Aplicación CuidAr: un experto advierte sus fallas
El presidente Alberto Fernández anunció el viernes que la aplicación CuidAr será obligatoria para los que trabajen durante la cuarentena para ralentizar la propagación de la pandemia del coronavirus. Sin embargo, al momento de publicarse esta nota, no se publicó ninguna resolución oficial al respecto luego del anuncio presidencial.
El programador Maximiliano Firtman analizó la aplicación y explicó en Twitter las fallas del programa, que está a cargo de la Secretaría de Innovación Pública dependiente de la Jefatura de Gabinete de Ministros. El experto es una de las muchas voces que cuestionan este programa, en algunos casos desde el costado legal.
Según Firtman, 3,4% de argentinos no la pueden instalar porque el sistema operativo de su celular no lo permite. Además, obliga a que el usuario registre su temperatura cada 48 horas junto con la ubicación, y si la persona está infectada, registraría la ubicación constantemente.
El especialista apuntó que esta semana "unos 7 millones de personas tendrían que instalarla (al ser obligatoria) y se sumaría más gente a medida que avancen las excepciones".
La aplicación es para cualquier argentino o residente con DNI, tenga permiso para trabajar o no, pero "sería obligatoria -según una sola frase del Presidente por ahora y los medios que replicaron- para quienes dispongan del Certificado Único Habilitante de Circulación (CUHC) por trabajo".
El programa, cuyo funcionamiento detallado fue informado por iProfesional en esta nota, obliga a identificarse con DNI y con el número de celular para usarla; una vez dentro permite hacer un autodiagnóstico a través de la temperatura (con consejos para tomarla) y unas preguntas sencillas. Ese diagnóstico hay que hacerlo cada 48 horas.
La única pantalla que tiene la aplicación es de tipo semáforo y tendría al menos tres colores según el DNI: azul, verde o rosa, que dependen del autodiagnóstico y del registro del Ministerio de Salud del DNI, incluyendo repatriados.
CuidAr y su semáforo
Azul pide quedarse en casa y que se salga sólo para compras esenciales. "Ésto es lo que vería la mayoría de los argentinos. Lamentablemente no contempla otras situaciones hoy válidas como turnos para el banco o médico/dentista", apuntó Firtman.
Qué riesgos encierra el uso de la aplicación CuidAR según la mirada de los expertos
El verde aparece si se tiene un Certificado Único Habilitante de Circulación (CUHC) asociado y válido con QR y un código de validación adicional. También figura la validez en días.
El rosa (no rojo) impide circular y se anula el CUHC. Es para el caso el usuario esté registrado como infectado. "Al no poder ver el código no me queda claro cómo sucede la identificación, si por Ministerio de Salud o si depende del resultado del autodiagnóstico", advirtió Firtman.
"En la base de datos de la app, cada ciudadano se identifica como 'No Infectado', 'No Contagioso', 'Infectado, 'Derivado a Salud Local' o 'Debe autodiagnosticarse'. No está claro por no ser público cuándo aplica cada identificación", señaló.
"Uno de los problemas es que la gente del Estado piensa que la tecnología es infalible. Y no lo es; y no suele haber forma de resolverlo. Mucha gente denunció que la app no le carga el certificado de circulación a pesar de tenerlo ¿no podrá ir a trabajar?", planteó.
Problemas con la seguridad de CuidAr
En cuanto a la seguridad, Firtman apuntó que "es un tema crítico de integridad: es relativamente accesible hacerse pasar por otra persona. Esto puede derivar en problemas graves dado que cada autodiagnóstico se considera declaración jurada y posible delito si es falso (según los textos de la app)".
Señaló que "la validación se hace por número de DNI y el número de trámite que figura en el DNI (número de 11 dígitos), algo no muy complejo de determinar a fuerza bruta por usuarios malintencionados pero además algo disponible para cualquiera a quien le hayas compartido una foto o copia".
"Es peor porque la base de datos de DNI y sus correspondientes números de trámites no es tan secreta, existe disponible para validar usuarios desde hace tiempo (el Correo Argentino la usa) y hace pocos meses se descubrió una vulnerabilidad grave", recordó Firtman.
"Me cuesta confiar en la información que reciba el Estado desde esta app y dado que no veo forma de comunicarse con nadie ni soporte alguno; se me ocurren miles de problemas con ciudadanos quedando merced a la burocracia estatal por culpa de usuarios maliciosos ¿Hay alternativa?", se preguntó.
Paso a paso: ¿cómo funciona una transacción de Bitcoin?
"La verdad que es compleja la situación; lo entiendo. Se pueden agregar más validaciones. Seguro el Estado está tentado de usar validación biométrica (con la cara) que usan apps como Mi Argentina a través del ReNaPer, pero espero que no lo hagan", estimó.
Otro problema apuntado por Firtman es que "no hay forma de editar o revisar la declaración jurada del autodiagnóstico antes de enviarla. ¿Y si toqué mal? Al no haber rectificación posible, podría disparar un montón de situaciones - como suspender mi permiso".
El autodiagnóstico se comunicaría con un sistema llamado Comités Operativos de Emergencia Provinciales (COEP) donde en este caso la provincia (o el municipio) podría recibir la información del diagnóstico inmediatamente.
Permiso polémicos de CuidAr
En cuanto a los permisos, la aplicación solicita:
- Cámara (para escanear DNI en lugar de tipear).
- Ubicación geográfica de red y de GPS (intenta siempre la máxima precisión posible), almacena latitud, longitud y altura.
- Ubicación en segundo plano (para seguimiento constante).
"Si tenés iPhone o un Android mayor a versión 7.0 podés elegir no darle estos permisos a la app y, en principio, parecería que por ahora te deja usarla igual. Si tenés Android 5 o 6 todos los permisos están aprobados por defecto si la instalás", advirtió.
¿Cuándo la aplicación nos ubica en el mapa? "En principio cada vez que nos hacemos un autodiagnóstico, que sería cada 48hs. Pero si el sistema determina 'infectado' iniciaría un control de ubicación geográfica en segundo plano que sería cada 15 minutos. Una tobillera electrónica", la definió Firtman.
Video: Adrián Paenza explica por qué el número cero es par
Al no ver el código el experto dijo no tener claro quiénes son considerados infectados: "¿Si el autodiagnóstico dijo que tengo síntomas compatibles? ¿Si vine de viaje? ¿Si me dio positivo un test?"
Para la ubicación geográfica de infectados o repatriados, no se sabe cómo validarán posibles delitos, dado que no se está obligado a hacer la cuarentena en el domicilio que indica el DNI
"El problema mayor creo que es que en una futura versión de la app la funcionalidad podría cambiar -y para la mayoría de los usuarios la actualización es automática y transparente- y los permisos ya podrían estar aceptados", advirtió.
"¿Se puede falsear la información de ubicación? En algunas circunstancias si y no necesariamente es por querer falsear información, pero (según la app siempre) tal vez sea delito. Los programadores de apps solemos usarlo para testear apps. Y también existen falsos positivos", afirmó.
Respecto a la cláusula 1.5, Firtman advirtió que el Estado "se reserva el derecho de usar tu ubicación geográfica para denuncias de supuestas violaciones a las medidas impuestas en el estado de emergencia, aunque hoy no lo estaría haciendo. Luego en 5.5 indica que la información recolectada podrá ser cedida a otras entidades, como gobernaciones e intendencias y me preocupa los niveles de seguridad e integridad de sus sistemas con información sensible como ubicaciones geográficas".
Supuesta vulnerabilidad
En el foro virtual Reddit, usuarios advirtieron que existe una vulnerabilidad en la aplicación: se trata de un agujero en la generación de un token (una contraseña) de validación de un solo uso asociado al dispositivo.
De esta manera, la autenticación de dos factores sería predecible. Eso hace posible que alguien con un nombre de usuario y contraseña pueda entrar en los servidores remotos de la aplicación sin tener físicamente acceso al teléfono.
Desde Globant, una de las empresas que participaron en el desarrollo de CuidAr, y mencionadas en Reddit, replicaron así las críticas: