No paráis de preguntarnos por las "notificaciones de exposición al COVID-19". Se mueven mensajes y alertas que lanzan varios usuarios sobre un nuevo apartado que ha aparecido en el menú de Ajustes de los móviles con el sistema operativo Android. Dentro del apartado de "Google" que hay en la configuración de estos móviles, hay ahora un nuevo servicio llamado "Notificaciones de exposición al COVID-19". Os explicamos por qué esta opción es inocua en un principio y por qué no tenéis que alarmaros por que esté ahí.
Este nuevo servicio no lo ha puesto ahí nadie del Gobierno ni tampoco lo ha incorporado Google para espiar nuestros móviles. Se trata de una herramienta que ha creado no solo Google, sino también Apple, para que puedan instalarse aplicaciones con una función concreta. La clave está en que si no existe tal aplicación para que la instalemos voluntariamente en el teléfono, ese sistema per se no hace nada, por mucho que te diga que tiene que estar el bluetooth o la ubicación activada.
"Para activar las notificaciones de exposición al COVID-19, abre una aplicación disponible" es lo primero que leemos al entrar en el menú. Las opciones de "Eliminar ID aleatorios" o "Desactivar las notificaciones de exposición", opciones para interactuar con el sistema, están desactivadas porque todavía no hay aplicación en España que podamos descargar.
Si indagáis un poco más en ese sistema, veréis que es un detalle que recalcan varias veces antes de contar como funciona: "Para utilizar el sistema, tienes que descargar la aplicación a". La descarga de una aplicación acorde va a ser voluntaria, así como el uso de este sistema.
¿Por qué pone que es un sistema que notificará si me he expuesto a la COVID-19?
Qué tiene que ver la COVID-19 con que me instalen un servicio en el móvil sin que yo me de cuenta, te preguntarás. Lo primero que queremos recalcar aquí es que Google y Apple incorporan este sistema de manera distinta. Google lo hace a través de un servicio que se llama Google Play Services y que también aparece como una aplicación. Su función es más bien técnica (no es una aplicación que abras para interactuar mucho con ella) y permite que Google pueda agregar especificaciones a su sistema sin tener que hacerlo app por app. Es la responsable de que funcionen otros servicios de la compañía que también incorporan los Android.
La actualización de ese servicio es automática en algunos casos, de ahí que muchos os lo hayáis encontrado de sopetón y sin saber muy bien de dónde viene. En otros casos, puede que venga de la actualización del sistema operativo del teléfono Android (esa actualización puede activar a su vez la actualización de otros servicios y aplicaciones para arreglar fallos técnicos, gestionar problemas de la memoria del teléfono, etc.)
Apple, por otra parte, sí que avisa de la instalación de esta API (interfaz de programación de aplicaciones) porque lo incorpora mediante actualización del sistema operativo del teléfono junto a otras opciones:
Ambas compañías anunciaron la creación de esta herramienta en abril y desde entonces han ido contando novedades del proceso. Medios nacionales e internacionales se han hecho eco de esa información desde entonces, por lo que no es una acción que hayan mantenido en secreto.
¿Cómo sabemos que no nos espían por ese sistema para saber dónde estamos?
El sistema de Google y Apple funciona como una base técnica para asegurarse de que las aplicaciones que se desarrollen e instalen en el móvil funcionen por bluetooth. Esta tecnología ha sido una de las preferidas para usar en muchos rincones del mundo a la hora de combatir la COVID-19. ¿Por qué? Porque supuestamente puede ayudar a identificar a personas que han estado en contacto con otra que tiene COVID-19 de manera automática. Esta técnica recibe el nombre de rastreo de contactos y es común a la hora de enfrentarse a amenazas epidemiológicas.
En este hilo de Twitter se explica muy bien y de una forma gráfica cómo funciona el sistema de rastreo de contactos a través de una aplicación móvil basada en bluetooth y la tecnología DP3T, que es el primer modelo maduro y basado en la API de Google y Apple que se ha implantdo:
Como funciona por bluetooth, lo que nos piden es que esté siempre activado para que se puedan intercambiar "códigos ID", que son una especie de tarjeta de presentación de tu móvil. Si yo diera positivo por coronavirus, mis tarjetas figuradas empezarían a decir "cuidado, que tengo COVID-19", y así podrían verla el resto de móviles que la reciben. Los códigos ID se eliminan automáticamente a los 14 días, que es el tiempo que dura la incubación del virus en nuestro cuerpo y en el que se pueden presentar síntomas.
Veréis que para los que tenéis Android, el sistema de notificaciones os pide además que tengáis la ubicación activada. Esto se debe a una particularidad técnica que tiene este sistema operativo. Muchas de las aplicaciones o servicios que usan bluetooth (de mayor o menor alcance) requieren que además de estar este activado, lo esté también la ubicación porque de ese modo "localizan" a los dispositivos cercanos que también tengan el bluetooth activado.
Google recalca en los documentos técnicos que ha colgado sobre este sistema que no usa la ubicación. ¿Por tanto? Parece que el mero hecho de usar un servicio que utiliza el bluetooth a este nivel necesita ciertos parámetros de ubicación para funcionar y que es un rasgo técnico común en otros servicios o aplicaciones de Android. Eso sí, esta no tiene por qué guardarse ni usarse en este sistema de notificaciones concreto.
Este detalle también abre un cisma en el funcionamiento de este sistema. Puede que la API para la aplicación de rastreo de contactos no use mis datos de localización ni los almacene para ningún otro uso, ¿pero qué pasa si no estamos acostumbrados a llevar la ubicación activada el 100% del tiempo? Tenerla siempre activada implica que otros servicios instalados en el móvil sí que puedan hacer uso de ella.
Desde Google explican a Maldita Tecnología que a partir del sistema operativo Android 6.0, la tecnología de escaneo de bluetooth "tal y como ha sido desarrollada necesita que la configuración principal de la ubicación esté 'encendida' para que las aplicaciones utilicen esta tecnología" y que se unificaran los distintos tipos de configuración que pueden tener.
Sin embargo, también explican que "el sistema de notificación de exposición (aunque pida que sea activada) no utiliza la ubicación del dispositivo como dato" y no permiten "que las aplicaciones de autoridades de salud pública soliciten siquiera el acceso a la ubicación del dispositivo (la API no manda esta información a la app").*
Este sistema no permite que haya alguien "espiando" ese intercambio de códigos porque se basa en un modelo descentralizado: esas tarjetas de presentación no se guardan en un servidor del Gobierno o de otra institución, sino que se quedan en el móvil. Por tanto, no las ve nadie a menos que nosotros decidamos compartirlas.
Cuidado con los engaños con las notificaciones: nunca recibirías un aviso por SMS o con un mensaje diferente cada vez
En algunos sitios donde ya hay aplicaciones creadas y listas para descargar de rastreo de contactos, como Reino Unido, ya se están cometiendo fraudes con las notificaciones. Mensajes de texto que se hacen pasar por la aplicación de rastreo de contactos para obtener datos personales. En el caso de Reino Unido es más creíble, además, porque su aplicación no es descentralizada ni usa el sistema de Apple y Google. Al controlarla el Sistema Nacional de Salud (NHS), guardan ellos los intercambios de códigos.
En España, a 3 de junio, no hay una aplicación disponible para su descarga. Eso significa dos cosas: una, que el sistema de notificaciones de exposición al COVID-19 no va a activarse, por lo que se quedará en tu móvil como una función más, de momento inocua. Y dos, que por lo tanto es imposible que recibas un aviso a través de él de que has estado con alguien con COVID-19.
Ojo, por lo tanto, si recibes en algún momento un mensaje de texto o incluso o un correo electrónico avisándote de que has estado en contacto con una persona contagiada por COVID-19 diciéndote que debes aislarte o ingresar en un enlace para poner tus datos personales. Las aplicaciones basadas en la API de Apple y Google no utilizan datos personales de los dueños de los móviles y ese mensaje seguramente sería un caso de phishing para hacerse con tu información.
Los respectivos avisos que han diseñado Apple y Google para sus sistemas llegarán como un 'push' a tu móvil. Son las notificaciones que aparecen en la barra superior de nuestros teléfonos.
* Hemos actualizado este artículo el 4 de junio para incluir las declaraciones de Google sobre la función de ubicación.
Primera fecha de publicación: 03/06/2020.