Aplicación móvil obligatoria para control del COVID-19 en India genera debate

Expertos dicen que la aplicación pone en riesgo la seguridad de los 90 millones de indios que hacen uso de ella

1413311
Aplicación móvil obligatoria para control del COVID-19 en India genera debate

La aplicación móvil para COVID-19 de la India, Aarogya Setu, fue declarada por el Gobierno de ese país como obligatoria, lo que condujo a acalorados debates, con los líderes de la oposición llamándola "un sistema de vigilancia sofisticado" y a la decisión "nada más que refuerzos negativos".

Sin embargo, el Centro Nacional de Informática del gobierno dice que la aplicación se usa para el seguimiento de contactos y la difusión de avisos médicos para contener la propagación de COVID-19.

Desde que anunció el confinamiento extendido hasta más allá del 3 de mayo, el gobierno aprobó nuevas pautas que han convertido la aplicación en un requisito. Las pautas lo hacen obligatorio para todos los empleados del sector público y privado, y a los jefes responsables de garantizarlo.

La aplicación ahora también es obligatoria para las personas que viven en zonas de contención y para aquellos que cruzan las fronteras con el estado de Delhi (zonas de Gurgaon y Noida). Actualmente tiene una base de usuarios de 90 millones.

“Todos aquellos con teléfonos inteligentes que no tengan la aplicación pueden ser registrados bajo la Sección 188 del IPC (Código Penal Indio). Después de eso, un magistrado judicial decidirá si la persona será juzgada, multada o dejada (libre) con una advertencia”, dijo en una conferencia de prensa Akhilesh Kumar, comisionado adjunto de policía de la región de Noida.

El mandato ha llevado a comparar eso con la solicitud anterior del gobierno de implementar el Registro Nacional de Población, lo que había llevado a grandes debates y protestas en toda la India en diciembre.

A nivel mundial, los países están presentando aplicaciones relacionadas con el COVID-19. Singapur, Italia y Corea del Sur han lanzado aplicaciones, pero en estos países, la responsabilidad de instalar las aplicaciones recae en el usuario y no en el gobierno.

“Aarogya Setu fue hecha para ser voluntaria, (pero) ahora se ha hecho obligatoria. No podemos permitir que nuestras Fuerzas Armadas y todo el país sean forzados a descargar algo que compromete la seguridad de los datos. Debe haber salvaguardas legales y técnicas para descentralizar estas aplicaciones”, dijo a la Agencia Anadolu Pawan Khera, portavoz del principal partido opositor del Congreso Nacional Indio.

Temas de seguridad

India no tiene actualmente ninguna ley sobre protección de datos y esta aplicación de código abierto por tanto pondrá en riesgo a 90 millones de usuarios.

"Hice un escaneo rápido, y puedo ver que la aplicación tiene una vulnerabilidad de nivel 7,4 en la puntuación CVSS (Sistema de puntuación de vulnerabilidad común), lo cual es muy malo. Es propenso a un ataque medio, lo que significa que las personas pueden interceptar el tráfico y aprovecharlo. Tiene tres vulnerabilidades de nivel medio: el uso de protocolos no cifrados, consultas SQL erróneas y una base de datos de texto sin cifrar, lo que significa que cualquiera puede ver los datos con los accesos correctos”, dijo bajo condición de anonimato un analista de riesgos experimentado en India a la Agencia Anadolu.

El analista señaló que la aplicación no sigue las leyes de privacidad de datos de la UE. Cualquier persona europea en India que descargue la aplicación puede demandar al gobierno por violar las regulaciones y, por lo tanto, pueden aplicar sanciones.

En una serie de tuits, Robert Baptiste, un experto en ciberseguridad francés, señaló que la aplicación tiene brechas.

"Se ha encontrado un problema de seguridad en su aplicación. La privacidad de 90 millones de indios está en juego”, tuiteó Robert, quien se hace llamar Elliot Anderson en las redes sociales. Incluso dijo que las palabras del líder opositor Rahul Gandhi son "correctas al llamar a la aplicación un sistema de vigilancia".

Anteriormente, Baptiste había señalado algunas brechas en los números de Aadhaar, un número obligatorio de código único de 12 dígitos emitido para los ciudadanos indios. Había revelado que una compañía de gas administrada por el gobierno había filtrado 6,7 millones de esos números con información privada.

Mientras tanto, el equipo de Aarogya Setu, bajo el Ministerio de Información y Radiodifusión, emitió un comunicado en el que decía: “No ha sido demostrado por este hacker ético que la información personal de algún usuario esté en riesgo. Estamos continuamente probando y actualizando nuestros sistemas. El equipo Aarogya Setu asegura a todos que no se han identificado violaciones de datos o seguridad”.



Noticias relacionadas