La aplicación de rastreo de contactos Radar Covid tuvo una vida breve y ajetreada. Entre junio y diciembre de 2020 protagonizó docenas de artículos. Cientos de miles de españoles se la descargaron. Las comunidades autónomas discutieron cómo usarla bien, algunas con poco interés. El resultado final es que funcionó a ratos y pocos españoles supieron que podían tener covid gracias a la app. Y luego desapareció sin dejar rastro.

Pero lo que sabe poca gente es que esa desaparición silenciosa era parte del plan. En su diseño inicial, publicado el 25 de mayo de 2020 y colgado en la página para programadores GitHub, está escrito: la “disolución armoniosa” o el “desmantelamiento elegante” era un objetivo fundacional de la tecnología de rastreo detrás de Radar Covid.

“Años después la gente me preguntaba: ‘¿no estás triste porque haya desaparecido todo?’”, dice ahora Carmela Troncoso, la ingeniera española del Instituto Max Planck para Seguridad y Privacidad que impulsó la tecnología detrás de las apps de rastreo. “Y yo respondo que no, que es perfecto, que es la demostración de que nuestro diseño funcionó. Hizo lo que tenía que hacer y desapareció. Especialmente por ser una intervención en una emergencia así, sin tiempo para pensar y cuando la gente no tiene capacidad de decir que no. Si nos hubieran puesto otro tipo de sistema, se hubiera quedado ahí”.

Este desmantelamiento se basaba en dos conceptos que parecen simples, pero que requieren conocimiento y experiencia: “Primero, la gente debía tenerlo en sus móviles. Si todos lo desactivamos, el servidor no tiene nada. Por tanto, el poder de desactivar está en el usuario. Segundo, desde el principio estaba diseñado para que solo sirviera para una cosa. El intercambio de estos números aleatorios solo permitía una cosa. Siempre que hay información que se puede usar para otra cosa, se acaba usando”, explica Troncoso.

Es raro que alguien que ha estado muchísimas horas detrás de un proyecto celebre su fin. Pero así es en los proyectos donde manda la “privacidad en el diseño”. “La privacidad no es solo una etiqueta”, dice Seda Gurses, investigadora en la Universidad Tecnológica de Delft (Holanda) y que participó en la creación del rastreo de contactos. “A esa escala, requiere mucha experiencia y consultas para hacerlo bien. No es algo que una startup pueda manejar a menos que esté especializada en ingeniería de privacidad, pero aun así, esa empresa tendría que hablar con epidemiólogos, equipos de salud pública y unidades de pruebas”.

Radar Covid funcionaba por bluetooth y la información solo salía del móvil si había posibilidad de contagio. Un móvil con la app iba emitiendo códigos que detectaban otros dispositivos a menos de dos metros. Cuando alguien daba positivo y lo notificaba en la aplicación, los códigos que su móvil había ido mandando se subían a un servidor. El resto de móviles con la app consultaban ese servidor una vez al día. Cuando un dispositivo detectaba que había estado más de 15 minutos a menos de dos metros del móvil de un contagiado, le salta una notificación: “Has estado cerca de alguien que ha dado positivo”. Esa persona no sabe quién es, ni las autoridades sanitarias saben cuántos ni quiénes reciben esa alerta.

Si el rastreo de contactos hubiera servido todos los códigos al servidor, habría sido posible conocer redes de contactos o averiguar a quién una persona había tenido cerca en los últimos días. Su uso comercial o policial podría haber sido extenso. “¿Por qué era necesario un desmantelamiento elegante?”, se pregunta Gurses. “Porque existe algo que llamamos “function creep” (desplazamiento de funciones), que ocurre cuando un sistema diseñado para un propósito legítimo empieza a usarse para otros fines. Nos preocupaba que, una vez desplegado el rastreo digital de contactos, otras entidades, como las fuerzas del orden o las instituciones educativas, quisieran aprovecharse del sistema para usarlo con fines de vigilancia”, explica Gurses.

El reto de apps como Radar Covid es que necesitaban que millones de personas confiaran, las descargaran y las usaran. Hoy parece otra época, pero en aquel 2020 ser la fuente de un contagio era un problema social. Si además estaba la excusa de la privacidad, era un objetivo casi imposible. “La minimización de datos suele ser un principio clave en la privacidad en el diseño: se guarda la menor cantidad de información posible en un servidor central y, a nivel local, los datos se eliminan cuando ya no son necesarios. Este enfoque se puede aplicar en muchos contextos”, dice Bart Preneel, profesor de la Universidad Católica de Lovaina (Bélgica) y otro de los participantes en el proyecto inicial del rastreo de contactos.

¿La gente lo entendió?

La dificultad de convencer a ciudadanos de que el control de la tecnología estaba en sus manos hizo que muchos gobiernos y expertos pretendieran optar por caminos más invasivos. Fue uno de los problemas clave: la confusión y la dificultad para entender qué y cómo lo hacía exactamente. “¿La gente lo entendió?”, se pregunta ahora Troncoso. “No. ¿Y los gobiernos? Algunos más que otros. Había gente politizándolo. Ahora sabemos más y si volviéramos a tener que hacerlo tendría más éxito. Pero al final, con toda la evidencia, su influencia fue positiva. Donde se usó, ayudó, pero si solo tienes un 10-20% de la población usándolo, no será muy eficaz”, explica Troncoso.

“En mi opinión, muy pocos usuarios habrían usado voluntariamente una app que guardara datos detallados de ubicación y contactos”, dice Preneel. “Creo que el mundo médico no valora lo suficiente que una de las ventajas de estas apps era que permitían a los usuarios tener control sobre su comportamiento. Podían ver el impacto de sus decisiones en términos de riesgo (por ejemplo, ir a clase o tomar el bus). Este tipo de autonomía es difícil de medir, pero para algunas personas significó mucho”, añade.