Un usuario corrige y mejora la aplicación de rastreo canadiense

El pasado 31 de julio, Canadá lanzó oficialmente una aplicación de rastreo que advertía a sus usuarios de la exposición al virus y permitía a las autoridades investigar y localizar con mayor eficacia los contagios y los brotes que podían producirse a lo largo y ancho del país. Bautizada como Covid Alert, el soporte empleaba la tecnología de Apple y Google -que también usan otras aplicaciones como la española o la británica-, además de la tecnología bluetooth de baja energía, para, mediante la interacción móvil, avisar a los usuarios de los potenciales focos de infección y, así, ayudar a la prevención y frenar la propagación.

La aplicación acumulaba más de dos millones de descargas el pasado día 16 de agosto, según datos del Servicio Digital Canadiense, y estaba aterrizando paulatinamente en la mayoría de provincias del país, aunque el escaso volumen de usuarios dificultaba la emisión de diagnósticos fiables.

Un usuario de dicha aplicación, Sean Coates, aprovechó la transparencia del código para observar su funcionamiento y asegurarse de que su información no era compartida por terceros. El código de Covid Alert es abierto, al igual que el de otras aplicaciones como Immuni (Italia) o Corona-Warn-App (Alemania), por lo que cualquier persona con ciertos conocimientos informáticos puede comprenderlo, copiarlo e, incluso, corregirlo.

“Inicié la aplicación otra vez y noté algo extraño... algo perturbador”. Así narra Coates en su página web cómo, al arrancar la secuencia de iniciación del soporte por segunda vez, observó que Covid Alert, además de contactar con los servidores de las autoridades canadienses, contactaba con Google.

“Decidí que aquello probablemente no había sido planeado por los desarrolladores, pero me preocupó que una app, diseñada para rastrear las interacciones entre los dispositivos de las personas y que el gobierno quiere que nos descarguemos, estuviera diciéndole a Google que la estaba usando, revelando mi dirección IP en el proceso”, señala el usuario antes de especificar que el código no incluía ninguna referencia a la plataforma estadounidense (clients3.google.com), por lo que la directriz debía encontrarse en una librería con un sistema predeterminado de contacto con Google. Tras encontrarla, se dispuso a arreglar el problema.

Coates estableció un parche que impedía al soporte contactar con enlaces externos a los oficiales proveídos por las autoridades canadienses y notificó el cambio a los desarrolladores, quienes actualizaron la app e incluyeron los cambios del usuario.

Tras la confirmación de rigor, Coates aseguró que la nueva actualización impedía compartir la información de los usuarios con terceros. “Las fuentes abiertas son, normalmente, una herramienta de márquetin, pero en este caso resultó realmente útil”.