EXAMPLE PAGE - ANNUAL REPORT - GNI - Flipbook - Página 15
Esta aplicación ya existía desde el año 2017; en ese año se llamaba “Guardianes de la
salud” y fue lanzada en vísperas de la visita del Papa a Colombia con los objetivos de
monitorear los riesgos de salud que podrían ocasionarse entre las aglomeraciones y
que los usuarios reportaran si se encontraban enfermos. Desde marzo de 2020, usando
como base el código fuente de la aplicación de 2017, se convirtió en “CoronApp,” que
para esas fechas tenía fines informativos y de rastreo de síntomas de la enfermedad.
Sus funcionalidades permitían que el usuario recibiera información sobre la
enfermedad, alertas, reporte del estado de salud y autoevaluación; luego le fueron
añadidas las funciones de rastreo de ubicación y rastreo de contagio por proximidad.
La aplicación solicitaba estos datos personales: nombre y apellido, número de
documento y número de celular; además solicitaba datos de salud, como los siguientes:
factores de riesgo (viajes, contactos) y agravantes (enfermedades crónicas, tabaquismo,
etcétera) y reporte de estado de salud (fiebre, tos, dificultad para respirar, etcétera);
y, solicitaba los siguientes permisos: acceso a la localización (red y GPS), bluetooth,
redes WIFI, ejecutarse sola al inicio e impedir que el teléfono entre en modo de
suspensión y llamar directamente a números de teléfono. Mientras que el celular envía
periódicamente un reporte de la ubicación GPS del dispositivo (rastreo de ubicación),
el bluetooth y las redes WIFI circundantes sirven para identificar otros dispositivos
cercanos (rastreo de proximidad).
En un inicio, la aplicación usaba el sistema de rastreo de contagio por proximidad de la
empresa estadounidense HypeLabs, que fue identificado como un protocolo de bluetooth
centralizado. Después fue incorporado el protocolo “Blue Trace” desarrollado para la
aplicación de Singapur “Trace Together”, por medio del cual “…cada dispositivo guarda
en una base de datos local la lista de los identificadores de dispositivos con los cuales se
ha cruzado”. De acuerdo con la Fundación Karisma, aunque este protocolo atacaba el
problema de la privacidad, realmente seguía siendo un protocolo centralizado, ya que
los identificadores eran generados por una base de datos alojada en un servidor central.
Como la misma institución señala, el riesgo a la privacidad con este proceso sigue
siendo alto, pues el servidor tiene la capacidad de “desanonimizar” los identificadores,
lo que vuelve identificable al usuario.28
En un informe 29 elaborado por la Fundación Karisma fueron reveladas algunas
fallas en la aplicación, en sus primeras versiones. Por ejemplo, el envío de los datos
se hacía sin seguridad y sin cifrado, con el protocolo HTTP. También se reportó una
vulnerabilidad grave relacionada a un defecto de autenticación, que permitía a un
28 https://web.karisma.org.co/que-dice-que-hace-y-que-es-lo-que-realmente-hace-coronapp/
29 https://web.karisma.org.co/wp-content/uploads/2020/04/Informe-p%C3%BAblico-t%C3%A9cnicoCoronApp-v170320-1-1.pdf
15