particular, los protagonistas del problema son principalmente los expertos en salud pública y los epidemiólogos de campo que dirigen los esfuerzos nacionales e internacionales de nuestra respuesta al Covid-19 y, en segundo lugar, las empresas de tecnología, los académicos de seguridad y los expertos en ciberseguridad y privacidad que diseñarán e implementarán el sistema. Es difícil hacer un trabajo interdisciplinario apremiante y de alto impacto, y se necesita urgentemente un compromiso más amplio.
Así pues, en lugar de señalar una solución, en lo que resta intentaré promover el diálogo ofreciendo una definición de lo que parece ser el problema, extraída de una variedad de diferentes fuentes y perspectivas, con el objetivo de un proceso iterativo público y rápido que nos ayude a entender claramente lo que hay que resolver. Podemos debatir públicamente si éste es el problema correcto que hay que resolver (para ello se necesitarían aportaciones de expertos en salud pública y científicos de campo en epidemiología y virología) y si las propuestas y sistemas propuestos están a la altura de las normas de seguridad y privacidad cibernéticas (siendo pertinentes en esta etapa las aportaciones de expertos en tecnología de la información y seguridad cibernética).
En resumen, la funcionalidad mínima de rastreo de contactos es la siguiente: cuando alguien se enferma de COVID-19, debe notificarse a la lista de personas que tuvieron algún contacto cercano con ellos durante una ventana de tiempo específica en el pasado reciente, para que sigan un protocolo médico específico. Lo que hay que especificar aquí es:
- La secuencia de la infección (por ejemplo, si el individuo debe autoevaluarse o un profesional médico debe administrar una prueba).
- La determinación de contacto estrecho, tanto en el ámbito espacial como en el temporal.
- La duración de la ventana de tiempo que debe considerarse la lista.
- La naturaleza del protocolo médico que debe seguirse y, específicamente, qué flujos de información adicional deben tener lugar.
Esto es como mínimo. Es posible que se necesiten funciones adicionales. Otra información potencialmente procesable o médicamente pertinente sobre un caso de infección podría ser útil para los profesionales médicos. Por ejemplo, se puede solicitar la generación y el intercambio del “gráfico de contactos” de la persona infectada, lo que puede ser útil desde el punto de vista de la epidemiología; alternativamente, se puede solicitar algunas estadísticas agregadas sobre dicho gráfico para cada paciente infectado. O tal vez para los detalles de contacto de todos los “nodos” de ese gráfico de contactos, lo que permitiría llegar a los contactos incluso por medios convencionales fuera de la aplicación. Se espera que cuanto más preguntemos, más “invasiva” será la privacidad del rastreo de contactos. El Covid-19 es una enfermedad de declaración obligatoria; pero, ¿dónde exactamente debemos trazar la línea entre la privacidad individual y el intercambio de información para el bien común? Son estas preguntas las que requieren de manera crítica un enfoque multidisciplinario para asegurar que no se produzcan desajustes de incentivos en el uso de la aplicación. Esto es fundamental, ya que cualquier desalineación de este tipo daría lugar a que muy pocas personas la utilizaran, lo que a su vez reduciría al mínimo su utilidad.
Por lo tanto, delinear el problema exacto a resolver es primordial. Una vez que el problema es comprendido, podemos sumergirnos en la clasificación de todos los diseños posibles, mientras que nos esforzamos por la mínima fuga de información posible y la estructura de incentivos adecuada. Y es en esta etapa que la criptografía puede proporcionar una forma de argumentar sobre la seguridad y la privacidad de un sistema propuesto. Es importante tener en cuenta también que la pérdida de privacidad no es, ni mucho menos, la única preocupación de una aplicación de rastreo de contactos; se necesitaría un modelo completo de amenazas que describa todas las diferentes formas de abuso y explotación potenciales, así como la forma de mitigarlas. Ese modelo tendría en cuenta las amenazas procedentes de todos los ángulos, y también el factor de la forma en que los incentivos de todos los participantes se alinean con el objetivo final del sistema.
Para concluir, como le dirá cualquier persona que trabaje en la ciberseguridad, ningún sistema es perfectamente seguro o privado. Nuestro objetivo es navegar por el espacio del diseño y llegar a las mejores arquitecturas de sistema posibles que logren el equilibrio adecuado entre privacidad, facilidad de uso y, sobre todo, eficacia para frenar la propagación de la enfermedad. Esto requerirá la colaboración de expertos en diferentes campos. Y debemos hacerlo rápido, porque el rastreo efectivo de contactos a nivel nacional puede ayudarnos a salir del encierro, proteger nuestro sistema de salud, y salvar vidas.
https://www.lightbluetouchpaper.org/2020/04/12/contact-tracing-in-the-real-world/
https://eprint.iacr.org/2020/398