Els greus defectes de seguretat en l'aplicació obligatòria de rastreig de contactes de Qatar que Amnistia Internacional va posar al descobert han de servir com a toc d'atenció als governs que estan implementant aplicacions contra la COVID-19, perquè garanteixin que les salvaguardias de la privadesa ocupen un lloc central en aquesta tecnologia.

Una investigació del Security Lab d'Amnistia ha permès destapar una debilitat crítica en la configuració de l'aplicació de rastreig de contactes de Qatar, Ehteraz. El defecte ja ha estat esmenat, però hauria permès l'accés de ciberatacantes a informació personal molt delicada "com el nom, el document nacional d'identitat, l'estat de salut i les dades de localització" de més d'un milió d'usuaris.

Amnistia va alertar les autoritats de Qatar sobre aquesta vulnerabilitat quan va fer-ne el descobriment, el dijous 21 de maig. Les autoritats van actuar ràpidament per esmenar-la abans del divendres 22 de maig.

"Tot i que les autoritats de Qatar van actuar amb rapidesa per esmenar-lo, era un greu defecte de seguretat i una errada fonamental en l'aplicació de rastreig de contactes de Qatar que qualsevol ciberatacant podia haver aprofitat fàcilment. Una vulnerabilitat especialment preocupant, atès que el divendres es va declarar obligatori l'ús de l'aplicació Ehteraz", ha explicat Claudio Guarnieri, director del Security Lab d'Amnistia Internacional.

Aquest incident ha de servir d'advertiment a aquells governs que estan adoptant precipitadament aplicacions de rastreig de contactes que sovint estan mal dissenyades i manquen de garanties de privacitat. Perquè la tecnologia compleixi una funció eficaç davant del virus, la població ha de confiar que les aplicacions de rastreig de contactes protegeixen la seva privacitat i altres drets humans.

Més de 45 països tenen previst implementar aplicacions de rastreig de contactes per la COVID-19 o ja ho han fet.  A Amnistia Internacional li preocupa que governs de tot el món -com els de Austràlia, França, Itàlia, Països Baixos i Regne Unit- s'estiguin precipitant en l'adopció d'eines digitals que soscaven la privacitat, l'eficàcia de les quals encara no ha estat demostrada i que poden posar en perill la seguretat de les persones.

Ehteraz ha estat desenvolupada pel Ministeri de l'Interior de Qatar i utilitza tecnologies GPS i Bluetooth per rastrejar els casos de COVID-19. L'aplicació, com en tantes altres que s'estan implementant, segueix sent molt problemàtica a causa de la falta de garanties de privacitat. Se segueix enviant informació personal delicada a una base central de dades i les autoritats poden habilitar a qualsevol moment el rastreig de la ubicació dels usuaris en temps real.

Divendres passat es van declarar obligatoris la descàrrega i l'ús de l'aplicació, que ja ha estat descarregada més d'un milió de vegades només a Google Play. Els qui no utilitzin l'aplicació s'exposen a una condemna de fins a tres anys de presó i una multa de 200.000 rials de Qatar (uns 55.000 dòlars nord-americans).

"Les autoritats de Qatar han de revocar la seva decisió de declarar l'aplicació obligatòria, i tots els governs han de garantir que les aplicacions de rastreig de contactes són totalment voluntàries i s'ajusten als drets humans", ha dit Claudio Guarnieri.

El Security Lab d'Amnistia Internacional va poder accedir a informació confidencial -com el nom, l'estat de salut i les coordenades GPS del lloc de confinament- d'un usuari, ja que el servidor central no disposava de les mesures de seguretat necessàries per protegir aquestes dades.

Amnistia Internacional reconeix els esforços i iniciatives del govern de Qatar per evitar la propagació de la pandèmia de COVID-19 i les mesures que ha adoptat fins avui, com l'accés a assistència mèdica gratuïta; no obstant això, totes les mesures han de ser respectuoses amb les normes de drets humans.

Les vulnerabilitats no estaven incloses en l'anàlisi global de les aplicacions de rastreig de contactes, adreçat a avaluar la seva observança dels drets humans.

El rastreig de contactes és un component important d'una resposta eficaç a la pandèmia, i les aplicacions de rastreig de contactes tenen el potencial de donar suport a aquest objectiu. Però, perquè siguin compatibles amb les obligacions de drets humans, aquestes aplicacions han d'incorporar en el seu disseny la protecció de les dades i la privadesa, la qual cosa significa que les dades recopilades han de ser les mínimes necessàries i emmagatzemar-se de forma segura. Tota recopilació de dades ha de limitar-se al control de la propagació de la COVID-19 i no servir a cap altre propòsit, com fer complir la llei, vetllar per la seguretat nacional o controlar la immigració. Tampoc ha de posar-se a la disposició de tercers ni destinar-se a finalitats comercials. La decisió individual de descarregar-se i emprar aplicacions de rastreig de contactes ha de ser completament voluntària.

Informació complementària

La investigació duta a terme pel Security Lab d'Amnistia va permetre descobrir que l'aplicació Ehteraz de Qatar sol·licitava un codi QR al servidor central facilitant el document nacional d'identitat de l'usuari registrat. No es requeria cap autenticació addicional, per la qual cosa qualsevol podia haver sol·licitat un codi QR per a qualsevol usuari d'Ehteraz.

L'absència d'autenticació i el fet que els documents nacionals d'identitat de Qatar segueixin un patró coherent feien que fos possible generar automàticament tots els números de document d'identitat i descarregar les dades confidencials emmagatzemades per Ehteraz.

El codi QR de l'aplicació utilitza un sistema de colors. El vermell indica l'estat mèdic "confirmat" de l'usuari (que suposadament ha estat diagnosticat de COVID-19). El groc, que l'usuari està "en quarentena". El gris, que és un "cas sospitós". I si el codi QR és verd, l'usuari figura com "sa".

Abans que les autoritats prenguessin mesuress per reparar aquesta vulnerabilitat, la delicada informació personal continguda en el codi QR incloïa el nom de l'usuari en anglès i àrab, el seu lloc de confinament i, si havia estat diagnosticat de COVID-19, el nom del centre mèdic on rebia tractament. Divendres passat, les autoritats van actuar ràpidament per mitigar l'exposició de dades eliminant els noms i les dades de localització. A continuació, el diumenge van publicar una actualització de l'aplicació Ehteraz que sembla haver afegit una nova capa d'autenticació per impedir la descàrrega de dades. Tot i que aquests canvis aparentment han esmenat el problema, Amnistia Internacional no ha pogut verificar si compleixen normes de seguretat suficients.